Un rapport de HackerOne indique que le secteur des « Bug Bounty » et les récompenses « Bounty Rewards » prennent de l'ampleur dans le monde

Les organisations les plus conscientes de la sécurité accordent 50 000 USD de bug bounties par mois aux hackers, et jusqu'à 900 000 USD par an pour signaler les vulnérabilités de sécurité inconnues

SAN FRANCISCO--()--HackerOne, un fournisseur de premier plan de plateforme bug bounty et de divulgation de la vulnérabilité, a publié aujourd'hui le « The 2017 Hacker-Powered Security Report » qui examine plus de 800 programmes actionnés par des hackers et initiés par des organisations, telles que Airbnb, GitHub, General Motors, Intel, Lufthansa, Nintendo, le Département de la Défense des États-Unis, Uber, et bien plus. Les conclusions sont basées sur près de 50 000 vulnérabilités de sécurité résolues et plus de 17 millions USD de primes attribuées -- le plus grand ensemble de données de plateforme au monde.

Dans un contexte de violations de données entraînant en moyenne 4 millions USD de pertes à l'échelle mondiale et le temps d'immobilisation causé par des attaques, telles que WannaCry coûtant 8 milliards USD ou plus, les organisations les plus conscientes de la sécurité travaillent avec les hackers pour trouver les vulnérabilités inconnues. La sécurité actionnée par les hackers fournit un moyen d'identifier les vulnérabilités à forte valeur en exploitant la créativité de la plus grande communauté de hackers éthiques au monde. Les données du rapport révèlent que les hackers trouvent des vulnérabilités sévères et sont payés pour ça, avec 32 % des vulnérabilités résolues classées comme étant de sévérité haute à critique, et que les récompenses les plus élevées atteignent 30 000 USD pour un seul rapport.

Des hackers de plus de 90 pays gagnent des bounty rewards. Les organisations les plus compétitives attribuent près de 900 000 USD par an aux hackers, et les vulnérabilités critiques valent 1 923 USD en moyenne. Au cours des 12 derniers mois, 88 récompenses bug bounties individuelles étaient supérieures à 10 000 USD.

« Les programmes de sécurité actionnés par les hackers sont incontestablement efficaces quand il s'agit de trouver des vulnérabilités dont les organisations ignoraient l'existence », a déclaré Alex Rice, directeur de la technologie et fondateur de HackerOne. « Le rapport indique le succès de ces programmes et les capacités diverses de la communauté mondiale des hackers, avec près de 50 000 vulnérabilités de sécurité résolues. »

Principales conclusions du 2017 Hacker-Powered Security Report :

  • Les Bug bounties ne sont pas réservées aux entreprises de technologie. Alors que plus de la moitié des programmes de bug bounties lancés en 2016 était initiés par des entreprises de technologie, 41 % d'entre eux provenaient d'autres industries. Les secteurs verticaux affichant une croissance significative en glissement annuel sont les agences gouvernementales, telles que le Département de la Défense des États-Unis, les médias et le divertissement, les services financiers et bancaires, l'e-commerce et le détail.
  • L'efficacité de la réponse des clients en matière de sécurité s'améliore : Le temps moyen jusqu'à la première réponse pour les questions de sécurité est de 6 jours en 2017, comparé à 7 jours en 2016. Les organisations d'e-commerce et de détail fixent les problèmes de sécurité en quatre semaines, les délais les plus rapides en moyenne.
  • Les programmes réactifs attirent les meilleurs hackers. Les programmes qui reconnaissent, valident et résolvent les vulnérabilités soumises le plus rapidement sont les plus attractifs pour les hackers. La fidélité compte - les hackers réguliers doivent être remerciés pour la majorité des rapports valides.
  • Les paiements de Bounty augmentent. Le bounty moyen payé à des hackers pour une vulnérabilité critique est de 1 923 USD en 2017, comparé à 1 624 USD en 2015 — en hausse de 16 %. Les programmes de bug bounty les plus performants paient en moyenne 50 000 USD par mois aux hackers et certains d'entre aux paient environ 900 000 USD par an.
  • Politiques de divulgation des vulnérabilités. Malgré l'adoption accrue des programmes de bug bounty et les recommandations des agences fédérales, 94 % des plus grandes entreprises cotées en bourse n'ont pas encore de politiques de divulgation des vulnérabilités en place — ce qui est inchangé depuis 2015.

Le rapport faisant le plus autorité sur les bug bounties et la sécurité actionnée par des hackers

Le 2017 Hacker-Powered Security Report examine les données rassemblées par plus de 800 programmes de bug bounty et de divulgation des vulnérabilités dans le monde. Le rapport contient une analyse de près de 50 000 vulnérabilités résolues dans plus de 13 industries, ainsi que les perspectives de plus de 600 clients et plus de 100 000 hackers enregistrés. HackerOne a également analysé les données de politiques de divulgation des vulnérabilités d'entreprises Forbes Global 2000 pour mieux comprendre l'adoption de la sécurité actionnée par des hackers. Le 2017 Hacker-Powered Security Report est basé sur l'ensemble de données de plateforme le plus complet, et il fournit une perspective sur le taux d'adoption des bug bounties, les stratégies de tarification, les motivations des hackers, et bien plus.

Le rapport complet est disponible sur : https://www.hackerone.com/resources/hacker-powered-security-report

À propos de HackerOne

HackerOne est la plateforme de sécurité actionnée par des hackers numéro un qui connecte les organisations avec la plus importante communauté de hackers de confiance au monde. Plus de 800 organisations, y compris le Département de la Défense, General Motors, Uber, Twitter, GitHub, Nintendo, Kaspersky Lab, Panasonic Avionics, Qualcomm, Square, Starbucks, Dropbox et le CERT Coordination Center font confiance à HackerOne pour trouver les vulnérabilités critiques de leur logiciel avant que les criminels ne puissent les exploiter. Les clients HackerOne ont résolu près de 50 000 vulnérabilités et payé plus de 17 millions USD de bug bounties. HackerOne a son siège à San Francisco avec des bureaux à Londres et aux Pays-Bas.

Le texte du communiqué issu d’une traduction ne doit d’aucune manière être considéré comme officiel. La seule version du communiqué qui fasse foi est celle du communiqué dans sa langue d’origine. La traduction devra toujours être confrontée au texte source, qui fera jurisprudence.

Contacts

HackerOne
Lauren Koszarek
lauren@hackerone.com
ou
Bateman Group
Margaret Pack, 619-609-3919
hackerone@bateman-group.com

Contacts

HackerOne
Lauren Koszarek
lauren@hackerone.com
ou
Bateman Group
Margaret Pack, 619-609-3919
hackerone@bateman-group.com