Le hacking éthique ne convainc pas les RSSI

Selon une étude HackerOne / Opinion Matters, les RSSI sont majoritairement hostiles au recours à des hackers éthiques pour tester leur sécurité.

Pour éprouver la qualité de la sécurité de son SI, la pratique du test d'intrusion constitue sans doute la voie royale. Pour en effectuer sans supervision limitative, le recours à des hackers éthiques rémunérés à la faille découverte est la manière la plus radicale. Mais une majorité de RSSI sont plus que réticents à cette pratique. Ainsi, selon une étude réalisée par HackerOne à partir d'une enquête menée par Opinion Matters, 51 % des RSSI français préféreraient courir le risque d'avoir des vulnérabilités dans leur système plutôt que d'inviter des hackers inconnus à les trouver. Leurs confrères allemands et britanniques sont plus encore réticents avec respectivement 59% et 62% refusant également le test par des inconnus. La moyenne sur les trois pays est ainsi de 57%.

Pourtant, 87% des répondants en France et 86 % en moyenne en Europe admettent que les craintes en matière de sécurité entravent l'innovation numérique. 83% des RSSI européens (90% au Royaume-Uni, 88 % en France et 80% en Allemagne) assurent ainsi que les failles logicielles constituent une menace sérieuse pour leur organisation. Mais cela n'empêche pas la gestion de la sécurité d'être globalement préoccupante. 64% des RSSI européens (68% en France, 63% au Royaume-Uni et 60% en Allemagne) se plaignent d'effectifs insuffisants pour suivre le rythme des évolutions de leur organisation. 48% des RSSI européens (46% en France) estiment aussi qu'ils passent trop de temps à chercher les failles logicielles. 26% des RSSI européens se plaignent d'un budget insuffisant pour mener à bien un programme de sécurité offensive (17% en France, 22% au Royaume-Uni, 32% en Allemagne). Et 35% des RSSI européens se sentent globalement freinés par un manque de budget et de compétences pour avancer (30% en France, 34% au Royaume-Uni et 40% en Allemagne).

Le hacker vu comme une menace et non une solution

Côté résultats, 45% des RSSI européens (65% au Royaume-Uni, 39% en Allemagne et 30% en France) jugent que les tests d'intrusion ne fournissent pas des résultats à la hauteur des attentes. Mais recourir à des hackers extérieurs suscite des craintes et des réticences importantes. Seuls 26% des RSSI européens se sentent ainsi prêts à accepter les soumissions de bugs de l'ensemble de la communauté de hackers (17% au Royaume-Uni, 23% en France, 36% en Allemagne), ce score augmentant considérablement (jusqu'à 40% en France) si les hackers sont certifiés.

Au niveau européen, 54% des RSSI ne sont pas à l'aise à l'idée de collaborer avec des hackers ayant un passé criminel. Les Français sont les moins regardants (44%), bien moins que leurs confrères allemands (55%) ou britannique (62%).