Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Wavestone lance son Bug Bounty « privé »

novembre 2016 par Marc Jacob

Wavestone a lancé son offre de Bug Bounty qui devrait permettre à ces clients matures en termes de sécurité d’aller plus loin afin de trouver des vulnérabilités dans leurs applications. Ce Bug Bounty a pour particularité de n’être ouvert qu’à une quarantaine d’experts sécurité de Wavestone qui font partis de l’équipe test d’intrusion. En fait, on pourrait qualifier cette nouvelle offre de Bug Bounty « privé ».

Wavestone est issue de l’alliance entre Solucom et Kurt Salmon. La société est forte actuellement de 2.500 personnes présentes globalement en Europe et aux Etats-Unis. Aujourd’hui, la division Cybersecurité compte 450 personnes dans le monde dont 350 en France. Les clients de cette division sont le RSSI, le Business Continuity Manager, le CEO....

Les missions de Wavestone tournent autour de la Cybersécurité, de la stratégie de conformité, la transformation métier sécurisée, l’identité, les tests d’intrusion, réponse à incident avec le CERT W, la continuité d’activité et la résilience, la gestion de la fraude, la PKI... en ce qui concerne le CERT. Il ne fait que de la réponse à incident. Elle est constitué pour l’équipe la plus forme de 9 experts et peut monter jusqu’à 20 personnes. Les outils utilisés par Wavestone sont en Open Source afin d’en faire profiter la Communauté de la sécurité.

Selon, Gérôme Billois ce qui différencie son entreprise est la connaissance approfondie des risques métiers, la métrologie pour la constitution de schémas directeurs. Wavestone met l’accent sur l’innovation en suivant 80 startups en Cybersecurité à l’aide d’un "radar" avec des tests de produits jusqu’à l’étape d’accélération en hébergent ces startups et en les présentant à des clients grands comptes.

Selon Gérôme Billois, les gros projets pour 2017 concernent le Cloud avec des déploiements massifs pour les cœurs de métiers, la mise en conformité sur la LPM, la protection des données à caractère personnel avec le GDRP, la sécurité des systèmes industriels et la cyber résilience.

Yann Fillat, responsable de l’équipe d’audit de sécurité de Wavestone a annoncé le lancement d’un Bug Bounty qui permet à des experts d’être payés pour trouver des vulnérabilités. Actuellement, plusieurs plateformes de Bug bounty existent : les plateformes sauvages, celles d’entreprises privées comme Google, Facebook...
le Bug bounty est une solution innovante qui permet d’obtenir de la diversité, de la valorisation, d’être réalisable à la carte et au final est rentable pour les entreprises. Par contre, les entreprises qui utilisent ce type de services se posent des questions en particulier sur la rémunération des chercheurs, sur le fait que des personnes extérieurs à leur organisation fassent des recherches de ce type, sur la véracité des audits réalisés. Sans compter le problème de confidentialité des failles découvertes.
C’est pour répondre à ces problématiques que Wavestone a lancé son Bug Bounty. L’objectif est d’accompagner les clients dans cette démarche. La communauté de Wavestone est garantie car elle est limitée aux 40 auditeurs de l’entreprise. De plus, la société garantie que des auditeurs vont regarder le Bug Bounty proposé par le client. Cette offre fonctionne au forfait en fonction des failles trouvées avec un ticket d’entrée minium autour d’un millier d’euros. Cette offre est réservée de préférence à des clients mâture en termes de sécurité qui ont déjà réalisé plusieurs audits de sécurité standard. Elle débute par une prise de contact, passe par un cadrage, les tests et la clôture de l’exercice.


Voir les articles précédents

    

Voir les articles suivants