Le programme de divulgation des vulnérabilités (VDP)

Assurez-vous que les vulnérabilités tombent entre de bonnes mains : les vôtres.

Qu’est-ce qu’un Programme de Divulgation des Vulnérabilités (VDP) ?

Un VDP est un canal structuré prévu par une organisation pour permettre à quiconque de lui signaler un problème de sécurité numérique. En d’autres termes, il s’agit d’un moyen sûr pour que les gens sachent où et comment vous rapporter d’éventuelles vulnérabilités.

Pourquoi avoir un VDP ?

Les systèmes auront toujours des vulnérabilités. Elles sont parfois découvertes par des chercheurs en sécurité bien intentionnés – des hackers éthiques. Maintenant, admettons que l’un d’entre eux ait trouvé une faille dans vos actifs et souhaite vous en alerter.

Here’s what will happen without a VDP

Comment les hackers éthiques vous contactent-ils ?

Sans directives claires, le point de contact de votre équipe de sécurité n’est pas facilement identifiable.

Certains pourraient décider de s’adresser à un service au hasard, comme votre service clientèle.

Ces derniers ne comprendront probablement pas de quoi il en retourne, et le rapport croupira à jamais dans leurs emails sans être transmis aux bonnes personnes. De plus, un email n’est pas vraiment un moyen sécurisé de traiter des vulnérabilités potentiellement critiques, et vous vous exposez à des fuites.

Pire encore, si vous ne répondez pas, ils pourraient vous interpeller publiquement sur les réseaux sociaux ou publier la vulnérabilité sur un blog.

C’est ce qu’on appelle une Full Disclosure, et c’est synonyme d’une crise de relations publiques et de sécurité en même temps. Le jackpot.

Dans le meilleur des cas

Les chercheurs en sécurité ne feront rien pour vous avertir. Soit parce que c’est trop compliqué, soit car ils redouteront un procès. Vous ne serez donc jamais au courant de la vulnérabilité, jusqu’au jour où elle sera exploitée ou vendue par quelqu’un de moins bien intentionné.

Faites-vous une faveur, ayez un VDP.

Le VDP en bref

Un VDP est un canal sécurisé et structuré pour recueillir les vulnérabilités, éviter les fuites et réduire les risques numériques.
Avoir un VDP protège votre marque et votre image. Il s’agit d’un engagement public en faveur d’une meilleure sécurité. Instaurez la confiance avec les hackers éthiques, vos partenaires et vos clients.
C’est simple. Nous vous aidons à mettre en place votre VDP : scope, règles de divulgation, directives, clauses juridiques et dites “Safe Harbor”… Nous pouvons même gérer le triage des rapports afin que vous puissiez vous concentrer sur l’essentiel : la remédiation.
Centralisez et gérez toutes les vulnérabilités sur la plateforme Yogosha, et harmonisez les opérations en connectant vos outils.

Mettez en place un VDP avec Yogosha.