C'est pas mon idée !

dimanche 11 août 2013

Synack "crowdsource" les tests de sécurité

Synack
Face à la prolifération des cyberattaques en tout genre, la recherche de failles de sécurité dans les systèmes exposés sur le web devient chaque jour plus critique pour les entreprises et, plus encore, pour les institutions financières. S'inspirant des méthodes des géants du web, une jeune pousse, Synack, veut proposer une alternative aux classiques tests de pénétration.

L'exemple vient de Google, Facebook et consorts : depuis bien longtemps, ces entreprises, extrêmement sensibles aux problématiques de sécurité du simple fait de leur échelle mondiale, ont recours aux compétences d'une large communauté ouverte de chercheurs pour tester leurs services, en permanence, et détecter les vulnérabilités qui les affectent. C'est ainsi que sont nés, notamment, les programmes de primes (en dollars sonnants et trébuchants) aux chasseurs de bogues.

Les grandes entreprises pourraient répliquer ce modèle (et quelques-unes le font), mais il s'avère complexe et coûteux à mettre en place et à gérer efficacement. Aussi, Synack se positionne-t-elle en intermédiaire, pour leur apporter un tel service clés en main. En synthèse, la startup recrute les meilleurs chercheurs, à travers le monde entier, et les "met à la disposition" des organisations qui veulent s'assurer de la sécurité de leurs applications ou infrastructures.

Synack

La démarche de test se veut elle-même sécurisée. D'une part, les personnes recrutées sont soigneusement sélectionnées par les responsables de Synack, non seulement pour leurs compétences mais aussi pour leur éthique, et, d'autre part, une plate-forme spécifique, fournissant un "environnement virtuel de test privé" (aucune précision n'est cependant donnée sur ce que cette notion recouvre), est mise en œuvre pour protéger les infrastructures des clients.

Grâce à son approche collaborative, la société se vante de pouvoir offrir une solution de test, mobilisable en très peu de temps (quelques heures), capable de monter en charge très rapidement et de rester en veille permanente, quelle que soit la complexité de l'environnement cible. Côté coûts, elle est présentée comme compétitive, avec une tarification en fonction des vulnérabilités détectées (malheureusement assez peu transparente au premier abord), aussi bien pour les entreprises clientes que pour les "testeurs".

D'un certain point de vue, le secteur de la sécurité est presque naturellement candidat à l'adaptation des techniques de crowdsourcing, où elles sont déjà, de facto, partiellement en vigueur aujourd'hui (quelle entreprise n'a pas été un jour alertée d'une faille par un "internaute" ?). Et s'il est un seul domaine où le bénéfice potentiel d'une communauté de spécialistes la plus large possible pour traiter globalement un problème est gigantesque, il s'agit bien de celui-ci.

Malgré tout, faire de ce modèle la base d'une entreprise est très ambitieux, car se pose inévitablement la question de confiance : Synack va devoir s'appliquer à démontrer sérieusement que sa solution est réellement sécurisée – de bout en bout, aussi bien sur sa plate-forme que sur le plan des ressources humaines. La tâche ne sera pas simple et il ne suffira pas de savoir que ses fondateurs sont des anciens de la NSA pour rassurer les futurs clients !

Aucun commentaire:

Enregistrer un commentaire

Afin de lutter contre le spam, les commentaires ne sont ouverts qu'aux personnes identifiées et sont soumis à modération (je suis sincèrement désolé pour le désagrément causé…)