Posté le septembre 24, 2020 à 16:00
LES HACKERS SONT INVITÉS À PARTICIPER AU PROGRAMME DE PRIME AUX BOGUES DE CONNECTWISE
Les hackers ont reçu une invitation fermée à se connecter à la plate-forme HackerOne et à essayer de découvrir toute vulnérabilité dans la plate-forme de ConnectWise.
L’objectif de la plateforme est de découvrir s’il y a des failles et de les corriger avant que les hackers ne les découvrent eux-mêmes.
ConnectWise s’apprête à renforcer la sécurité
En juillet, le MSP a découvert deux failles critiques dans le système d’automatisation ConnectWise, qui constituaient une menace pour les deux clients du MSP si les hackers parvenaient à exploiter la vulnérabilité. Avant l’incident, de nombreuses failles avaient été découvertes dans le serveur de contrôle de ConnectWise.
Aujourd’hui, il semble que la société ne prenne aucun risque, puisqu’elle a invité les hackers à essayer de découvrir s’ils pouvaient découvrir une vulnérabilité.
La société a déclaré qu’elle s’occuperait de toutes les vulnérabilités confirmées découvertes par le programme, et qu’elle divulguerait certains problèmes en fonction de leur gravité.
Le site ConnectWise Trust a déclaré qu’il continuerait à fournir des informations responsables, car il est la principale source d’informations sur différents sujets liés à la vie privée, à la conformité et à la sécurité. Il accueille également les alertes et les bulletins de sécurité de ConnectWise, les mises à jour et les correctifs indispensables.
« Notre objectif est de fournir un scénario en situation réelle pour le test de nos produits », a révélé ConnectWise dans une déclaration sur son site.
La société a déclaré que le programme de prime aux bogues permet de découvrir les problèmes, de trouver une solution durable et d’aider l’entreprise à rester plus transparente en ce qui concerne la sécurité de ses produits.
Ce type d’invitation ouverte n’est pas nouveau pour ConnectWise, car certaines entreprises préfèrent garder leur portail plus sûr en invitant les hackers à tenter de s’y introduire. Bien entendu, une telle action s’accompagne généralement d’une récompense pour le hacker qui découvre une quelconque faille existante. Les entreprises sont généralement ravies de payer de telles récompenses si cela permet d’améliorer la sécurité de leurs serveurs, car elles peuvent être obligées de payer beaucoup plus cher si leur système est compromis.
L’entreprise a toujours fait preuve de franchise dans sa gestion des problèmes de vulnérabilité, avec le programme de prime aux bogues ConnectWise qui complète sa stratégie de gestion des bogues. Pour ce programme, ConnectWise collabore avec une plateforme de sécurité supportée par les hackers, HackerOne, pour organiser le programme.
Le programme de prime aux bogues encouragera la recherche en matière de sécurité sur la plateforme, en offrant de l’argent à toute personne qui trouve une vulnérabilité de sécurité sur la plateforme.
Les organisations peuvent découvrir et résoudre les problèmes de sécurité lorsqu’elles s’associent à des tiers pour accepter les rapports de vulnérabilité, ce qui réduit au minimum les risques que les hackers les exploitent.
Toutefois, ce programme de prime aux bogues ConnectWise n’est pas ouvert à tous. Il est spécifiquement conçu pour les hackers invités par la plateforme HackerOne.
Stratégies vitales de cybersécurité
ConnectWise a déclaré qu’elle a été guidée par des stratégies de sécurité clés pour améliorer la sécurité de son application, ce qui améliorera la réputation de l’entreprise.
Le programme de prime aux bogues prend note des deux stratégies pour améliorer la sécurité. Il vient s’ajouter aux contrôles de sécurité des applications existantes, ce qui offre une étendue et une profondeur à la communauté de HackerOne.
Alex Rice, directeur de la technologie et fondateur de HackerOne, a commenté ce partenariat.
Il a déclaré que HackerOne a aidé plus de 2 000 clients à découvrir plus de 180 000 vulnérabilités dans leurs systèmes et serveurs, ce qui a renforcé le cadre de sécurité des biens numériques.
Alex a également rappelé que depuis que la plateforme a commencé à s’associer avec d’autres organisations commerciales pour détecter les bogues, les hackers ont gagné plus de 100 millions de dollars en récompenses.
C’est une bonne compensation pour les entreprises par rapport aux implications techniques, commerciales et juridiques d’une violation de sécurité, qui sera bien plus importante que la compensation versée aux hackers à chapeau blanc ou white hat, a-t-il poursuivi.
Les experts en sécurité encouragent la mise en place de programmes de primes aux bogues
Selon IBM Security et le Ponemon Institute, les implications financières d’une faille de sécurité s’élèvent en moyenne à 3,86 millions de dollars pour une entreprise.
Les experts en sécurité saluent également le travail de ces programmes de primes aux bogues, car ils ont contribué à réduire la fréquence des failles de sécurité et de l’exploitation des vulnérabilités par les hackers. Beaucoup espèrent que d’autres entreprises organiseront des programmes similaires pour réduire encore plus le niveau d’exploitation.