Équipe de sécurité
L'équipe de sécurité est la partie prenante la plus importante de votre VDP. En plus du travail de préparation du lancement et de l'exécution d'un VDP, si votre équipe de sécurité n'a pas été intégrée, il est plus difficile d'inciter des personnes extérieures à l'équipe de sécurité à adhérer.
L'introduction d'un VDP peut parfois donner un sentiment de fierté ou de défensive. L'équipe de sécurité peut avoir l'impression que les chercheurs en sécurité externes qui identifient les failles qu'ils ont manquées mettent en lumière leurs défaillances. Les entreprises disposent de surfaces d'attaque vastes et complexes, et l'équipe de sécurité ne peut tout simplement pas bénéficier d'une couverture parfaite. Le récit ne doit pas être de pointer du doigt ou de blâmer qui que ce soit. Lorsque les chercheurs découvrent des failles, ces données doivent être utilisées comme des commentaires exploitables pour aider votre équipe à améliorer la stratégie de sécurité de votre organisation. Il sera essentiel de faire en sorte que votre équipe de sécurité considère les hackers externes comme une extension de votre équipe, et non comme des adversaires. Comme indiqué précédemment, vous devez également vous assurer que votre équipe de sécurité a eu une conversation proactive sur la façon de gérer les mécanismes de détection et de réponse en lien avec votre VDP.
IT
Les technologies de l'information ont une signification différente selon les organisations, et chaque entreprise possède son propre ensemble de rôles informatiques. Pour les besoins de ce guide, nous supposons que le terme "informatique" désigne les personnes et les équipes chargées de la configuration, de la maintenance et de la maintenance des systèmes et des services utilisés par l'entreprise. En général, les équipes informatiques veulent s'assurer que tout fonctionne correctement. Cela est souvent lié directement aux métriques de réussite (par exemple, le temps ininterrompu). Bien qu'inviter des pirates informatiques à tester les systèmes et les services qu'ils gèrent peut sembler effrayant, cela profite en fait à l'informatique. Les criminels n'obéissent à aucune règle et peuvent tenter d'attaquer votre organisation. En créant un canal standardisé permettant aux hackers de confiance de travailler avec votre organisation, vous augmentez vos chances d'identifier et de résoudre les problèmes de sécurité avant qu'ils ne soient exploités par des criminels. Les violations entraînent des coûts énormes, tels que le temps consacré au service informatique et aux autres équipes, ainsi qu'un temps d'arrêt potentiel si les ressources doivent être désactivées ou segmentées temporairement à la suite d'une violation. Un VDP peut aider à réduire le risque de violation. De plus, la reconnaissance par des pirates informatiques peut vous aider à détecter des ressources et à identifier les systèmes et services non autorisés qui ont été créés sans l'intervention de l'équipe informatique.
Ingénierie
À moins que votre équipe de sécurité se charge de corriger les failles pour le compte de votre équipe d'ingénieurs, votre équipe d'ingénieurs doit intégrer votre VDP. Personne n'aime le travail inattendu, et les VDP introduisent un nouveau flux de failles que les équipes d'ingénierie doivent corriger. Il est important de collaborer avec la direction de l'équipe d'ingénierie pour vous assurer qu'elle est au courant du calendrier de lancement de votre VDP et pour obtenir son adhésion afin de dédier des ressources à la correction des bugs. Lorsqu'un VDP se lance, il y a généralement un pic de bugs au début, puis il est modéré jusqu'à un niveau modéré. Faire en sorte que les ingénieurs soient prêts à corriger de nombreux bugs au cours des premières semaines de votre programme peut faciliter le processus pour l'équipe d'ingénieurs, l'équipe de sécurité et les pirates informatiques participant à votre VDP. Étant donné que vous demandez à l'équipe d'ingénierie d'effectuer des tâches supplémentaires, il est utile d'illustrer les avantages qu'elle peut tirer d'un VDP.
Juridique
Les équipes juridiques aiment réduire les risques. Inviter de manière proactive des pirates informatiques à pirater votre organisation, sans contexte supplémentaire, peut sembler très risqué. Il est important de travailler avec votre équipe juridique pour voir comment un VDP peut réduire non seulement les risques de sécurité, mais également les risques juridiques. Que vous ayez un VDP ou non, des failles seront présentes. Sans VDP, les pirates informatiques qui veulent bien faire et vous informer du problème n'ont pas de moyen standard de vous contacter. La mise en place d'un VDP permet aux chercheurs en sécurité de vous aider à détecter et à corriger les failles avant qu'elles ne deviennent un problème juridique. Sans canal permettant d'accepter les rapports de faille, les personnes qui identifient les failles peuvent soit renoncer à tenter de vous les signaler, soit éventuellement divulguer publiquement le problème pour tenter d'y attirer l'attention et s'assurer qu'il sera corrigé.
