Depuis le début de la guerre en Ukraine, les experts de la cyberdéfense sont en alerte. L’ANSSI, la Banque Centrale Européenne (BCE), ainsi que d’autres institutions européennes et françaises, ont d’ailleurs appelé les administrations et organisations à renforcer leur système de cyberdéfense.
Des organisations internationales s’engagent en faveur d’une plus grande transparence dans la cybersécurité. TikTok, GitLab Inc., Wix, SCYTHE et Starling Bank se joignent à HackerOne pour prôner une cybersécurité plus responsable.
Tribune – Dans un contexte où la stabilité de l’économie numérique repose en partie sur la capacité de ses acteurs à sécuriser les systèmes d’information, HackerOne, le leader mondial du hacking éthique, a lancé son appel mondial pour une cybersécurité plus responsable, baptisé Corporate Security Responsibility (CSecR). Plusieurs grandes entreprises internationales, dont TikTok, Wix, Starling Bank et GitLab, se sont déjà engagées auprès de HackerOne et ont rejoint cette initiative.
L’appel a été mené suite aux résultats d’une nouvelle enquête de HackerOne, intitulée Le piège de la sécurité : de la culture du secret à la transparence, qui montre qu’en France, plus de la moitié (57 %) des organisations maintiennent une culture de la sécurité par l’obscurité.
Héritée d’une époque où les systèmes étaient moins connectés et moins accessibles, cette approche présente désormais d’importants risques concernant la pénétration des systèmes, le vol ou la destruction des données, leur chiffrement à des fins de chantage… En outre, il existe encore certaines réticences lorsqu’il s’agit d’adopter de nouvelles pratiques de sécurité : 64 % des organisations avouent qu’elles préfèreraient accepter des vulnérabilités logicielles plutôt que de travailler avec des hackers.
D’autres chiffres marquants de l’enquête :
- 43 % des organisations françaises avouent ne pas être ouvertes sur leurs pratiques de cybersécurité
- 52 % révèlent avoir perdu ses clients à la suite d’une violation de la sécurité
- 64 % avouent qu’elles préfèreraient accepter des vulnérabilités logicielles plutôt que de travailler avec des hackers.
- 3 responsables sécurité sur 5 en France ont déclaré que les bonnes pratiques en matière de cybersécurité étaient tout aussi importantes que le coût lorsqu’il s’agissait de choisir un fournisseur
Johnathan Hunt, vice-président sécurité au sein de GitLab, explique pourquoi ils se sont engagés :
« GitLab pratique la transparence par défaut. Elle rend nos logiciels plus sûrs et nous permet de mieux collaborer et d’innover. Le Corporate Security Responsibility Pledge de HackerOne résonne donc particulièrement avec nos valeurs, et nous sommes heureux d’être l’un des premiers partenaires à déclarer publiquement notre engagement envers ces valeurs. Nous encourageons d’autres organisations à expérimenter les avantages de l’adhésion aux engagements du CSecR. »
Les partenaires de HackerOne se sont également exprimés sur ce sujet. Selon Roland Cloutier, responsable mondial de la sécurité chez TikTok :
« La transparence est au cœur de l’activité et de la marque TikTok, et notre ambition est de l’instiller à tous les niveaux, depuis la modération du contenu jusqu’à notre programme de bug bounty. Notre ambition est de créer une plateforme sûre pour que nos contributeurs puissent s’exprimer de manière créative et divertir notre communauté mondiale. Nous savons que la meilleure façon de garder une longueur d’avance sur l’évolution du paysage des menaces est de collaborer avec les meilleurs experts et chercheurs en sécurité du secteur, en les invitant à identifier et divulguer les vulnérabilités potentielles afin que nous puissions les combler rapidement. »
L’enquête Le piège de la sécurité : de la culture du secret à la transparence a été réalisée auprès de 800 responsables sécurité à travers le monde.