Skip to main content

Comment un acteur public stratégique renforce la sécurité de ses applications critiques avec une approche multi-opérations

Avatar
10/12/2025
4 min read
Interviews

Avec plus de 1000 collaborateurs, 27 implantations en France, et des plateformes critiques utilisées par l’État, le Bureau de Recherches Géologiques et Minières (BRGM) joue un rôle central dans la géoscience publique. Ses services numériques stratégiques — cartographie des risques, surveillance des nappes phréatiques, gestion des données géologiques — requièrent un haut niveau de sécurité et de conformité réglementaire.

En adoptant une approche multi-opérations combinant Pentest-as-a-Service (PtaaS) et Bug Bounty via la plateforme Yogosha, le BRGM a pu homologuer ses applications critiques, détecter des vulnérabilités non identifiées lors des audits classiques, et renforcer la collaboration entre équipes internes et experts externes.

Concrètement, 116 vulnérabilités ont été détectées dont 9 critiques.

Le défi : homologuer et protéger des applications critiques dans un environnement réglementé

Le BRGM gère des applications critiques liées à l’analyse des sols, aux nappes phréatiques et aux données géorisques. Ces applications nécessitent une sécurité maximale, mais les pentests ponctuels ne permettent pas de couvrir l’ensemble de la surface d’attaque de manière continue.

Le défi principal du BRGM résidait dans la mise en conformité réglementaire de ses applications, via un processus d’homologation logicielle structuré, tel qu’exigé par les services de l’État.
Chaque application devait faire l’objet d’un niveau de validation adapté à sa sensibilité, avec des livrables clairs, des tests documentés, et des preuves de robustesse face aux risques.

« La priorité était de mettre en place un processus pour homologuer toutes les applications, notamment celles en lien avec les services d’État. »
— Julien Delaruelle, RSSI adjoint

Le BRGM faisait face à plusieurs contraintes :

  • Un nombre croissant d’applications à auditer
  • Des niveaux de criticité variés, nécessitant des approches différenciées
  • La nécessité de produire des livrables exploitables pour l’homologation, sans surcharger les équipes internes
  • Des exigences de réversibilité, de traçabilité et de transparence

Les pentests classiques ne permettaient pas de répondre à tous ces besoins, notamment sur la fréquence, la profondeur et la capacité à impliquer les équipes techniques dans une dynamique d’amélioration continue.

La solution : une approche multi-opérations avec Yogosha

Pour relever ce défi, le BRGM a déployé une stratégie de sécurité par paliers, adaptée à la sensibilité de chaque application et intégrant du Pentest-as-a-Service et du Bug Bounty privé. Cette combinaison permet d’allier tests à la demande, test continue et livrables exploitables pour l’homologation.

1. Pentest-as-a-Service pour les applications standards

Le PtaaS permet au BRGM de :

  • Lancer des tests en moins de 48h
  • Suivre les campagnes en temps réel sur la plateforme Yogosha
  • Fournir des rapports structurés aux instances d’homologation
  • Maintenir une fréquence de tests adaptée aux cycles projet

« Le PtaaS nous permet d’homologuer des applications avec un bon niveau d’assurance sans surcharge. »
 — Julien Delaruelle, RSSI adjoint

2. Bug Bounty pour les applications critiques

Pour les services exposés ou hautement stratégiques, un Bug Bounty privé mobilise une large communauté de chercheurs expérimentés pour :

  • Identifier des failles critiques 24/7
  • Couvrir une surface d’attaque évolutive
  • Aller plus en profondeur que les audits classiques

« Les chercheurs vont vraiment au bout de chaque opération. Ils trouvent des vulnérabilités que les audits classiques ne révèlent pas. »
 — Julien Delaruelle, RSSI adjoint

Les résultats : résilience renforcée et équipes engagées

Grâce à cette approche :

  • 116 vulnérabilités détectées dont 9 critiques
  • Les équipes techniques reçoivent des rapports clairs et exploitables
  • La collaboration avec la communauté de chercheurs est devenue un levier de montée en compétences internes
  • Le dialogue entre équipes et chercheurs est constructif et sans jugement
  • La sécurité globale des applications critiques est significativement renforcée

« Quand une équipe technique reconnaît que le chercheur a trouvé quelque chose de pertinent auquel ils n’avaient pas pensé, c’est là que l’on mesure toute la valeur de cette approche. »
Julien Delaruelle, RSSI adjoint, BRGM

Sécurisez vos applications critiques avec Yogosha

L’expérience du BRGM prouve qu’une stratégie multi-opérations est un atout pour concilier conformité, sécurité continue et optimisation des ressources internes.

Que vous soyez un organisme public ou un acteur réglementé, ce modèle vous permet de tester vos systèmes à la demande et en continu sans freiner vos équipes. C’est le moyen idéal de débusquer les vulnérabilités qui échappent aux tests traditionnels.

Contactez-nous pour tester votre surface d’attaque et concevoir un programme sur mesure.

Plus ?

Cybersécurité des collectivités Interviews

Cybersécurité des collectivités : la phase 3 de la mutualisation est lancée

Depuis 2021, le CoTer Numérique (Club des DSI des collectivités) et le Club de la…
Mélissa Quix
Mélissa Quix21/10/2025
Pentest-as-a-Service pour ISO 27001 Interviews

Comment un éditeur SaaS renforce la sécurité de sa plateforme dans le cadre de sa certification ISO 27001

Mediarithmics, éditeur européen d’une Customer Data Platform (CDP), accompagne des clients tels que TF1, Prisma…
Mélissa Quix
Mélissa Quix09/10/2025
Sopra Steria x Yogosha Interviews

Sécuriser avant de déployer : comment Sopra Steria combine pentests et Bug Bounty pour gagner en agilité

À l’heure où la transformation numérique s’accélère, les enjeux de cybersécurité se déplacent en amont…
Mélissa Quix
Mélissa Quix11/09/2025