Relations publiques
En fonction de l'expérience de votre équipe de relations publiques en matière de sécurité des informations, les réactions de votre équipe de relations publiques à propos d'une proposition de lancement d'un VDP peuvent aller de "Quand commençons ?" à être choqué et rejeter entièrement l'idée. Bien que la perception du piratage par le public a commencé à changer de façon plus positive, le mot hacker a toujours des connotations négatives pour de nombreuses personnes. Le tableau suivant présente les questions et préoccupations courantes des relations publiques, ainsi que la manière de gérer ces objections.
| Question/Objection | Réponse possible |
|---|---|
| Les pirates informatiques ne sont-ils pas méchants ? Est-ce que les inviter à nous pirater simplement leur demander de rencontrer des problèmes ? | Non. Les criminels existeront toujours et voudront nous pirater et nous exploiter. Mais un VDP permet de collaborer avec les hackers qui veulent bien faire, et nous aider à détecter et corriger les vulnérabilités. Si quelqu'un veut se montrer malveillant, un VDP ne l'arrêtera pas. |
| Et si un pirate informatique nous pirate au lieu de nous aider ? | Un utilisateur malintentionné ne participera probablement pas au VDP. Ils peuvent essayer de rester aussi anonymes que possible lorsqu'ils nous attaquent. Un VDP nous permet de travailler avec des chercheurs en sécurité qui veulent nous aider. |
| En demandant de l'aide aux pirates informatiques, admettons-nous que notre propre sécurité est mauvaise ? | Aucune organisation ne peut garantir une sécurité parfaite. De nombreuses organisations très connues dans divers secteurs d'activité exécutent des programmes publics de divulgation des failles ou de prime aux bugs pour améliorer leurs processus de sécurité existants. Tirer parti de la communauté mondiale des hackers est un filet de sécurité qui nous aide à trouver et à réparer tout ce qui passe à travers les mailles du filet. En fait, un VDP peut être utilisé pour des relations publiques positives en termes de sécurité. |
| Que se passe-t-il si un pirate informatique révèle publiquement comment il nous a piratés ? N'avons-nous pas l'air mal ? | Cela dépend du récit et de la nature de la divulgation. Il nous incombe de collaborer avec les pirates informatiques afin de définir des conditions acceptables sur le fonctionnement de la divulgation. La plupart des organisations déconseillent la divulgation publique des problèmes identifiés tant qu'ils ne sont pas résolus. Elles collaborent généralement avec le hacker sur un article ou un blog. Sans un moyen structuré d'accepter les rapports de faille et de participer à ce dialogue avec les hackers, nous augmentons le risque que quelqu'un soit frustré et passe directement à la presse parce qu'il n'a pas pu nous contacter. De nombreuses organisations encouragent de manière proactive les chercheurs en sécurité à écrire leur expérience de travail avec l'organisation, car cela souligne le succès du VDP. Cela incite d'autres hackers talentueux à participer à la communauté. |
| Comment être sûr que le VDP fonctionnera pour nous ? Que se passe-t-il si nous sommes rendus publics et que quelque chose de grave se produit ? | La plupart des VDP commencent en mode "privé", où le programme n'est pas annoncé publiquement, et seule une poignée de hackers sont invités à y participer. Au fil du temps, de plus en plus de pirates informatiques sont invités, et le programme prend progressivement de l'envergure jusqu'à un lancement et une annonce "publics". Nous nous conformerons au calendrier et nous vous informerons de la date de lancement public du programme. Le cas échéant, nous pouvons mettre en avant la façon dont l'organisation collabore avec la communauté externe de chercheurs en sécurité pour améliorer la sécurité et protéger les utilisateurs. |
Ventes
Votre équipe commerciale a besoin de preuves pour démontrer les avantages de votre entreprise par rapport à ses concurrents. Dans le cadre du processus de vente, les entreprises sont souvent soumises à un examen ou à un audit de la sécurité des fournisseurs afin de garantir la confiance des clients. La mise en place d'un VDP montre à vos clients que vous disposez d'un programme de sécurité éprouvé et l'améliorez en travaillant avec des chercheurs en sécurité externes. De plus, si vos concurrents proches ne disposent pas d'un VDP, cela peut être un avantage lors de vos échanges avec des clients potentiels. Collaborez avec l'équipe commerciale pour élaborer un récit à partager avec les clients potentiels en cas de questions sur la sécurité de l'organisation.
Par exemple,
| Nous utilisons un programme de divulgation des failles pour renforcer nos processus de sécurité robustes existants. Il agit comme un filet de sécurité ou une surveillance de quartier pour nous aider à identifier les problèmes de sécurité en production presque en temps réel. Cela nous aide à garantir la sécurité de vos données en réduisant le risque de violation. Cela nous donne un avantage indéniable par rapport à nos concurrents qui n'ont pas mis en place de programme de divulgation des failles. |
Finances
Le secteur financier est probablement plus impliqué lorsque vous passez d'un VDP à un programme de récompense pour la découverte de failles, mais vous devez l'inclure si vous achetez des services auprès d'une plate-forme tierce. Si vous décidez de faire appel à un fournisseur tiers pour vous aider à configurer votre VDP, vous devrez probablement définir un budget pour ces services. Cela peut sembler anodin, mais il est judicieux de parler dès le début à l'équipe financière pour comprendre son processus.
Approche de la communication
Pour obtenir l'adhésion des partenaires, vous devez déterminer les meilleures méthodes de communication pour votre organisation. Si vous pensez que la plupart des membres de votre organisation seront d'accord, vous pouvez souvent formuler une seule proposition, solliciter les commentaires et mener une réunion unique pour discuter de vos questions et préoccupations. Si cette approche ne fonctionne pas dans votre organisation, il peut être préférable de rencontrer les différents partenaires individuellement pour discuter de leurs questions ou préoccupations personnelles. Préparez-vous à répondre aux objections ou aux questions relatives aux risques associés au lancement d'un VDP. Lorsque vous présentez l'idée d'un VDP à l'ensemble de votre entreprise, vous devez vendre ses avantages et traiter en toute confiance les risques réels et perçus.