À peine une faille de sécurité est-elle comblée qu’une nouvelle apparaît. La compétition entre cybersécurité et cybercriminalité est un peu à l’image de la course entre le lièvre et le hérisson des contes de Grimm: déloyale et impossible à gagner. Group Security de BKW a donc lancé un programme pilote avec des hackers «éthiques» pour enfin combattre à armes égales et écarter les risques de sécurité potentiels de manière préventive.
Prime pour les failles de sécurité
Les hackers éthiques, ou «white hats», utilisent les mêmes méthodes que les «black hats» (hackers mal intentionnés) pour rechercher les points faibles critiques du système informatique et des technologies d’exploitation (OT) de l’entreprise. Mais au lieu d’exploiter ou de publier une faille identifiée ou un compte détourné à des fins criminelles ou de cyberattaque, ils en informent immédiatement le responsable de la sécurité de l’entreprise. En retour, ils sont rémunérés pour chaque nouveau risque découvert. Cette méthode est appelée «Bug Bounty», de l’anglais «Bug» qui signifie erreur et «Bounty» qui signifie prime.
![[Translate to Französisch (CH):] Manuel Häfliger, Leiter Cyber Security und CISO der BKW](/fileadmin/_processed_/b/6/csm_hacker_haefliger_manuel_201407p_2486dc86b8.jpg)
«Rien n’est plus efficace que de se laisser attaquer de manière contrôlée et d’intégrer les résultats de ces attaques à la cyberrésilience. La collaboration avec des hackers éthiques constitue donc un pilier majeur de notre stratégie de sécurité et encourage les pirates à adopter des comportements légaux. »
Cinq hackers craquent le système en huit jours ...
Afin de garantir des conditions-cadres sûres, Group Security de BKW collabore avec un prestataire de renom, l’entreprise Bug Bounty Switzerland GmbH. Un peu comme une agence d’influenceurs, le prestataire fournit une équipe de spécialistes, dans le cas présent pour le piratage, définit les conditions-cadres légales et établit un rapport pertinent. Pour BKW, l’accord prévoyait tout d’abord quatre solutions d’entreprises importantes ainsi qu’une période de test de deux semaines dans le cadre d’un premier «Reality Check».
![[Translate to Französisch (CH):] Florian Badertscher, CTO & Founder Bug Bounty Switzerland](/fileadmin/_processed_/b/f/csm_Hacker_Florian_Bardertscher__bug_Bounty_SwiterhlandPortrait-scaled-1__1__a62ddf69ea.jpg)
««Les systèmes de BKW étaient bien protégés. De premiers points faibles ont vite été identifiés. Nous avons eu besoin de cinq hackers, de CHF 20 000.– de primes et de huit jours de travail pour mener à bien l’attaque: un très bon résultat comparé au reste de la Suisse. »
Un bon résultat n’est pas suffisant ...
En raison des infrastructures efficacement surveillées et renforcées de BKW, la recherche de points faibles s’est révélée chronophage – l’équipe de hackers a même dû doubler ses effectifs, en s’établissant à 10 spécialistes. Ce qui n’a pas empêché les hackers missionnés de détecter quelques failles de sécurité, dont certaines étaient critiques. Bien évidemment, ces dernières ont depuis toutes été corrigées et sécurisées.
Être toujours sur le qui-vive
Dans l’ensemble, le «Reality Check» a fait ressortir que les infrastructures et plateformes de solutions de BKW étaient très bien protégées, mais pas invulnérables. La poursuite du programme est désormais évaluée afin d’identifier et d’écarter les dangers potentiels et failles de sécurité critiques aussi rapidement que possible. Il est prévu d’étendre l’activité aux technologies d’exploitation (OT), c’est-à-dire aux infrastructures, réseaux et installations de production utilisés dans la production, le transport et le négoce d’énergie et commandés par des processus. L’intégration et la mise en réseau grandissante des infrastructures informatiques et OT ainsi que les nombreux accès à distance rendent les entreprises industrielles non seulement plus intelligentes, mais aussi plus vulnérables. Il est nécessaire de développer de nouveaux concepts de protection, et les programmes Bug Bounty en sont une composante importante.
Manuel Häfliger, responsable Cyber Security et CISO de BKW, nous en dit plus.
Questionné
Florian Bardertscher, Quelles sont les tendances actuelles chez les hackers? Dans quels domaines le danger est-il actuellement le plus élevé?
Les hackers affectionnent en particulier les systèmes mis en ligne dans la précipitation et sous la pression, et qui ne sont donc pas au point. Ils constituent une mine d’or pour eux. À l’heure actuelle, il en existe beaucoup et cela met à jour une autre constatation implacable: une numérisation efficace ne se fait pas sans mal. De nombreuses entreprises et organisations doivent donc tout d’abord accepter de repartir sur de bonnes bases. Cela nécessite du temps, du savoir-faire et de nombreuses ressources. Tant que ce travail n’est pas réalisé, les hackers, bons ou mauvais, auront encore de beaux jours devant eux.
Le Reality Check de BKW a été effectué dans un cadre protégé, non public. Il existe toutefois aussi un programme public auquel presque tous les hackers peuvent participer. Cela n’est-il pas dangereux?
Pour que la collaboration avec les hackers soit réussie, la confiance est indispensable; elle doit donc être instaurée. À cet égard, Bug Bounty Switzerland peut aider à établir une passerelle et à minimiser les risques. Au final, le risque encouru avec un programme Bug Bounty public n’est pas plus important, au contraire – les tentatives de piratage auront lieu, que vous le vouliez ou non. Une seule question se pose alors: les tentatives réussies seront-elles signalées de manière responsable, ou bien exploitées à des fins malveillantes? Une démarche courageuse consiste à mettre un système en ligne.
Contact
Manuel Häfliger, responsable Cyber Security et CISO de BKW, nous en dit plus.
BKW Management AG
Manuel Häfliger
Responsable Cyber Security et Chief Information Security Officer (CISO) de BKW
Viktoriaplatz 2
3013 Bern
Suisse
Commentaires
BKW est ouverte à un dialogue en ligne respectueux (notre nétiquette) et accueillera volontiers vos commentaires et vos questions. Pour les questions qui ne correspondent pas au sujet ci-dessus, veuillez utiliser le formulaire de contact.