Assurez-vous que les vulnérabilités tombent entre de bonnes mains : les vôtres.
VDP – Vulnerability Disclosure Program
Qu’est-ce qu’un Programme de Divulgation des Vulnérabilités (VDP) ?
Un VDP est un canal structuré prévu par une organisation pour permettre à quiconque de lui signaler un problème de sécurité numérique. En d’autres termes, il s’agit d’un moyen sûr pour que les gens sachent où et comment vous rapporter d’éventuelles vulnérabilités.
Pourquoi avoir un VDP ?
Les systèmes auront toujours des vulnérabilités. Elles sont parfois découvertes par des chercheurs en sécurité bien intentionnés – des hackers éthiques. Maintenant, admettons que l’un d’entre eux ait trouvé une faille dans vos actifs et souhaite vous en alerter.
Comment les hackers éthiques vous contactent-ils ?
Sans directives claires, le point de contact de votre équipe de sécurité n’est pas facilement identifiable.
Certains pourraient décider de s’adresser à un service au hasard, comme votre service clientèle.
Ces derniers ne comprendront probablement pas de quoi il en retourne, et le rapport croupira à jamais dans leurs emails sans être transmis aux bonnes personnes. De plus, un email n’est pas vraiment un moyen sécurisé de traiter des vulnérabilités potentiellement critiques, et vous vous exposez à des fuites.
Pire encore, si vous ne répondez pas, ils pourraient vous interpeller publiquement sur les réseaux sociaux ou publier la vulnérabilité sur un blog.
C’est ce qu’on appelle une Full Disclosure, et c’est synonyme d’une crise de relations publiques et de sécurité en même temps. Le jackpot.
Dans le meilleur des cas
Les chercheurs en sécurité ne feront rien pour vous avertir. Soit parce que c’est trop compliqué, soit car ils redouteront un procès. Vous ne serez donc jamais au courant de la vulnérabilité, jusqu’au jour où elle sera exploitée ou vendue par quelqu’un de moins bien intentionné.
Faites-vous une faveur, ayez un VDP.
Le VDP en bref
Nos Opérations
Découvrir