Premier programme de bug bounty dans l'administration fédérale
L'administration fédérale et Bug Bounty Switzerland ont lancé un projet commun de cybersécurité le 10 mai 2021. Sous la direction du Centre national de cybersécurité (NCSC), ce test d'une durée de deux semaines doit permettre d'acquérir les premières expériences avec les programmes Bug Bounty.
Selon un communiqué, l'administration fédérale veut exploiter les possibilités offertes par les programmes de Bug Bounty et déterminer ainsi dans quelle mesure ceux-ci peuvent apporter une contribution stratégique à la sécurité des infrastructures des administrations et des entreprises.
Pour ce faire, le Centre national de cybersécurité (NCSC) et Bug Bounty Switzerland GmbH (BBS) mènent pour la première fois un projet pilote correspondant au sein de l'administration fédérale. Le test a débuté le 10 mai 2021 et durera deux semaines. Dans le cadre des programmes Bug Bounty, des "hackers éthiques" - des pirates informatiques qui recherchent légalement des vulnérabilités dans un cadre défini - sont appelés à détecter des failles dans les systèmes informatiques d'une organisation. Pour chaque point faible (bug) trouvé et confirmé, le hacker qui a réussi reçoit une récompense (bounty), échelonnée selon la gravité du point faible trouvé.
Le projet pilote de la Confédération est clairement délimité dans sa portée. Deux systèmes informatiques du Département fédéral des affaires étrangères (DFAE) et un des Services du Parlement ont été choisis comme cibles. En outre, le cercle des chasseurs de Bug Bounty est limité, pour ce premier test, à des hackers éthiques connus de BBS ou du NSCS et ayant déjà fait leurs preuves dans d'autres projets.
Étant donné que l'administration fédérale - tout comme d'autres secteurs réglementés - pose des exigences strictes en matière de protection des données et demande que les données soient hébergées en Suisse, BBS a développé ces derniers mois, avec l'aide technique de Microsoft Suisse, sa propre plateforme Bug Bounty, qui est entièrement exploitée en Suisse. Cette plateforme est basée sur les technologies cloud les plus modernes et répond aux besoins de la Confédération et d'autres secteurs réglementés, comme les infrastructures critiques.
La mise en œuvre du programme Bug Bounty incombe à BBS, mais elle est suivie de près par le NCSC ainsi que par des représentants du DFAE et des Services du Parlement. Le test doit permettre de poser les bases d'une discussion sur la suite à donner à l'utilisation des programmes de Bug Bounty.
Source : Département fédéral des finances