Nous travaillons aussi en cybersécurité sur des programmes publics gérés par les grandes entreprises ainsi que sur des proprammes privés proposés par les grandes plateformes de bug bounty.

Les mythes en cybersécurité conduisent à de pauvres choix stratégiques qui coûtent cher aux entreprises.

1/ "Les risques sont sous contrôle"

Les hackers trouvent constamment de nouveaux moyens aussi bien pour les systèmes estampillés safe par le passé que pour les nouveaux environnements

2/ "Mon entreprise n'est pas concernée"

Tous les secteurs d'activités sont susceptibles d'être attaqués dés lors qu'une ou plusieurs menaces sont applicables. Par exemple, le nombre d'attaques par ransomware est en augmentation sur toutes les infrastructures.

3/ "Les cybercriminels sont forcément des gens de l'extérieur"

Les cybercriminels travailent aussi avec du personnel en poste et n'hésiteront pas à faire engager un membre de leur groupe afin d'agir de l'intérieur.

4/ "Les logiciels de sécurité les plus sophistiqués assurent la protection"

Même si ces logiciels couvrent les principaux aspects (Firewall, Antivirus, ...), ils n'ont aucune capacité d'abstraction et sont incapables de s'opposer à un plan.

5/ "C'est une question interne, les fournisseurs ne sont pas concernés"

Les données constituent un flot qui suit un chemin toujours plus complexe avec différents interlocuteurs et des relations entre les applications, par exemple au moyen d'API. C'est pourquoi, tout le cycle de traitement est concerné.

6/"Notre sécurité est bien préparée grâce à un programme de bug bounty."

Les  plateformes de bug bounty permettent d'avoir accès à une communauté pour rechercher  des vulnérabilités potentielles. En fonction d'une liste de conditions toujours plus longue, les succès approuvés sont récompensés suivant une grille de rémunération tenant compte de la gravité.

L'avantage de cette offre est une solution clé en main pour un budget restreint avec de nombreux travailleurs gratuits.

Cependant, l'effet est pervers car la majorité des rapports présentés au client concernent des risques négligeables de sorte qu'avec le temps l'entreprise vit dans la douce euphorie que sa sécurité est maitrisée.

La démocratisation de ce marché tire les rémunérations vers le bas. On remarque que la récompense offerte pour la découverte d'une faille critique est de plus en plus faible, de l'ordre de $1000 à $2000.

Nous sommes bien placés pour vous dire que des ingénieurs ne vont pas passer des semaines en recherche et développement pour un tarif si faible.

C'est pourquoi plus de 95% des programmes de bug bounty sont ignorés des professionnels car ils se concentrent sur le petit nombre qui offre une rémunération convenable en regard du travail requis.

7/"Les employés ne sont pas spécialistes en cybersécurité"

La cybersécurité n'est pas la propriété exclusive d'un unique département de l'entreprise. C'est une question globalement partagée (utilisateurs, développeurs, ...) avec des actions de sensibilisation et de formation adéquates et bien évidemment un point esssentiel du DevOps.