Table of Contents
Les services publics sont confrontés à des défis majeurs en matière de sécurité numérique. Pour les relever, la sécurité collaborative offre des solutions flexibles, évolutives et abordables.
Collectivités territoriales, services hospitaliers, enseignement, services postaux… Autant d’administrations qui traitent quotidiennement des quantités de données sensibles, à commencer par celles des citoyens. Les enjeux de sécurité numérique sont cruciaux : puisque le risque est réel, la responsabilité l’est aussi.
Mais dans le secteur public comme dans le privé, il n’est pas toujours aisé d’assurer la sécurité à tous les niveaux. Limitation budgétaire, manque de personnel qualifié, complexités intrinsèques aux infrastructures, les obstacles sont nombreux.
Si le remède à tous les maux n’existe pas, la sécurité collaborative offre des solutions adaptées aux enjeux des collectivités publiques en matière :
- de sécurité
- de financement
- d’échelle
- d’implémentation
- de flexibilité
Des opérations de sécurité flexibles et évolutives
Les services publics sont aussi nombreux qu’éclectiques. Impossible alors d’avancer une stratégie de sécurité unique pour tous. Ceci dit, la sécurité collaborative a l’avantage d’offrir des solutions flexibles et évolutives, capables de s’adapter à presque tous les cas de figure – communes, métropoles, hôpitaux, transports, services d’assainissement et d’adduction d’eau potable…
Pentest as a Service : une porte d’entrée sur le monde de la sécurité collaborative
Prenons l’exemple d’une commune qui devrait sécuriser une application critique, développée en interne ou par un prestataire externe. A titre d’exemple, un logiciel pour le dépôt des mains courantes prévu pour la police municipale. Un vol de données serait catastrophique pour la ville, pour des raisons d’image et de sécurité publique.
Malheureusement, cette commune a – comme beaucoup d’autres – des ressources humaines et un budget limité. Ici, le pentest collaboratif est une solution idéale et abordable. Un test d’intrusion à petite échelle permet à la commune :
- d’identifier des vulnérabilités potentiellement critiques
- en mobilisant facilement des hackers éthiques sélectionnés pour tester l’application
- ce qui permet d’initier un premier contact entre les équipes techniques de la commune et la communauté des hunters
- le tout pour un coût fixe et raisonnable.
Une fois que la commune et ses équipes techniques sont rodées à la pratique, il est possible de passer à la vitesse supérieure avec, par exemple, du pentest d’architecture, d’infrastructure, d’accès distant… Ici, la ville de Boulogne-Billancourt fait figure d’exemple.
L’exemple des villes intelligentes et de Boulogne-Billancourt
Les villes connectées – ou smart cities – offrent de nombreux points d’entrée pour les individus mal intentionnés. Il est donc impératif de mener des actions préventives. Sous l’impulsion de son DSI Christophe Vergeron, Boulogne-Billancourt a ainsi été l’une des premières villes de France à faire appel à des hackers éthiques pour sécuriser ses environnements. Plusieurs opérations ont été conduites :
- Un premier pentest d’infrastructure a permis de s’assurer que tous les ports qui avaient été ouverts en raison de la pandémie – pour le télétravail par exemple – ne présentaient pas de vulnérabilités ;
- Un pentest applicatif a quant à lui permis de tester une application qui gère des données citoyennes ;
- Enfin, un hacker éthique a été dépêché sur site pour tester les accès au WiFi public de la ville.
Bug Bounty : payer au résultat, un modèle économique intéressant pour les collectivités publiques
La sécurité collaborative permet une progression dans les actions à mener. Les pentests permettent aux administrations publiques de se familiariser à leur rythme avec le hacking éthique. Les vulnérabilités les plus évidentes sont identifiées pour un coût fixe, et les équipes techniques peuvent prendre le temps nécessaire à la remédiation.
Quand un service public dispose d’une maturité suffisante en matière de sécurité, il peut passer à la vitesse supérieure : le bug bounty.
Très concrètement, le bug bounty est une chasse aux bugs, un défi lancé aux hackers éthiques. L’intérêt du bug bounty pour une collectivité publique est double :
- La garantie financière : Pas de résultats = pas de dépenses. Un hacker éthique ne peut prétendre à une prime que s’il trouve une vulnérabilité exploitable.
- La garantie d’efficacité : Ce paiement au résultat allié à la force du nombre des hunters est ce qui permet au bug bounty d’identifier efficacement les vulnérabilités les plus critiques.
