Table of Contents
L’entretien avec Yannick Jost, RSSI de Scalingo, retrace son parcours : de la déception face aux pentests traditionnels à l’adoption du bug bounty. Il met en avant la façon dont cette approche lui a permis de mettre en place des tests de sécurité continus et mieux alignés sur le rythme de déploiement de Scalingo.
Scalingo est une solution Platform as a Service (PaaS) et Database as a Service (DBaaS) qui permet aux entreprises et aux institutions de déployer, gérer et faire évoluer facilement leurs applications web et bases de données dans un environnement sécurisé et stable.
Avec la fréquence élevée des mises à jour de leurs assets, ils doivent tester de manière agile et approfondie chaque mise en production afin de garantir la sécurité et la conformité de leurs applications en accord avec les standards ISO 27001 et HDS.
Dans cet article, nous allons découvrir comment Scalingo a structuré cette démarche et les enseignements tirés.
La problématique de sécurité rencontrée par Scalingo
Avant d’adopter Yogosha, Scalingo s’appuyait sur des pentests réalisés par des prestataires spécialisés. Ces évaluations ponctuelles apportaient une photographie utile, mais leur format et leur fenêtre de test étaient difficiles à aligner avec un produit qui évolue en continu.
“Nous n’étions pas pleinement satisfaits du rapport valeur / effort des pentests ponctuels : le périmètre et la durée imposent forcément des arbitrages, et cela s’alignait mal avec notre rythme de déploiement. Nous voulions compléter par un dispositif continu, capable de faire remonter des vulnérabilités actionnables au fil de l’eau.” — Yannick Jost, RSSI, Scalingo
L’objectif de Scalingo était de trouver une solution offrant une diversité de profils de chercheurs pour obtenir des retours plus pertinents, exhaustifs et continus.
Le modèle de Bug Bounty, qui récompense les chercheurs éthiques en fonction de la gravité des vulnérabilités découvertes, s’est imposé comme la meilleure alternative pour inciter les chercheurs à se concentrer sur les failles les plus critiques ou dans les zones d’ombres.
Scalingo a étudié plusieurs solutions, mais a finalement choisi Yogosha pour la diversité de ses chercheurs en sécurité, et le fait qu’il s’agisse d’une entreprise française, un critère important dans leur processus de sélection.
Le Bug Bounty, une solution de test continu et plus approfondi
Plus d’un an s’est écoulé depuis que Yannick Jost et son équipe ont mis en place un programme de Bug Bounty chez Yogosha. Contrairement à un pentest où les chercheurs sont peu nombreux et rémunérés pour une mission, Scalingo travaille avec notre communauté et les paie par vulnérabilité découverte et acceptée. Cela encourage les chercheurs à explorer les zones d’ombre, d’autant plus que les vulnérabilités critiques sont très bien rémunérées.
“L’approche du Bug Bounty se distingue par sa capacité à générer des rapports plus détaillés et à mobiliser davantage de chercheurs, ce qui est un atout majeur. Contrairement aux tests d’intrusion traditionnels, le Bug Bounty valorise financièrement les failles les plus critiques, encourageant ainsi la détection des vulnérabilités dans les zones d’ombres.” — Yannick Jost, RSSI, Scalingo
L’intégration de la solution s’est faite de manière très fluide. Le processus de mise en œuvre a été rapide, prenant environ deux semaines. L’accompagnement de Yogosha a été crucial pour définir le programme, les périmètres de sécurité, et les niveaux de récompense. L’équipe de Scalingo a pu s’approprier la solution rapidement, et celle-ci s’est parfaitement intégrée dans leur écosystème de sécurité, devenant une brique complémentaire de leur défense.
Leur processus de gestion est aujourd’hui bien établi :
- Un nouveau rapport ou un commentaire sur un rapport existant déclenche une notification sur Slack.
- L’équipe de sécurité de Scalingo fait un premier tri, souvent avec un ticket temporaire dans leur outil de suivi.
- Un ticket Jira est créé, permettant de suivre le cycle de correction jusqu’au déploiement en production.
- Une fois la correction effectuée, Scalingo demande à l’auteur du rapport de vérifier que la vulnérabilité est bien corrigée.
Récemment, Scalingo a également ouvert un programme de Vulnerability Disclosure Program (VDP) afin de formaliser et de rationaliser la gestion des signalements spontanés de vulnérabilités. Cette démarche est notamment utile pour traiter efficacement les signalements incomplets ou non qualifiés : des messages parfois très vagues, qui nécessitent un cadrage (périmètre, preuve de concept, impact) avant de pouvoir être analysés et priorisés.
Une couverture renforcée sur des chemins legacy
Un autre bénéfice est la découverte de vulnérabilités qui n’avaient jamais été identifiées auparavant. Yannick Jost nous confie : “On a identifié des vulnérabilités dans des composants historiques de la plateforme, sur des scénarios peu fréquents.”
L’approche Bug Bounty a incité les chercheurs en sécurité à approfondir leurs investigations.
Un gain de temps et une rationalisation des tâches
La plateforme Yogosha a eu un impact positif sur le quotidien de l’équipe de sécurité en apportant un gain de temps et une rationalisation des tâches. Au lieu de traiter un rapport de pentest au format Word, l’équipe gère des tickets individualisés par vulnérabilité, ce qui rend le suivi et la communication beaucoup plus clairs et efficaces.
Yogosha : à l’écoute des besoins de ses clients
Yannick Jost est très satisfait du support client de Yogosha. La communication est fluide et réactive, avec des points réguliers qui permettent de s’assurer du bon fonctionnement du programme. Il se réjouit également de l’évolution du produit, qui est à l’écoute des besoins de ses clients, comme en témoigne le développement d’un document de synthèse sur mesure qui permet à Scalingo de prouver la robustesse de ses programmes de sécurité à ses propres clients.
Ne vous basez pas seulement sur des tests automatisés
Le mot de la fin de Yannick Jost est un message clair à l’intention des entreprises qui hésitent à franchir le pas : “Ne vous basez pas seulement sur des tests automatisés, il n’y a rien de tel que des humains et une diversité de profils pour trouver les failles de sécurité.”
Pour l’avenir, Scalingo prévoit de continuer à utiliser les programmes de Bug Bounty et de VDP, et d’explorer de nouvelles possibilités avec Yogosha, comme les Pentests as a Service, et d’étendre la couverture de leurs programmes à de nouvelles fonctionnalités et de nouveaux types de bases de données, en accord avec l’évolution de leur plateforme.
Envie d’en savoir plus sur la façon dont Yogosha sécurise les applications des SaaS et plateformes cloud ?
