Le marché mondial de la cybersécurité est en plein essor. Les experts de Gartner prévoient que les dépenses des utilisateurs finaux pour le marché de la sécurité de l’information et de la gestion des risques passeront de 172,5 milliards de dollars en 2022 à 267,3 milliards de dollars en 2026.
Un grand domaine de dépenses comprend l’art de mettre les défenses de la cybersécurité sous pression, communément appelées tests de sécurité. MarketsandMarkets prévoit que la taille du marché mondial des tests d’intrusion (pentesting) devrait croître à un taux de croissance annuel composé (TCAC) de 13,7 % de 2022 à 2027. Cependant, les coûts et les limites liés à la réalisation d’un test d’intrusion entravent déjà le marché. croissance, et par conséquent, de nombreux professionnels de la cybersécurité se mobilisent pour trouver une solution alternative.
Les pentests ne résolvent pas les problèmes de cybersécurité
Le pentesting peut servir des objectifs spécifiques et importants pour les entreprises. Par exemple, les clients potentiels peuvent demander les résultats d’un test comme preuve de conformité. Cependant, pour certains défis, ce type de méthodologie de test de sécurité n’est pas toujours la meilleure solution.
1 — Des environnements en constante évolution
Il est particulièrement difficile de sécuriser des environnements en constante évolution dans des paysages de menaces en évolution rapide. Ce défi devient encore plus compliqué lors de l’alignement et de la gestion du risque commercial des nouveaux projets ou des nouvelles versions. Étant donné que les tests d’intrusion se concentrent sur un moment précis, le résultat ne sera pas nécessairement le même la prochaine fois que vous ferez une mise à jour.
2 — Croissance rapide
Il serait inhabituel pour les entreprises à croissance rapide de ne pas connaître de difficultés de croissance. Pour les RSSI, maintenir la visibilité de la surface d’attaque croissante de leur organisation peut être particulièrement pénible.
Selon HelpNetSecurity, 45 % des répondants n’effectuent des pentests qu’une ou deux fois par an et 27 % le font une fois par trimestre, ce qui est nettement insuffisant compte tenu de la rapidité avec laquelle l’infrastructure et les applications changent.
3 — Pénuries de compétences en cybersécurité
En plus des limitations budgétaires et des ressources, trouver les compétences disponibles pour les équipes de cybersécurité internes est une bataille permanente. Par conséquent, les entreprises n’ont pas la dextérité nécessaire pour repérer et corriger rapidement des vulnérabilités de sécurité spécifiques.
Bien que les pentests puissent offrir une perspective extérieure, il n’y a souvent qu’une seule personne qui effectue le test. Pour certaines organisations, il existe également un problème de confiance lorsqu’elles s’appuient sur le travail d’une ou deux personnes seulement. Sándor Incze, CISO chez CM.com, donne son point de vue :
« Tous les pentesters ne sont pas égaux. Il est très difficile de déterminer si le pentester que vous embauchez est bon. »
4 — Les cybermenaces évoluent
La lutte constante pour se tenir au courant des dernières techniques et tendances en matière de cyberattaques met les organisations médiatiques en danger. Embaucher des compétences spécialisées pour chaque nouveau type de cybermenace serait irréaliste et non durable.
HelpNetSecurity a rapporté qu’il faut 71% des pentesters d’une semaine à un mois pour effectuer un pentest. Ensuite, plus de 26 % des organisations doivent attendre entre une et deux semaines pour obtenir les résultats des tests, et 13 % attendent encore plus longtemps. Compte tenu du rythme rapide de l’évolution des menaces, cette période d’attente peut laisser les entreprises inconscientes des problèmes de sécurité potentiels et ouvertes à l’exploitation.
5 — Solutions de test de sécurité mal adaptées aux environnements agiles
Les cycles de vie de développement continu ne correspondent pas aux cycles de tests d’intrusion (souvent effectués chaque année). Par conséquent, les vulnérabilités créées par erreur lors de longues lacunes dans les tests de sécurité peuvent rester non découvertes pendant un certain temps.
Faire entrer les tests de sécurité dans l’impact du 21e siècle
Une solution éprouvée à ces défis consiste à utiliser des communautés de hackers éthiques en plus d’un test de pénétration standard. Les entreprises peuvent compter sur la puissance de ces foules pour les aider dans leurs tests de sécurité de manière continue. Un programme de primes aux bogues est l’un des moyens les plus courants de travailler avec des communautés de hackers éthiques.
Qu’est-ce qu’un programme de primes de bogue ?
Les programmes Bug Bounty permettent aux entreprises de travailler de manière proactive avec des chercheurs indépendants en sécurité pour signaler les bogues par le biais d’incitations. Souvent, les entreprises lancent et gèrent leur programme via une plateforme de primes de bogues, telle que Intigriti.
Les organisations ayant une maturité élevée en matière de sécurité peuvent laisser leur programme de primes de bogues ouvert à tous les pirates éthiques de la communauté de la plate-forme pour y contribuer (connu sous le nom de programme public). Cependant, la plupart des entreprises commencent par travailler avec un petit bassin de talents en sécurité via un programme privé. .
Comment les programmes de primes de bogues prennent en charge les structures de test de sécurité en continu
Bien que vous receviez un certificat indiquant que vous êtes en sécurité à la fin d’un test d’intrusion, cela ne signifie pas nécessairement que ce sera toujours le cas la prochaine fois que vous effectuerez une mise à jour. C’est là que les programmes de primes de bogues fonctionnent bien comme suivi des pentests et permettent un programme de test de sécurité continu.
L’impact du programme Bug Bounty sur la cybersécurité
En lançant un programme de primes de bogues, les organisations font l’expérience :
- Protection plus robuste : Les données, la marque et la réputation de l’entreprise bénéficient d’une protection supplémentaire grâce à des tests de sécurité continus.
- Objectifs commerciaux activés : Une posture de sécurité renforcée, menant à une plate-forme plus sécurisée pour l’innovation et la croissance.
- Productivité améliorée : Flux de travail accru avec moins de perturbations de la disponibilité des services. Des projets informatiques plus stratégiques que les dirigeants ont priorisés, avec moins de « feux » de sécurité à éteindre.
- Disponibilité accrue des compétences : Le temps de l’équipe de sécurité interne est libéré en utilisant une communauté pour les tests de sécurité et le triage.
- Justification budgétaire plus claire : Capacité à fournir des informations plus importantes sur la posture de sécurité de l’organisation pour justifier et motiver un budget de sécurité adéquat.
- Relations améliorées : Les retards de projet diminuent considérablement sans le recours aux pentests traditionnels.
Vous voulez en savoir plus sur la mise en place et le lancement d’un programme de primes de bugs ?
Intigriti est la principale plateforme européenne de bug bounty et de piratage éthique. La plate-forme permet aux organisations de réduire le risque d’une cyberattaque en permettant au réseau de chercheurs en sécurité d’Intigriti de tester en permanence leurs actifs numériques pour détecter les vulnérabilités.
Si vous êtes intrigué par ce que vous avez lu et que vous souhaitez en savoir plus sur les programmes de primes de bogues, il vous suffit programme une rencontre aujourd’hui avec l’un de nos experts.
