Les cyberattaques ne sont plus seulement l’apanage des entreprises privées. Les collectivités territoriales ne font désormais plus exceptions et sont concernées par cette cyberdélinquance. Depuis 2020, le nombre de ces attaques ne cessent d’augmenter : Rançongiciel, vol et revente de données, blocage des services… Bien que des organismes agissent en prévention et sur le terrain, (CNIL, ANSSI, associations de professionnels,cybermalveillance.gouv.fr …), en tant qu’éditeur de solutions pour les collectivités nous ne pouvons rester les bras croisés.
La détection de potentielles failles dans nos solutions est devenue une priorité et se fait avec l’aide des communautés expertes et de nos utilisateurs.
Nous vous proposons aujourd’hui de vous pencher sur deux méthodes qui ont fait leur preuve et utilisées chez Arpège : le « pentest » et le « bug bounty ».

« Pentest » : prenez de la hauteur et challengez votre infrastructure et organisation

Le « pentest », ou test d’intrusion, permet aux entreprises de détecter des failles et vulnérabilités dans un système en faisant appel à des experts en cybersécurité. Ce dernier est missionné sur un périmètre, ainsi qu’une période donnée et est rémunéré pour son travail de recherche de vulnérabilités, peu importe les résultats obtenus.

« Chez Arpège nous pratiquons « le pentest » depuis plus de 10 ans, notamment sur nos solutions de GRC et sur nos services SaaS. Cela nous permet de sécuriser nos applications, leur environnement de développement, de déploiement et de maintenance, tout en restant à jour de bonnes pratiques de sécurités. »
Nathanaël VERON, Responsable hébergement & RSSI Arpège

« Bug Bounty » : challengez vos applications et mettez au défi les experts

Missionner des experts en cybersécurité pour rechercher des failles dans vos applications ou programmes informatiques, c’est le principe du bug bounty. Sa particularité ? Offrir une récompense financière seulement si des failles ou vulnérabilités sont exposées.
De plus en plus d’entreprises font appel à cette méthode pour fiabiliser leurs solutions numériques. Comme dit précédemment, la cybercriminalité est en hausse et les failles de sécurité, fréquentes, ne peuvent pas tous être résolus par quelques dispositifs de cybersécurité (antivirus, pare-feu, gestion des identités, clé de sécurité, …). Ainsi, le bug Bounty et son approche financière progressive offre une solution supplémentaire à l’entreprise tout en garantissant une qualité de recherche de la part des experts : plus la faille est critique, documentée et accompagnée d’un rapport de qualité proposant des contre-mesures détailles, plus la récompense est élevée. Dans le cas contraire, si aucune vulnérabilité n’est remontée, l’entreprise n’aura rien à débourser.

Quelles différences entre « Pentest » et « bug bounty » ?

Quand le « bug bounty » se concentre sur la découverte de failles au sein d’un cyber-espace défini (application, progiciel, etc), le « pentest » peut voir plus loin et auditer un ensemble plus complexe comme un système d’information dans sa globalité (sécurité physique incluse).
Lors d’un « pentest », dit aussi « audit en boite blanche », les experts auront accès à l’intégralité des informations concernant le périmètre à tester, ce qui n’est pas le cas pour le « bug bounty ». Les experts vont passer à la loupe le moindre détail : communications et données non sécurisées, serveurs et périphériques en libre accès, … autant de paramètres qui peuvent mettre en péril votre système d’information.
Cependant, le modèle économique du « bug bounty » poussent les experts à chercher les failles les plus critiques et à approfondir le plus possibles les tests. Une minutie fortement appréciée qui permet d’aller plus loin que dans les audits « pentest ».

Vers quelle méthode se tourner ?

Entre « Pentest » et « bug bounty », le choix peut être difficile mais faut-il vraiment choisir entre les deux ? Étant différents dans leur application et périmètre, ces deux tests sont finalement complémentaires. Il peut donc être intéressant de les combiner afin de s’assurer une sécurité maximale ! C’est ce choix que nous avons fait chez Arpège.

« En mai 2022, dans le cadre du plan France Relance, nous avons été sollicités par le COTER Numérique pour un projet de « bug bounty » mutualisé où de nombreuses solutions web et mobile, utilisées par les collectivités, seraient auditées. L’objectif : mener une campagne unique d’audit afin de partager l’ensemble des résultats aux collectivités membres tout en accompagnant collectivités et éditeur dans leur monté en compétence sur les sujets de sécurité. Arpège a bien sûr répondu présent et a accepté de relever le challenge pour son espace citoyen. »

Pourquoi accepter de participer à ce projet ?

« Chez Arpège nous sommes continuellement dans une démarche d’amélioration continue afin de fournir des solutions et services répondant aux attentes des collectivités. Cela nous semblait être une bonne opportunité pour tester et renforcer nos pratiques en termes de sécurité. Dans notre cas, cet audit nous a permis de mettre à jour 25 failles mineurs et 3 un peu plus majeures sans pour autant être critiques, et ce, en l’espace de quelques jours. En termes de comparaison, en 8 ans de « pentests », nous avions détectés 23 vulnérabilités.
Ce test en mode « bug bounty », nous a également permis de tester la réactivité de nos équipes de développement lorsqu’il a fallu corriger les failles découvertes mais également de s’en servir comme d’un outil de sensibilisation des équipes techniques.
Les retours sont tellement positifs pour nous, nos produits et nos clients que nous avons pris la décision d’intégrer cette pratique de manière courante chez Arpège en plus du « pentest »
Nathanaël VERON, Responsable hébergement & RSSI Arpège