LMi-MAG22 juin - Flipbook - Page 17
© DR
es bug bounty sont monnaie courante
dans les grands groupes. Au sein de
SNCF Connect&Tech, la filiale de
SNCF Voyageurs spécialisée dans
la fourniture de multiples services
numériques (agence de voyages,
ventes de billets, réservation de
moyens de transport...), il existe
depuis six ans en mode privé opéré par le fournisseur
français YesWeHack. Depuis sa création, 300 chercheurs
ont été ainsi mobilisés pour trouver des failles de
sécurité dans ses services, mais désormais le groupe
va plus loin en ouvrant au public son programme de
chasse aux bugs. « Depuis six ans des fonctions ont été
rajoutées avec un rythme d’une mise en production par
semaine et nous avons beaucoup travaillé pour aller vers
le DevSecOps, moderniser nos applications, passer sur
le cloud, mais là nous franchissons un cap pour aller
chercher encore plus de chercheurs spécialisés dans la
technique et le fonctionnel », nous a expliqué Francis
Bergey, RSSI de SNCF Connect&Tech.
L
L’approche de la filiale du groupe de transport de voyageurs est également opportuniste, à l’heure où l’ouverture
des JO de Paris 2024 se profile dans quelques semaines et
que les agences et organismes de sécurité de tout bord
(Anssi, Clusif...) multiplient dans ce contexte les alertes
sur les risques grandissant en matière de cybermenaces.
Le programme de bug bounty public de SNCF Connect&Tech sera donc ouvert jusqu’à fin juin 2024, avant d’être - a
priori momentanément - éteint pendant la période des
Jeux. « L’ouverture du bug bounty au public nous permettra d’être sûr d’être bien au niveau et regarder la sécurité
sous tous ses angles », poursuit Francis Bergey. « C’est très
intéressant d’avoir ce test grandeur nature avant les JO. »
PROFIL LINKEDIN
tinyurl.com/linkedin-Bergey
« Nous avons vraiment travaillé avec YesWeHack pour être fair-play
avec les chercheurs et bien les rémunérer pour les failles trouvées »,
indique Francis Bergey, RSSI de SNCF Connect&Tech, à propos
du lancement du bug bounty public.
pour être fair-play avec les chercheurs et bien les rémunérer pour les failles trouvées », indique Francis Bergey.
Ainsi, pour celles débouchant sur de la prise de contrôle
de tout ou partie d’un de ses sites ou sur de l’extraction
massive des données personnelles, la rémunération atteindra 10 000€. Ensuite, plusieurs paliers sont prévus
(500€, 2 000€...) en fonction de la criticité des failles
présentées. « Nous réévaluons systématiquement les
failles de sécurité remontées par les chercheurs. Si la
faille permet d’aller un cran plus loin, on la rémunérera
mieux et inversement notamment si des mesures complémentaires invisibles de l’extérieur permettent d’en
limiter la portée. »
Jusqu’à 10 000€ pour les failles
les plus critiques
Avec ce programme, SNCF Connect&Tech espère donc
faire remonter les failles les plus à même de perturber ses
services et applications pour tester en continu ses release
hebdomadaires. « Cela nous permet de faire appel à l’intelligence collective, d’élargir le champ des possibles et
les angles de recherche de vulnérabilités potentielles pour
réévaluer les nouveautés en continu », assure Francis
Bergey. Concernant les profils des personnes sélectionnées pour chasser les failles, SNCF Connect&Tech se
repose sur l’expertise de YesWeHack pour encadrer son
programme, tant en termes technique que juridique.
Concernant les failles qui seront remontées, le groupe
précise que les attaques par déni de service sont exclues,
tout comme celles passant par la récupération d’identifiants (login/mots de passe) en provenance du dark
Web. « Nous avons vraiment travaillé avec YesWeHack
APPROFONDIR
ÉCOUTER EN LIGNE
Podcast
tinyurl.com/podcast-JO-SCNF
LIRE EN LIGNE
Article
tinyurl.com/article-JO-SNCF
17
