Protection juridique des hackers : HackerOne sensibilise la communauté

0

Selon une enquête de HackerOne, qui sera dévoilée dans quelques jours : 1 hacker sur 2 ne signalerait pas aux entreprises les vulnérabilités découvertes. Pourquoi ? Il semblerait qu’une mauvaise expérience n’encourage pas les hackers éthiques à communiquer les failles. 

Or, selon le manifeste CsecR de HackerOne, la transparence constitue un pilier clé dans le renforcement de la cybersécurité. En effet, les organisations veulent à tout prix être perçues comme infaillibles en matière de cybersécurité. Cependant, s’ils n’admettent pas leurs failles et ne les corrigent pas, ils pourraient subir des dommages importants.

Détecter et réparer les failles informatiques des organisations afin de protéger ces dernières d’éventuelles cyberattaques, tel est le rôle des hackers éthiques. Quant à eux, comment sont-ils protégés ? Où en est-on aujourd’hui concernant la protection juridique des hackers éthiques ? Quelles sont les pratiques à mettre en place pour les protéger ? 

Visant à soutenir la communauté mondiale de hackers éthiques et à encourager les bonnes pratiques, HackerOne annonce ce jour l’initiative Gold Standard Safe Harbor pour protéger juridiquement les activités des hackers éthiques. 

HackerOne annonce l’initiative Gold Standard Safe Harbor pour protéger juridiquement les activités des hackers éthiques

En contournant les règles de sécurité des entreprises, les hackers éthiques s’exposent parfois à des conséquences juridiques alors même qu’ils œuvrent pour le bien commun. L’initiative lancée par HackerOne vise à encourager les bonnes pratiques et à soutenir la communauté mondiale de hackers éthiques. 

HackerOne, le leader mondial de Attack Resistance Management (ARM), présente aujourd’hui son initiative Gold Standard Safe Harbor (GSSH) auprès des entreprises, dégageant les hackers de toute responsabilité lorsqu’ils exercent leur activité de manière éthique. Cette annonce est l’aboutissement des efforts déployés par HackerOne pour valoriser les hackers tout au long du mois de la sensibilisation à la cybersécurité. 

Par défaut, toute politique de divulgation de vulnérabilités, y compris les programmes de bug bounty, devrait inclure une clause qui décrit les protections juridiques auxquelles les hackers peuvent s’attendre. Le GSSH est une déclaration courte et efficace, que les entreprises peuvent facilement adopter pour standardiser l’approche et éviter aux hackers de naviguer entre les règles des différents programmes sur lesquels ils collaborent. Grâce à cette initiative, les organisations peuvent désormais démontrer leur engagement à protéger les recherches de sécurité de bonne foi, ainsi que stimuler l’engagement des hackers à améliorer leur résistance aux attaques. Kayak, GitLab Inc., et Yahoo sont parmi les premiers clients de HackerOne à adhérer à cette initiative.

“Avec l’augmentation des surfaces d’attaque, un engagement solide des hackers n’a jamais été aussi essentiel pour réduire les risques”, a déclaré Chris Evans, CISO et Chief Hacking Officer chez HackerOne. “Nous souhaitons montrer notre soutien à la communauté des hackers en établissant un standard d’excellence auquel nos clients peuvent adhérer, qui aide les hackers à se sentir protégés et valorisés au cours de leur collaboration avec les clients. Lorsque les hackers sont sereins et engagés, les organisations obtiennent une meilleure résistance aux attaques.”

Les premières conclusions du rapport mondial HackerOne sur le hacking éthique, qui sera publié dans quelques semaines, révèlent que plus de la moitié des hackers n’ont pas signalé une vulnérabilité qu’ils ont découverte. Les raisons sont variées : 20 % ont fait ce choix après une première expérience difficile avec la même organisation, 12 % parce qu’ils ont senti une forme de menace juridique de la part de l’organisation. Aux Etats-Unis, deux hackers sur trois anticipent que les récents changements du Computer Fraud and Abuse Act (CFAA) du Département de la Justice (DOJ) vont améliorer leur protection. 

« Le Gold Standard Safe Harbor nous aide à nous différencier plus clairement en tant que programme avancé de bug bounty », a déclaré Matthias Keller, Chief Scientist chez Kayak. « Cela s’aligne avec d’autres meilleures pratiques que nous suivons, comme le paiement sur le triage et le paiement pour la valeur, afin de garantir que nous travaillons avec les meilleurs hackers qui s’engagent à protéger la société. » 

Adopter le GSSH démontre l’engagement d’une des organisations pour étendre ces derniers développements juridiques et réglementaires. Les organisations exerçant GSSH autorisent également la recherche de sécurité de bonne foi, ce qui peut aider à clarifier la distinction entre la dernière et une violation de données.

“GitLab est ravi d’adopter l’initiative Gold Standard Safe Harbor », a déclaré Dominic Couture, Staff Security Engineer, Application Security chez GitLab. “Nous espérons que cela réduira la charge informationnelle pour des hackers et rendra leur expérience de bug bounty plus transparente, soutenant notre mission à laquelle tout le monde peut contribuer.”

Les organisations qui s’engagent à respecter le GSSH remplaceront leur déclaration de Safe Harbor existante par la GSSH sur leur page de programme et recevront un badge numérique correspondant. Les hackers pourront également rechercher des programmes sur la plateforme HackerOne en fonction de leur adhésion au GSSH.

GSSH marque le début d’une initiative plus large visant à codifier et à promouvoir les meilleures pratiques pour faire engager des hackers et réduire le risque cyber. Les hackers ont également eu l’occasion d’apprendre davantage sur les programmes de HackerOne en participant à GSSH. Le GSSH est le début d’une initiative plus large visant à codifier et à promouvoir les meilleures pratiques pour les entreprises afin d’engager les hackers et de réduire le risque de cybersécurité. Pour en savoir plus sur l’initiative plus large de HackerOne et le GSSH, cliquez ici.

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici

Notifiez-moi des commentaires à venir via e-mail. Vous pouvez aussi vous abonner sans commenter.

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.