YesWeHack, leader européen du Bug Bounty, accompagne les entreprises dans la mise en place de leur Politique de Divulgation des Vulnérabilités (VDP)

Alors que la plupart des organisations ont pris conscience de l’importance de la cybersécurité, peu d’entre elles disposent d’une Politique de Divulgation des Vulnérabilités (VDP). YesWeHack, leader européen du Bug Bounty, accompagne les entreprises dans toutes les étapes nécessaires à la mise en place de cet outil désormais indispensable. YesWeHack souhaite promouvoir, auprès des entreprises et organisations, les avantages d’une sécurité passive, leur permettant d’être averties des failles de sécurité sur leurs systèmes, et ainsi prévenir de potentielles cyberattaques.  

Programme de Divulgation des Vulnérabilités (VDP) : qu’est-ce que c’est ?

Des chercheurs en sécurité du monde entier, et bien intentionnés, découvrent chaque jour des vulnérabilités, le plus souvent de façon fortuite, sur les actifs numériques d’entreprises. En prenant connaissance de ces informations extérieures, ces dernières améliorent leur sécurité et corrigent les vulnérabilités avant qu’elles ne soient exploitées par d’autres personnes malveillantes et se préviennent ainsi de possibles cyberattaques.

Problème : si une entreprise ne possède pas de Politique de Divulgation des Vulnérabilités (VDP), le chercheur ne sait pas toujours comment, et par quel moyen signaler les failles qu’il a découvertes. D’autant plus que dans un passé récent, de telles remontées ont pu exposer certains chercheurs, malgré leur bonne foi, à des menaces de poursuites par certaines organisations concernées. Il est donc tout naturel qu’ils ne prennent désormais plus le risque de notifier une faille sans garanties préalables.

Le service de VDP proposé par YesWeHack permet à l’entreprise de créer un canal de communication pour les chercheurs via un formulaire dédié et sécurisé. Ces derniers peuvent y rédiger un rapport détaillé sur les failles qu’ils ont détectées sur le site Internet, les produits ou les services de cette entreprise. Il offre ainsi un cadre légal et sécurisé pour les chercheurs et simplifie, pour les organisations, la gestion des vulnérabilités en interne.

Quels avantages pour l’entreprise ?

La VDP propose une approche « passive » de la gestion des vulnérabilités.  Elle permet à l’entreprise d’être notifiée par des hackers éthiques ayant trouvé une faille dans ses actifs numériques. Avec des rapports structurés, adressés directement au bon interlocuteur de l’entreprise, le risque et le délai entre la détection et la remédiation de la faille sont réduits.

Avoir une Politique de Divulgation des Vulnérabilités constitue également une déclaration publique. Le VDP atteste de l’engagement de l’entreprise à améliorer sans cesse la sécurité de son système d’information ou de ses systèmes. C’est donc un signal positif auprès de ses partenaires, clients et utilisateurs sur sa posture de sécurité.

Concrètement, YesWeHack fournit à l’entreprise un formulaire de soumission de rapport de vulnérabilité. Ce dispositif permet de réduire le « bruit » (soumissions non pertinentes) et d’améliorer la qualité des rapports. Pour signaler la vulnérabilité, le chercheur doit remplir l’intégralité des champs et sa notification est directement envoyée au service compétent dans l’entreprise.

Grâce à son interface de gestion de vulnérabilités et à son API publique, YesWeHack permet également l’intégration automatisée des rapports dans les workflows de l’organisation – et de faciliter ainsi le traitement de ses failles.

L’accompagnement de YesWeHack

YesWeHack accompagne ses clients dans toutes les étapes nécessaires à la mise en place d’une Politique de Divulgation des Vulnérabilités :

  • Accompagnement dans la rédaction de la VDP
  • Publication de la politique et du formulaire de rapport intégré
  • Traçabilité et confidentialité des rapports
  • Récupération des rapports sur une interface de gestion de vulnérabilités
  • Intégration des rapports via une API publique et des connecteurs
  • Triage des rapports soumis (option)

VDP et Bug Bounty : les différences ?

De nombreux fournisseurs mêlent sur leur plateforme les programmes de Bug Bounty et de VDP. Cette confusion peut s’avérer préjudiciable pour les entreprises car les deux démarches n’ont pas les mêmes fonctionnalités et objectifs :

Afin d’éviter toute confusion, le programme de VDP n’apparaît pas sur la plateforme de Bug Bounty YesWeHack mais seulement sur une page Internet dédiée de l’entreprise.

Plus d’informations sur le programme de VDP YesWeHack : ici

Découvrir le programme de VDP en images : ici

Morgane Palomo
Diplômée d'un master un brand management marketing, sa curiosité et sa soif de savoir ne sont étanchées. De nature créative, elle a su diversifier ses expériences. De la création graphique, à l'événementiel en passant par la communication interne et le marketing digital, elle s’est construit un savoir pluriel et avant tout polyvalent.

More from author

Restez connectez !

Nous diffusons une Newsletter mensuelle incluant des dossiers thématiques, interviewes et investigations réalisées par nos journalistes indépendants.
Vous souhaitez recevoir notre lettre d’informations?