Divulgation responsable – c’est le principe que les hackers éthiques suivent lorsqu’ils découvrent une vulnérabilité de sécurité dans une entreprise. Nous expliquons ce qu’est la divulgation responsable dans cet article de blog. Nous expliquons également pourquoi les entreprises devraient collecter et utiliser ces informations de manière ciblée – et nous donnons des conseils initiaux sur la méthode.

Qu’est-ce que la divulgation responsable ?

En traduction, Divulgation responsable signifie « divulgation responsable ». Il s’agit de l’annonce de vulnérabilités de sécurité nouvellement découvertes. Heureusement, il existe des hackers éthiques indépendants qui vérifient les sites web, programmes, applications et autres éléments similaires à la recherche de vulnérabilités de sécurité. Pas pour les exploiter de manière criminelle. Mais pour aider à combler ces écarts.

Habituellement, les hackers éthiques signalent la vulnérabilité à l’entreprise dont le programme, le site web ou l’application est affecté. Ils laissent à l’entreprise un délai raisonnable pour combler l’écart. Ce n’est qu’ensuite qu’ils en informent le public. L’objectif de cette approche est d’empêcher les cybercriminels d’exploiter les lacunes de sécurité.

Bon à savoir : alternativement, la divulgation responsable est également appelée divulgation coordonnée – car les entreprises et les hackers éthiques coordonnent leurs actions.

Qui ou que sont les hackers éthiques ?

Tout d’abord : les hackers éthiques ne sont pas un groupe uniforme. Ce qu’ils ont en commun, cependant, c’est qu’ils possèdent une expertise informatique énorme et pratiquent une certaine éthique de hacker. Peut-être son propre propre parfum. Ou, par exemple, l’éthique hacker du Chaos Computer Club. L’un de ses principes est : « Utilisez les données publiques, protégez les données privées ». De nombreuses vulnérabilités de sécurité mettent en danger la protection des données privées. Ainsi, les hackers éthiques se sentent souvent responsables de s’assurer que ces failles de sécurité soient comblées.

Quelle est la différence entre la divulgation responsable et la divulgation complète ?

Cependant, il existe aussi des entreprises qui restent inactives de façon permanente. Dans de tels cas, les hackers éthiques peuvent opter pour une divulgation complète, c’est-à-dire une divulgation complète. Ensuite, ils rendent la vulnérabilité publique – même si elle n’a pas encore été fermée. Cette décision est une arme à double tranchant. D’une part, les cybercriminels découvrent aussi l’écart de sécurité qui n’a pas encore été comblé. En revanche, cette annonce exerce généralement une pression massive sur l’entreprise concernée pour combler cet écart le plus rapidement possible.

Important : Les cybercriminels recherchent spécifiquement les vulnérabilités de sécurité afin de les exploiter à leurs propres fins. Par conséquent, les hackers éthiques doivent souvent évaluer la probabilité qu’une vulnérabilité qu’ils découvrent soit déjà connue d’au moins certains cybercriminels.

Divulgation responsable d’un point de vue d’entreprise

De plus en plus d’entreprises essaient de faciliter la divulgation responsable des hackers éthiques. Par exemple, en créant une adresse e-mail spéciale pour ces avis ou en fournissant un formulaire.

Dans certains cas, ils fournissent également aux hackers éthiques des informations sur les types de vulnérabilités de sécurité qui leur sont pertinents et sur la manière dont ils gèrent le signalement. Le contexte de ces efforts est la prise de conscience que les entreprises ici bénéficient de l’expertise non sollicitée de hackers éthiques.

Un point sensible : la question des poursuites pénales

Lorsqu’ils découvrent des vulnérabilités de sécurité, les hackers éthiques peuvent techniquement se faire passer par des poursuites. Par exemple, s’ils découvrent que des données personnelles sont visibles publiquement en raison d’une vulnérabilité de sécurité – et qu’en cas de découverte, ils consultent inévitablement certaines de ces données.

En général, les entreprises ne signalent pas les hackers éthiques dans de tels cas. Cependant, un grand parti allemand l’a fait après que plusieurs vulnérabilités de sécurité dans l’une de ses applications lui ont été signalées. En conséquence, la plus grande association de hackers d’Europe – le Chaos Computer Club – a annoncé qu’elle ne signalerait plus de vulnérabilités de sécurité à cette partie à l’avenir.

Comment faciliter la divulgation responsable pour votre entreprise

Les violations de sécurité peuvent causer de graves dommages à votre entreprise. Ainsi, facilitez la tâche des hackers éthiques pour signaler selon le principe de divulgation responsable.

À quoi ressemble une approche responsable face aux vulnérabilités de sécurité nouvellement découvertes n’est pas toujours entièrement clair. De nombreuses entreprises sont satisfaites des indices exacts qu’elles reçoivent des hackers éthiques et s’efforcent de combler les failles de sécurité qu’elles découvrent.

• Réfléchissez avec les spécialistes ou départements appropriés à la manière dont vous souhaitez – et pouvez – gérer le signalement des vulnérabilités de sécurité.
• Créez une adresse e-mail dédiée pour les avis de divulgation responsable, comme security@beispiel.de
• Mettez en place un formulaire de déclaration qui vous permet de fournir des informations détaillées.
• Rendez les options de contact et toute autre information disponibles sur votre site web, par exemple sous www.beispiel.de/security
• Communiquez les délais prévus pour répondre aux signalements et pour fermer les vulnérabilités de sécurité signalées, entre autres.
  Important : si vos préparatifs sont récompensés par un rapport, réagissez de manière professionnelle, transparente et reconnaissante. Parce que vous bénéficiez d’une expertise recherchée.

Voici quelques exemples de la manière dont d’autres organisations gèrent la divulgation responsable :

• BSI
• Bundeswehr
• Une chaîne de télévision
• Un magasin de meubles

D’autres informations utiles se trouvent dans le document BSI « Gestion des vulnérabilités. Recommandations pour les fabricants ».

Enfin : le savoir, c’est de l’argent, même en cas de failles de sécurité

Habituellement, les hackers éthiques signalent des vulnérabilités de sécurité sans demander d’argent. Cela rend d’autant plus important d’être conscient de la valeur de ces informations. Engager des hackers éthiques pour des tests de sécurité ciblés n’est pas donné. Par conséquent, de nombreuses grandes entreprises offrent des récompenses pour les vulnérabilités de sécurité signalées.

Faut-il donc aussi payer une récompense de recherche pour les vulnérabilités de sécurité signalées ? Au final, c’est vous qui décidez. Trouver et signaler de manière responsable et constructive les vulnérabilités de sécurité peut coûter beaucoup de temps et d’efforts aux hackers éthiques – et vous éviter bien des ennuis. Nous recommandons donc d’exprimer votre gratitude et votre reconnaissance selon les possibilités offertes par votre entreprise. Peut-être sous forme de bonus ou via des cadeaux particulièrement populaires ou des produits gratuits. De préférence de la manière dont vous aimeriez voir un service correspondant vous être récompensé.

Si vous avez d’autres questions concernant la divulgation responsable ou souhaitez de l’aide pour permettre ou traiter ces signalements, veuillez nous contacter.