Decathlon Technology organise son premier live bug bounty avec YesWeHack
juin 2022 par Patrick LEBRETON
A l’occasion du Forum de la Cybersécurité (FIC) 2022 Decathlon Technology organise son premier Live Bug Bounty en partenariat avec la plateforme YesWeHack. Face aux cyberattaques de plus en plus nombreuses et sophistiquées, Decathlon a toujours beaucoup investi pour maintenir un haut niveau de sécurité et contrer les actions et menaces malveillantes dont elle fait l’objet. Majeur pour les entreprises, quel que soit leur secteur d’activité et leur taille, le risque cyber fait l’objet d’une forte considération stratégique. Un enjeu d’autant plus important lorsque l’on sait que le coût moyen d’une attaque cyber avoisine les 8,6 millions d’euros (source : Accenture Security et du Ponemon Institute). Présent dans 70 pays, adressant les besoins de 500 millions d’utilisateurs de ses produits et services et d’une communauté de plus 100 millions de membres, Decathlon est un acteur digital de poids, jouissant d’une forte visibilité, et par la même occasion, d’une exposition en matière de cyber-risques.
Durant deux jours pendant le FIC, Decathlon Technology se mettra à l’épreuve des hunters à l’occasion d’un Live Bug Bounty qui récompensera les meilleurs par des primes calculées selon la sévérité des failles trouvées.
Ainsi dès le 8 juin à 10h, les chasseurs de bugs pourront venir s’inscrire sur le stand YesWeHack (F12) du FIC. Les inscriptions et modalités de participation se feront via la plateforme YesWeHack.
Decathlon Technology souhaite tester la robustesse de la solution "OneShop". Il s’agit de la solution E-Commerce légère, basée sur PrestaShop, utilisée par une trentaine de pays dans le monde. A cette occasion, les hunters seront invités à déceler les éventuelles vulnérabilités présentes sur le site E-Commerce de Decathlon Tunisie dont les équipes techniques seront mobilisées pour assurer, avec réactivité, la qualification et la remédiation des rapports soumis par les hunters.
De plus, afin de tester la plateforme E-Commerce de bout en bout, Decathlon Technology souhaite également inclure sa solution d’authentification appelée "Login" et sa solution de fidélisation appelée "Account" dans le périmètre à tester.
“C’est la première fois que nous nous lançons dans un Live Bug Bounty et qui plus est à l’occasion d’un événement tel que le FIC ! Depuis un an, nous sommes en programme de Bug Bounty privé et ce live nous permet d’aller plus loin dans la démarche de collaboration avec les hackers éthiques. Ce live Bug Bounty permet de rencontrer les chasseurs, d’échanger avec eux, d’aller plus loin dans la recherche de failles. En d’autres termes, cela contribue de manière significative à notre démarche de transparence.” témoigne Farid Illikoud, Group Chief Information Security Officer Decathlon.
La Cybersécurité, priorité pour Decathlon
Depuis plusieurs années, à travers Decathlon Technology, la tech est au service de la digitalisation des activités de l’entreprise Decathlon, de manière transverse et massive. La Cybersécurité est une partie hautement stratégique de la chaîne de valeurs de Decathlon.
Ainsi, les équipes en charge de la cybersécurité déploient de nombreux moyens et outils au service de la sécurité de l’entreprise, à travers le monde pour assurer le déploiement de ses activités dans les 70 pays dans lesquels elle est implantée. Parmi les actions conduites par les équipes Cybersécurité de l’entreprise, et désireuse de rester à la pointe des innovations pour gérer les risques cyber, Decathlon est en programme de Bug Bounty privé depuis un an sur la plateforme YesWeHack.
Ce programme de Bug Bounty permet aux équipes Produits et aux équipes Cybersécurité de bénéficier de tests de sécurité en continu et de mobiliser les talents d’un vivier de hackers éthiques mobilisés sur des périodes longues et pas uniquement dans des schémas de ‘pen test’ concentrant les travaux et l’attention sur des périodes courtes de quelques jours. Au-delà de ses tests, Decathlon s’emploie au quotidien à délivrer la valeur confiance à ses clients.
“Un Bug Bounty est challengeant pour nous et il nous engage. Lorsque les hunters détectent une vulnérabilité, ils soumettent un rapport. Et lorsque cette vulnérabilité est critique, nous nous donnons un délai contraint pour la corriger. Cette réactivité est indispensable dans nos engagements. Elle nous permet de maintenir le haut niveau d’exigence qui nous caractérise chez Decathlon et qui entretient la motivation tant des attaquants que de nos équipes. » explique Matthieu Vanoost, Information Security Manager Decathlon.