Le hacking éthique ne convainc pas les RSSI
by Laurent MavalletSelon une étude HackerOne / Opinion Matters, les RSSI sont majoritairement hostiles au recours à des hackers éthiques pour tester leur sécurité.
Pour éprouver la qualité de la sécurité de son SI, la pratique du test d'intrusion constitue sans doute la voie royale. Pour en effectuer sans supervision limitative, le recours à des hackers éthiques rémunérés à la faille découverte est la manière la plus radicale. Mais une majorité de RSSI sont plus que réticents à cette pratique. Ainsi, selon une étude réalisée par HackerOne à partir d'une enquête menée par Opinion Matters, 51 % des RSSI français préféreraient courir le risque d'avoir des vulnérabilités dans leur système plutôt que d'inviter des hackers inconnus à les trouver. Leurs confrères allemands et britanniques sont plus encore réticents avec respectivement 59% et 62% refusant également le test par des inconnus. La moyenne sur les trois pays est ainsi de 57%.
Pourtant, 87% des répondants en France et 86 % en moyenne en Europe admettent que les craintes en matière de sécurité entravent l'innovation numérique. 83% des RSSI européens (90% au Royaume-Uni, 88 % en France et 80% en Allemagne) assurent ainsi que les failles logicielles constituent une menace sérieuse pour leur organisation. Mais cela n'empêche pas la gestion de la sécurité d'être globalement préoccupante. 64% des RSSI européens (68% en France, 63% au Royaume-Uni et 60% en Allemagne) se plaignent d'effectifs insuffisants pour suivre le rythme des évolutions de leur organisation. 48% des RSSI européens (46% en France) estiment aussi qu'ils passent trop de temps à chercher les failles logicielles. 26% des RSSI européens se plaignent d'un budget insuffisant pour mener à bien un programme de sécurité offensive (17% en France, 22% au Royaume-Uni, 32% en Allemagne). Et 35% des RSSI européens se sentent globalement freinés par un manque de budget et de compétences pour avancer (30% en France, 34% au Royaume-Uni et 40% en Allemagne).
Le hacker vu comme une menace et non une solution
Côté résultats, 45% des RSSI européens (65% au Royaume-Uni, 39% en Allemagne et 30% en France) jugent que les tests d'intrusion ne fournissent pas des résultats à la hauteur des attentes. Mais recourir à des hackers extérieurs suscite des craintes et des réticences importantes. Seuls 26% des RSSI européens se sentent ainsi prêts à accepter les soumissions de bugs de l'ensemble de la communauté de hackers (17% au Royaume-Uni, 23% en France, 36% en Allemagne), ce score augmentant considérablement (jusqu'à 40% en France) si les hackers sont certifiés.
Au niveau européen, 54% des RSSI ne sont pas à l'aise à l'idée de collaborer avec des hackers ayant un passé criminel. Les Français sont les moins regardants (44%), bien moins que leurs confrères allemands (55%) ou britannique (62%).
A propos de l'étude
L'étude « Bug bounty et tests d'intrusion : Quel est le niveau de maturité des RSSI européens en matière de sécurité offensive ? » a été réalisée par la plate-forme de sécurité collaborative HackerOne. Elle est basée sur une enquête menée par Opinion Matters auprès de 600 RSSI et directeurs techniques (200 au Royaume Uni, 200 en France et 200 en Allemagne) entre le 31 décembre 2019 et le 7 janvier 2020.