LIVRE BLANC YES WE HACK

Divulgation coordonnée de vulnérabilités.

Fédérer pour réduire le risque.

 

Découvrir des vulnérabilités dans les systèmes d’information est aujourd’hui à la portée de nombreuses personnes. Elles ne font pas nécessairement partie de sociétés d’audit en cybersécurité, ainsi signaler une vulnérabilité au responsable de sécurité n’est pas toujours chose aisée. Leur apport peut cependant être pertinent et aider à mieux comprendre les risques sur les actifs.

Comment aborder alors cette « zone grise » ? La personne qui découvre une vulnérabilité dans votre SI et vous la signale est, le plus souvent, bien intentionnée. Naturellement, cela peut beaucoup surprendre que de recevoir un message de quelqu’un avec qui on n’a jamais échangé ou qui n’a pas de mandat de pentest, mais qui nous remonte un problème de sécurité. On est cependant désagréablement surpris de l’apprendre par Twitter…

Les situations où des inconnus découvrent des problèmes de sécurité sur les SI se multiplient. Il s’agit d’une déclinaison quelque peu inattendue de la prise de conscience que la sécurité est une affaire de tous. Et il est donc temps que les responsables de sécurité se saisissent de cet enjeu. Il est, évidemment, bien plus intéressant de structurer et maîtriser la remontée de vulnérabilités par des personnes externes à l’organisation que de la subir. C’est pourquoi on parle de divulgation coordonnée de vulnérabilités.

Pour comprendre les tenants et aboutissants légaux, organisationnels et opérationnels de la divulgation coordonnée de vulnérabilités, YesWeHack a publié fin janvier un livre blanc (en français et en anglais) : https://blog.yeswehack.com/read-our-coordinated-vulnerability-disclosure-white-paper/