Stratégie

La Poste Suisse lance un programme public de chasse aux vulnérabilités

La Poste Suisse lance un programme public de chasse aux vulnérabilités
Marcel Zumbühl, RSSI de La Poste Suisse : « Depuis le début du programme, nous avons identifié 500 vulnérabilités et versé environ 226 000€ de récompenses. »

La Poste Suisse a ouvert il y a quelques mois son programme de bug bounty (traque des vulnérabilités), auparavant privé, à toute la communauté de cybersécurité YesWeHack.

PublicitéEn mai 2020, La Poste Suisse a décidé de lancer avec la plateforme de crowdsourcing en cybersécurité YesWeHack un programme privé de bug bounty. Le succès de celui-ci et les résultats obtenus ont conduit l'entreprise à ouvrir en 2021 son programme à toute la communauté de la plateforme, soit 23 000 hackers éthiques.

En 2020, La Poste Suisse a démarré cette chasse aux vulnérabilités avec 20 chercheurs sélectionnés au préalable, qui accédaient au programme sur invitation. L'entreprise avait pour objectif de renforcer la sécurité de ses produits numériques, grâce à cette approche communautaire, complémentaire des tests de sécurité existants. Progressivement, son programme privé a été étendu à une centaine de hackers éthiques, avec des résultats concluants. « Depuis le début du programme, nous avons identifié 500 vulnérabilités et versé environ 226 000€ de récompenses », témoigne en effet Marcel Zumbühl, responsable de la sécurité des systèmes d'information de La Poste Suisse.

Jusqu'à 10 000 € pour une faille critique

Désormais, avec le programme public, La Poste Suisse donne aux 23 000 hackers de YesWeHack la possibilité de participer à la traque de vulnérabilités, les participants pouvant recevoir jusqu'à 10 000 € de récompense pour une faille critique. Le programme public de Bug Bounty commencera initialement avec onze périmètres, qui ont d'ores et déjà été améliorés dans le cadre du programme de bug bounty privé. Il est prévu d'ajouter d'autres services au programme. La Poste Suisse dispose également d'une politique de divulgation de vulnérabilités (VDP), un canal permettant de signaler de manière légale et sécurisée des vulnérabilités sur des services ne figurant pas dans le programme public.

Partager cet article

Commentaire

Avatar
Envoyer
Ecrire un commentaire...

INFORMATION

Vous devez être connecté à votre compte CIO pour poster un commentaire.

Cliquez ici pour vous connecter
Pas encore inscrit ? s'inscrire

    Publicité

    Abonnez-vous à la newsletter CIO

    Recevez notre newsletter tous les lundis et jeudis

    La question du moment
    Avez-vous déjà rapatrié une application depuis le cloud public ou bloqué son déploiement en production sur cet environnement pour des questions tarifaires ?