Overblog Suivre ce blog
Editer l'article Administration Créer mon blog

FinTech et Groupes Bancaires se mettent au bug bounty !

L'un des phénomènes qui aura marqué cette année 2016 fut l'essor des programmes de Bug Bounty en France

Il y a plein de choses qui ont marqué cette année écoulée, mais la financiarisation du marché des vulnérabilités informatiques ("Bug") aura sans doute été l'un des points importants de l'année, qui a vu une évolution de la digitalisation des acteurs de l'univers bancaire. Les programmes de Bug Bounty sont les récompenses accordées aux chercheurs en sécurité éthiques (dits "White Hat" dans l'univers du Hacking) qui viennent en aide aux entreprises pour les aider à mieux sécuriser leurs périmètres.

 

Récemment un hacker de 32 ans a gagné 14.000€ en 48 heures...

...sur un programme d'envergure déployé sur la plateforme française Bounty Factory : cliquez ici pour lire son témoignage

 

Les Fintech en précurseurs, les grands groupes bancaires en complément de leur arsenal de défense

Les attaques informatiques sont de plus en plus nombreuses et font de plus en plus de dégâts. Il ne se passe quasiment plus une semaine sans qu'il n'y ait de nouveau scandale. La raison ? La Cyber Sécurité est jusqu'à présent coûteuse et difficile d'accès pour les plus petits acteurs. Pour les grands groupes très exposés, la taille des périmètres impose des lourdeurs dans le déploiement des audits de sécurité et les coûts là encore freinent la multiplication des périodes de recherche de failles. Les programmes de Bug Bounty sont une réponse naturelle à ces besoins d'organisation agile de la cyber défense.

 

Plusieurs startups américaines ont levé plusieurs dizaines de millions de dollars pour se déployer

Et la France n'est pas en reste avec notamment la plateforme https://bountyfactory.io

Elle s'occupe de clients du CAC40 comme Orange et également de banques en ligne, de FinTech et d'une typologie de clients variés allant des PME aux startups de la FrenchTech.

 

Combien cela coûte ?

Les programmes sont accessibles à partir de quelques milliers d'euros et permettent de remonter plusieurs dizaines de failles de sécurité en moyenne. Donc un budget très raisonnable et surtout un moyen efficace et agile de faire monter en puissance son niveau de maturité en défense. Pour les grands groupes disposant de plusieurs centaines de scopes à surveiller, la formule de rémunération au succès permet de rémunérer les failles critiques à leur juste prix. Plus de 1500 hackers éthiques se sont inscrits en moins de 6 mois sur la plateforme Bounty Factory. Les primes vont de 50€  à plusieurs milliers d'euros en fonction de la criticité des failles qu'ils trouvent.

 

Comment démarrer votre programme de Bug Bounty ?

Vous êtes une FinTech et vous aimeriez vous assurer du niveau de sécurité de votre site ou application ? Vous êtes une société de gestion ou une banque disposant de plusieurs centaines de milliers de clients et des applicatifs très diversifiés ? Les programmes de Bug Bounty sont des formules sur-mesure. Vous pouvez rédiger le programme qui convient le mieux et adapter votre tableau de primes en fonction de ce que vous recherchez (et exclure les injections SQL et autres XSS de votre programme). Il vous suffit de créer un compte "Company" en cliquant sur la page suivante : cliquez ici !

 

Tout se fait en ligne et votre périmètre peut être activé en programme privé en moins de 24 heures avec des remontées de rapports sous 48 heures. Une efficacité redoutable pour un budget qui devrait être très inférieur au coût d'un audit, et surtout permanent : plus besoin de relancer un audit à chaque nouvelle feature ou nouvelle release. Un simple message pour avertir la communauté et elle se charge de venir vérifier la qualité de votre code.

 

Bonne découverte !

Yannick

Full Disclosure : Je suis cofondateur de la société Yes We Hack. D'ailleurs si vous avez la moindre question, n'hésitez pas à me contacter en direct. Je suis là pour y répondre...

FinTech et Groupes Bancaires se mettent au bug bounty !

Boursif.com, le réflexe quotidien pour des informations pertinentes sur les marchés boursiers

 

Et si vous avez aimé cet article, vous aimerez également l’un des 13 articles suivants :

 

  1. Pour en savoir plus sur l’auteur de Boursif.com, cliquez ici : Lire la présentation complète !
  2. Pour acheter mon livre « Comment j’ai planté ma startup » à 19,90€ sur amazon : Cliquez ici !
  3. Pour suivre en live le compte de trading de Boursif.com : cliquez ici !
  4. Pour découvrir les 14 bonnes manières pour améliorer ses capacités de trader : cliquez ici !
  5. Découvrez le Quizz « Quel trader êtes-vous ? » : cliquez ici !
  6. Pour lire l’article « Les 10 astuces pour améliorer son trading » : cliquez ici !
  7. Pour lire l’article « les 13 erreurs fatidiques en trading » : cliquez ici !
  8. Pour lire l’article « 4 idées de bons livres de trading » : cliquez ici !
  9.  Pour lire l’article « Les 7 exercices pour améliorer votre trading » : cliquez ici !
  10.  Pour lire l’article « Les 10 pièges tendus par les marchés boursiers » : cliquez ici !
  11.  Pour découvrir la règle de trading des 95% : cliquez ici !
  12.  Pour comprendre la logique d’investissement de Boursif.com : cliquez ici !
  13.  La règle du 2-2-2 pour réussir en bourse : cliquez ici !

 

Disclaimer : Les avis publiés sur Boursif.com ne sont ni des recommandations d’achat, ni des recommandations de vente, ni des conseils en investissement de manière générale. Ils ne reflètent que l’opinion purement personnelle de leur auteur et n’engagent pas sa responsabilité quant à la réalisation effective des positions prises. Prendre une position longue ou une position short sur le marché est source de risque de pertes financières conséquentes.  La responsabilité de l’auteur de Boursif.com ne peut être retenue quant aux positions de trading prises suite à la lecture de ce blog. Les performances passées ne préjugent pas des performances futures.

Mention Légale : Ce site est édité par la société Nos Conseils Atypiques enregistrée sous le numéro 812 796 407 (RCS Paris). Les articles publiés ne sont pas des recommandations d'achat ni de vente et ne constituent pas des conseils en investissement financier.

Partager cet article

Pour être informé des derniers articles, inscrivez vous :