Les RSSI ont conscience que les vulnérabilités logicielles sont une menace majeure pour leur organisation. Mais ce n’est pas une raison suffisante pour accepter l’intervention d’hackers inconnus dans leur SI… Pourtant, à l’épreuve des faits, les méthodes traditionnelles de cybersécurité ne suffisent pas…
Selon une étude HackerOne (plateforme mondiale de sécurité collaborative), la moitié (51 %) des RSSI français préfèreraient courir le risque d’avoir des vulnérabilités dans leur système plutôt que d’inviter des hackers inconnus à les trouver.
En Allemagne ou au Royaume-Uni, ils seraient respectivement 59 % et 62 % à faire le même choix.
Ce sont les résultats les plus emblématiques d’une enquête sur la maturité des RSSI européens en matière de sécurité offensive. Environ 600 RSSI en France, en Allemagne et au Royaume-Uni ont participé à cette étude.
Elle révèle un nombre important de préoccupations. Dans le détail, on apprend que :
● Près de neuf RSSI sur dix (87 % des répondants en France, 86 % en moyenne en Europe) affirment que l’innovation technologique au sein de leur entreprise est entravée par la crainte d’un problème de sécurité ;
● 48 % des RSSI européens (46 % en France) déclarent que leur organisation passe trop de temps à gérer les problèmes de sécurité dans les codes logiciels ;
● 64 % des RSSI européens (68 % en France, 63 % au Royaume-Uni et 60 % en Allemagne) affirment que leur équipe n’est pas suffisamment dimensionnée pour suivre le rythme de développement de leur organisation ;
● 83 % des RSSI européens (90 % au Royaume-Uni, 88 % en France et 80 % en Allemagne) considèrent les vulnérabilités logicielles comme une menace importante pour leur organisation.
Malgré tout, 57 % des RSSI européens préfèrent courir le risque d’avoir des vulnérabilités dans leur système plutôt que d’inviter des hackers inconnus à les trouver.
« Il semble normal de constater encore certaines réticences ; la sécurité offensive est encore un marché émergent en Europe et certains mythes subsistent. Il est donc primordial de poursuivre l’évangélisation et de démontrer les bénéfices du hacking éthique. Ne pas chercher à trouver des vulnérabilités dans ses systèmes de manière proactive revient à appliquer la politique de l’autruche. Avec ce genre d’attitude, une vulnérabilité peut rester exploitée longtemps, à l’insu de l’organisation, et faire de nombreux dégâts », explique Hugues Masselin, Consultant en bug bounty au sein de HackerOne.
Concernant la maturité des RSSI en matière de sécurité offensive et leurs opinions vis-à-vis des hackers, cette étude constate que :
● 45 % des RSSI européens (65 % au Royaume-Uni, 39 % en Allemagne et 30 % en France) admettent que les tests d’intrusion ne fournissent pas de résultats suffisants pour suivre le rythme du développement des solutions.
Les RSSI français semblent les plus optimistes quant à leur appréciation des bénéfices de tels outils puisque près d’un RSSI français sur cinq (21 % des répondants en France) estime que les pentests fournissent des résultats suffisants pour suivre le rythme du développement (un sentiment partagé par seulement 11 % des RSSI au Royaume-Uni et 4 % en Allemagne). ;
● Seuls 26 % des RSSI européens se sentent prêts à accepter les soumissions de bugs de l'ensemble de la communauté de hackers (17 % au Royaume-Uni, 23 % en France, 36 % en Allemagne). Sans surprise, ce score augmente (jusqu’à 40 % en France) à l’idée de collaborer uniquement avec des hackers certifiés ;
● 54 % des RSSI européens ne sont pas à l'aise à l’idée de collaborer avec des hackers ayant un passé criminel. Les RSSI français semblent moins regardants que leurs voisins sur le sujet, avec seulement 44 % de RSSI qui partagent cette opinion, contre 55 % en Allemagne et jusqu’à 62 % au Royaume-Uni.
Finalement, les RSSI se trouvent dans une position délicate, ils doivent s'ouvrir à l'innovation tout en restant garants de la cybersécurité. Grâce au hacking éthique, les vulnérabilités peuvent être corrigées immédiatement.
Source: HackerOne