Après une année éprouvante d’attaques incessantes, les entreprises se tournent vers le hacking collaboratif pour débusquer les vulnérabilités qui échappent aux solutions d’analyse conventionnelles.
« L’union fait la force ». Cette affirmation s’applique parfaitement à l’une des conclusions de l’étude HackerOne sur le hacking éthique. En 2021, le hacking éthique a connu un regain d’intérêt significatif. Le rapport révèle une tendance généralisée à la collaboration pour faire face à la menace. « Les hackers de haut niveau sont très demandés, car les organisations leur font confiance pour trouver les bogues ayant l’impact le plus grave, ou pour avoir la créativité nécessaire pour enchaîner plusieurs bogues de faible gravité en une seule découverte », expliquent les rédacteurs du rapport. Les hackers éthiques membres de la plateforme ont ainsi signalé plus de 66 000 vulnérabilités, un chiffre en augmentation de 20 % par rapport à 2020.
La pandémie a eu pour conséquence une accélération de la transformation numérique et de la migration vers le cloud, exposant les organisations à davantage de vulnérabilités alors que les surfaces d’attaque s’étendent et que les services continuent de s’externaliser. Le rapport Hacker-Powered Security Report : Industry Insights exploite les données des rapports de vulnérabilité du monde réel pour fournir un aperçu des catégories de vulnérabilité qui se développent le plus rapidement, de la façon avec laquelle les prix des primes évoluent d’une année sur l’autre, et des industries qui sont les plus rapides à corriger.
Hausse de 264 % des campagnes de pentest
Selon le rapport, « La sécurité collaborative est une pratique en forte croissance, soutenue notamment par une hausse très significative des campagnes de pentests (264 %) ». Parallèlement, le nombre de programmes impliquant des hackers éthiques a augmenté de 34 %, preuve que l’adoption de programmes de sécurité menés par des hackers augmente dans tous les secteurs. Les secteurs les plus demandeurs sont la santé et l’aviation et l’aérospatial avec un taux en augmentation de 150 %. Suivent les gouvernements avec 89 % de croissance de leurs programmes de hacking collaboratif.
Le HackerOne Global Top 10 est le classement qui exploite l’ensemble des données relatives aux vulnérabilités signalées par les hackers. La première place des signalements sur HackerOne revient au Cross Site Scripting avec une augmentation de 7 %. Cependant, ce sont les vulnérabilités provoquées par des erreurs de logique métier qui ont connu l’augmentation la plus importante, 67 %. Elle rentre de ce fait et pour la première fois dans le top du classement.
Rappelons que ces vulnérabilités de la logique métier ou Business logic errors sont des failles dans la conception et la mise en œuvre d’une application, qui permettent à un attaquant de détourner le comportement de l’application pour accomplir ses méfaits. D’autres types de vulnérabilités ont connu une augmentation significative depuis 2020. La divulgation d’informations a crû de 58 % et apparaît aussi pour la première fois dans le classement.