La Confédération se tourne vers les "hackers éthiques" pour tester sa sécurité informatique
Aujourd'hui, les tests de sécurité standardisés ne suffisent souvent plus pour déceler les vulnérabilités cachées, indique mercredi le Département fédéral des finances dans un communiqué.
C'est pourquoi, pour les systèmes productifs et les applications de l'administration fédérale, cette tâche de recherche sera à l'avenir confiée à des pirates éthiques, mandatés dans le cadre de programmes de primes aux bogues. Le Centre national pour la cybersécurité (NCSC) les chapeautera.
Dans le cadre d'un projet pilote, quinze hackers mandatés par la Confédération avaient identifié à la mi-mai 2021 dix failles de sécurité dans les systèmes informatiques du Département fédéral des affaires étrangères et des Services du Parlement. L'une d'entre elles s'était révélée "critique". Toutes les failles ont été comblées depuis.
>> Lire aussi : La Confédération crée un office fédéral dédié à la cybersécurité
Utiliser l'intelligence collective
A la suite de l'expérience de ce projet, il a été décidé d'étendre le programme de primes aux bogues à un maximum de systèmes informatiques de l'administration fédérale, indique le DFF. Le NCSC le mènera en collaboration avec l'entreprise Bug Bounty Switzerland SA. Pionnière dans son domaine, elle jouit d'une grande expertise en matière de chasse aux bogues et de collaboration avec des pirates éthiques, souligne le DFF.
Les programmes de "primes aux bogues" sont des initiatives menées par des services gouvernementaux, des entreprises, des groupes d'intérêt ou des particuliers pour identifier, corriger et faire connaître des erreurs de logiciels. Les commanditaires font donc en quelque sorte appel à l'intelligence collective pour détecter les failles. Les personnes qui découvrent et signalent les failles sont indemnisées pour leurs efforts.
Ces programmes sont déjà très répandus dans l'économie. De grandes entreprises comme Facebook et Microsoft les exploitent depuis longtemps. La Poste Suisse, Coop, Raiffeisen, Ringier ou les FMB ont également déjà recours aux services de hackers éthiques.
>> Lire aussi : La Poste invite les hackers à s'attaquer à son nouveau système de vote électronique
ats/vajo