Bug Bounty : le gouvernement Québécois va s’investir dans la recherche de bug informatique
Dans l’espoir d’améliorer la sécurité informatique de ses infrastructures, le gouvernement Québécois prévoit de mettre en place un programme de Bug Bounty.
Un programme au cours duquel des hackers seront invités à rechercher des failles de sécurité sur le système informatique de gouvernement.
Cet article va aussi vous intéresser : Vulnérabilités et Bug Bounty
Au cours de la semaine dernière dans une déclaration du ministre chargé au numérique et à la cyber sécurité, monsieur Éric Caire, c’est clairement un événement au Canada car c’est une première.
Selon certaines informations la société française connue sous l’appellation de YesWeHack sera certainement de la partie. C’était une société spécialisée dans la recherche des failles de sécurité, et clairement un leader européen dans la matière.
Pour la réalisation de la chasse aux Bugs, les hackers qui seront invités vont avoir accès à certaines infrastructures informatiques de gouvernement pour y chercher des vulnérabilités, défie susceptible de mettre en danger les données personnelles des Québécois.
« C’est toute la communauté de la planète qui a accès au programme », déclare le ministre Caire.
Pour le moment le projet est en phase pilote. Le budget disponible est de 94 000 dollars américain. La première partie de projet sera financée à hauteur de 30 000 dollars américain dans le but de payer l’utilisation de la plateforme en français YesWeHack. L’autre partie du budget va servir à payer les primes des hackers.
Le gouvernement québécois a déjà élaboré la grille tarifaire pour ce qu’il en est de la découverte des vulnérabilités. La rémunération sera fonction de la criticité de la faille de sécurité découverte. Les primes commencent à partir de 50 dollars américain. La somme maximale en tenant compte de la gravité de la faille de sécurité et de 7500 dollars américains. Si cela ne rivalise pas avec les grandes plateformes américaines, ce programme a le mérite d’être permanent.
« La collaboration de la communauté de chercheurs en sécurité de l’information est essentielle afin de lutter efficacement contre les cyber menaces et les cyberattaques », note le ministre Éric Caire. « Un tel exercice permettra à ses équipes gouvernementales de « valider » le travail réalisé à l’interne (…) Cette approche novatrice offrira assurément une plus grande force de frappe pour identifier les potentielles vulnérabilités et de les corriger rapidement. », a ajouté le ministre.
Au début du processus, tous les acteurs qui voudraient participer au programme doivent se faire d’abord authentifier. Cela peut même faciliter les recrutements de certains spécialistes en matière de sécurité informatique qui refusent d’intégrer la fonction publique à cause de la rémunération qui est souvent peu attirante.
Pour le moment, le gouvernement québécois est obligé de travailler avec des spécialistes qui sont toujours dans le secteur privé et rémunérés grâce aux primes.
« Est-ce que ça nous permet d’avoir accès à un très haut niveau de compétence à faible coût, la réponse est : très certainement, oui », note Éric Caire.
Mais comme le mentionne Patrick Mathieu le cofondateur du hackfest, la meilleure manière de motiver les chercheurs et les chercheuses est bien évidemment de les motiver avec une bonne rémunération.
« Au-dessus de 5000 $, c’est très bon […] Pour le gouvernement, c’est une manière de tester les projets sans payer des consultants à 200 $ ou 300 $ de l’heure », mentionne ce dernier.
Accédez maintenant à un nombre illimité de mot de passe :