Pour améliorer la sécurité de leur système d’information, les entreprises ont plusieurs solutions. Certaines font appel au « Bug Bounty », qui consiste à donner une récompense financière à celui qui trouve une faille de sécurité dans les défenses de l’entreprise. D’autres encore, préfèrent faire réaliser des audits de cybersécurité par des entreprises compétentes. Deux solutions différentes qui présentent chacune des avantages et inconvénients.
La pratique du Bug Bounty est très répandue dans le monde professionnel car elle assure de nombreux avantages. L’opérateur télécom d’entreprise Hub One explique sur son blog que le Bug Bounty permet de mettre à jour continuellement la cyberdéfense de l’entreprise, dans la mesure où de nombreuses personnes viennent tester ses vulnérabilités, dans l’espoir d’obtenir une récompense. Plus la faille trouvée est importante, et plus la récompense financière est grande.
De son côté, l’audit de cybersécurité en entreprise est réalisé par des professionnels du secteur. La méthode reste la même : il s’agit d’un test d’intrusion, appelé pentest, qui vient évaluer la résistance du système d’information ou du réseau de l’entreprise. L’audit a l’avantage de détailler toutes les procédures menées pour tester la cyberdéfense de l’entreprise, en fournissant les dates des tests, les IPs des assaillants, et la méthodologie employée. Contrairement au Bug Bounty, où le travail mené par les participants est moins encadré.
Selon Hub One, dont la filiale Sysdream réalise des audits de cybersécurité pour les professionnels, choisir l’audit, c’est « opter pour une approche structurée : la recherche de vulnérabilités à l’aide d’une méthodologie stricte permettant de couvrir un maximum d’aspects du système exposé ». L’entreprise sera mise en relation avec un interlocuteur dédié qui l’accompagnera tout au long de la procédure, et bénéficiera à la fin de la mission d’un rapport d’audit détaillé.
Le Bug Bounty, lui, ouvre « la recherche de failles à un nombre important de personnes, de tous niveaux et secteurs d’activité ». Ces personnes rendent compte de leurs avancées sur une plateforme en ligne. Il est cependant nécessaire d’établir des règles strictes lorsqu’une entreprise fait appel à la communauté, étant donné qu’aucun contrat légal n’est établi avec elle.
S’il fallait choisir entre les deux, Hub One préconiserait l’audit de cybersécurité. C’est en effet un gage de confiance et de sécurité, notamment lorsque l’entreprise concernée n’est pas certaine de la sécurité de son système d’information, ou encore si les tests sont réalisés sur des parties sensibles de l’entreprise.
Néanmoins, l’opérateur télécom d’entreprise ajoute que le Bug Bounty peut s’avérer complémentaire lorsque l’entreprise souhaite vérifier auprès du public la sécurité du système pour « faire remonter d’éventuels oublis ». De même, si le budget de l’entreprise est limité, il peut être avantageux de partager le budget de la cyberdéfense entre un audit et une récompense. Les deux solutions répondent donc à des enjeux et objectifs différents, mais peuvent être complémentaires.