L’exemple des collectivités territoriales : un bug bounty mutualisé financé à 70% par le plan France Relance
Précédemment, nous avons pris l’exemple d’une ville avec Boulogne-Billancourt. Maintenant, dézoomons un peu et passons à l’échelle supérieure.
En juin 2022, un bug bounty mutualisé a été lancé par les collectivités territoriales françaises. Une cinquantaine de hackers d’élite Yogosha ont été sélectionnés pour tester les quinze logiciels les plus utilisés par les villes du pays. Une plateforme administrative pour les inscriptions en crèche, un logiciel de gestion des files d’attente…
Cette opération de bug bounty mutualisée présente plusieurs avantages pour les collectivités :
- identifier des vulnérabilités dans des applications utilisées par toutes les villes du pays, et ainsi renforcer la sécurité numérique des citoyens ;
- profiter du modèle économique intéressant du bug bounty, avec une logique de paiement aux résultats ;
- engager une dépense unique grâce à la mutualisation de l’opération ;
- profiter d’un financement à hauteur de 70% par le plan France Relance, avec le soutien de l’ANSSI.
Si l’exemple porte ici sur les collectivités territoriales, le bug bounty et sa forme mutualisée sont applicables à tout type d’administration publique.
Digitaliser les processus de sécurité des collectivités publiques
Les bénéfices de la sécurité collaborative ne s’arrêtent pas aux seules opérations que sont le pentest, le bug bounty et la VDP. Outre ces programmes, la plateforme Yogosha permet aux collectivités publiques de :
- Digitaliser et simplifier la gestion des vulnérabilités : les vulnérabilités sont notifiées en temps réel, les rapports de vulnérabilités peuvent être traités de A à Z depuis la plateforme, les opérations peuvent être mises en pause simplement pour gérer le flux des rapports et des dépenses, etc.
- Centraliser tous les environnements et leurs problématiques de sécurité au sein d’un seul outil : applications, sites web, API, logiciels tiers… Tout peut être testé. Centraliser l’ensemble des environnements au sein de la plateforme permet d’avoir une vision macro sur la sécurité de l’administration. Les dashboards de suivi et d’analytique permettent quant à eux de guider les prises de décision en s’appuyant sur de la donnée.
- D’animer et diriger les équipes techniques internes en tirant parti des fonctionnalités de la plateforme : Yogosha permet de mobiliser des hackers éthiques, mais également de créer des groupes de chercheurs internes. Les différents espaces de travail et leur gestion avancée des droits et des utilisateurs permet de mieux organiser les tâches. Les différentes intégrations (Jira Server, Jira Cloud, Gitlab…) incorporent naturellement la sécurité collaborative aux workflows des équipes techniques.
Accompagner les services publics et leurs équipes vers une meilleure sécurité numérique
On ne peut pas attendre d’une administration publique la même souplesse qu’une jeune start-up du privé. Les processus en place sont souvent chronophages, les budgets sont limités et les talents en cybersécurité ne sont pas légion. Il peut ainsi arriver qu’un même service IT soit chargé de tous les sujets numériques, y compris des questions de sécurité. Il n’est pas toujours aisé de mener des opérations de sécurité, ou de veiller à la bonne correction des vulnérabilités.
La facilité d’accès et de mise en place des processus est un enjeu majeur dans l’adoption de la sécurité collaborative. C’est pourquoi l’accompagnement est l’une de nos missions principales.
Les Services Managés Yogosha sont des solutions d’accompagnement complètes et évolutives. Nous collaborons avec les cabinets de conseil les plus prestigieux pour mettre sur pied des plans d’action personnalisés, de la phase de construction à la phase de remédiation :
- analyse des besoins ;
- conseil sur les opérations à mener et les périmètres à tester ;
- gestion de la relation avec les hackers éthiques ;
- triage des rapports et reproduction des vulnérabilités ;
- accompagnement des équipes de terrain ;
- plans d’action et de remédiation…
En définitive, Yogosha et la sécurité collaborative permettent aux services publics :
- de renforcer la sécurité numérique des citoyens et du territoire ;
- d’identifier des vulnérabilités avec des opérations de sécurité flexibles qui s’adaptent à la maturité de chaque administration
- de profiter d’un modèle économique intéressant pour les collectivités et de potentiels financements publics
- de digitaliser les processus de sécurité en place
- de simplifier la gestion des vulnérabilités
- d’être accompagnés vers une meilleure sécurité globale avec des plans d’action évolutifs et personnalisés