Succès du projet pilote Bug Bounty dans l'administration fédérale
Selon le Centre national de cybersécurité (NCSC), un projet de piratage éthique mené en mai s'est avéré très fructueux. Au total, dix failles de sécurité ont été signalées, dont une s'est avérée critique, tandis que sept autres ont été classées comme "moyennes".
Les programmes Bug Bounty servent à identifier, documenter et corriger les éventuelles vulnérabilités des systèmes informatiques et des applications en collaboration avec des hackers éthiques. Au total, 15 hackers éthiques mandatés par la Confédération ont participé à ce projet pilote. Du 10 au 21 mai 2021, le Centre national de cybersécurité (NCSC) a mené un projet pilote Bug Bounty en collaboration avec Bug Bounty Switzerland GmbH, le Département fédéral des affaires étrangères (DFAE) et les Services du Parlement (SP).
Dix failles de sécurité découvertes
Pour les Mise en œuvre du projet pilote six systèmes informatiques du DFAE et des Services du Parlement ont été analysés par des hackers éthiques afin de détecter d'éventuelles failles de sécurité. Au total, dix failles de sécurité ont été signalées au NCSC. Une d'entre elles s'est révélée "critique", sept ont été classées "moyennes" et deux "faibles".
Toutes les lacunes ont été immédiatement comblées par les prestataires de services compétents. Le succès du comblement des lacunes a ensuite pu être vérifié et confirmé par les hackers éthiques.
Conclusion positive
Le projet pilote a montré que les programmes de Bug Bounty permettent d'identifier et de corriger efficacement les points faibles des systèmes et applications informatiques. Le "retour sur investissement" a été jugé élevé. Un programme de Bug Bounty pour l'administration fédérale, géré par le NCSC, apporte une contribution importante à la réduction du cyber-risque de la Confédération.
Grâce à l'expérience acquise avec le pilote et aux enseignements tirés par tous les participants, le NCSC prévoit d'étendre continuellement le programme Bug Bounty au plus grand nombre possible de systèmes de l'administration fédérale.
Le processus d'acquisition doit donc être lancé le plus rapidement possible. Entre-temps, outre Bug Bounty Switzerland GmbH, d'autres entreprises en Suisse proposent des programmes Bug Bounty. Afin de garantir la neutralité lors de l'acquisition, Florian Schütz, le délégué de la Confédération à la cybersécurité, se retire donc de l'Advisory Board de Bug Bounty Switzerland.
Source : NCSC
