Alors que nous approchons des plaidoiries en appel dans l’affaire pénale historique de l’ancien RSSI d’Uber cet été, les techniciens, les avocats, les pirates informatiques et les investisseurs devraient tous s’inquiéter de la cybersécurité. En 2016, Uber a subi une violation massive de données cela a touché 50 millions de clients et plus d’un demi-million de conducteurs. Lors de la première poursuite pénale contre un responsable de la sécurité de l’information, l’ancien RSSI d’Uber, Joseph Sullivan, a été reconnu coupable de deux crimes pour avoir caché les négociations menées avec les pirates informatiques dans le but de dissimuler la brèche sous couvert d’un programme de bug bounty. Le juge du district nord de Californie condamné Sullivan purger une peine de probation de trois ans et payer une amende de 50 000 $. Les professionnels de la sécurité étaient au courant : des sanctions pénales étaient officiellement envisagées en cas de mauvaise gestion des violations de données et d’abus des programmes de bug bounty.
Les programmes de bug bounty sont considérés depuis des années comme un outil de cybersécurité par les géants de la technologie et les petites startups. Ils offrent des récompenses financières aux pirates informatiques éthiques qui aident les organisations à identifier leurs faiblesses en matière de cybersécurité en découvrant des bogues de sécurité dans leurs logiciels et en divulguant ces vulnérabilités de sécurité à l’organisation afin qu’elles puissent être corrigées. Certaines organisations gèrent leurs propres programmes de bug bounty tandis que d’autres sous-traitent à des fournisseurs de services qui proposent des programmes gérés de bug bounty. Même si les détails diffèrent, il est clair que de telles recherches incitatives sur la sécurité sont dynamiques, significatives et réussies : Google identifié et résolu 2 900 problèmes de sécurité grâce aux chercheurs en sécurité liés aux bug bounty en 2022 ; Apple offre jusqu’à 2 millions de dollars dans son programme Security Bounty pour les découvertes de vulnérabilités clés ; et Méta payé des primes à des chercheurs dans plus de 45 pays en 2022.
Les programmes de bug bounty efficaces ont des règles de base. Ces règles définissent la portée du programme, sensibilisant les participants aux systèmes et services qu’ils sont autorisés à tester et ceux qu’il leur est interdit de tester ainsi que les méthodes de test qu’ils sont autorisés à utiliser et celles qu’ils ne doivent pas utiliser. Les règles définissent également le champ des participants, certains programmes étant publics et ouverts à la communauté mondiale des hackers et des chercheurs en sécurité, et d’autres étant privés, seules certaines personnes étant invitées à participer (par exemple Université de Stanford, vous devez être étudiant, postdoctorant ou employé à temps plein ; pour Walmart, vous ne pouvez pas être salarié). Une caractéristique clé des programmes de bug bounty est l’exigence selon laquelle les participants s’engagent à ne pas accéder, modifier, supprimer, exfiltrate, ou magasin informations personnellement identifiables ou d’autres données qu’ils identifient lors de leurs tests et que s’ils le font par inadvertance, ils en informent l’organisation et suppriment les données. En échange du respect des règles du programme, les organisations offrent souvent aux participants un Port de sécuritéacceptant de ne pas engager de poursuites judiciaires contre le pirate informatique pour violation accidentelle des règles du programme de bug bounty, des conditions d’utilisation et des politiques d’utilisation acceptables de l’organisation, ainsi que des lois telles que la loi sur la fraude et les abus informatiques.
Certains programmes condition l’éligibilité à une récompense si le pirate informatique ne figure pas sur la liste des sanctions du gouvernement américain ou ne se trouve pas dans un pays figurant sur la liste des sanctions du gouvernement américain. Les organisations peuvent également refuser de payer une prime si un pirate informatique menace de dissimuler des informations sur la vulnérabilité ou de rendre publiques les données exfiltrées, transformant ainsi une demande de prime en une demande de paiement d’une rançon.
Toujours, 93 % des entreprises du Forbes Global 2000 ne disposent pas de politiques de divulgation des vulnérabilités, ou des détails expliquant comment soumettre la découverte d’une faille sans craindre un recours juridique (TL;DR : comment faire savoir à Amazon que vous avez trouvé un bug sans être poursuivi en justice). Bonnes pratiques concernant le bug bounty les programmes doivent inclure un système de gouvernance axé sur : l’attribution des rôles et des responsabilités pour chaque aspect du programme, la définition claire de la chaîne de reporting pour signaler les vulnérabilités identifiées par les participants au programme, une hiérarchie pour l’approbation du paiement de toute prime, une exigence selon laquelle le service juridique examine toute demande d’émission de paiement dans le cadre du programme bug bounty pour s’assurer que le paiement ne viole pas les restrictions de sanctions de l’Office of Foreign Assets Control (OFAC), établissant une procédure à suivre dans le cas où un pirate informatique malveillant violerait intentionnellement les règles de le programme et une politique de communication interne qui tient la direction et le conseil d’administration informés des développements pertinents.
Important : les programmes de bug bounty ont pour but de protéger l’entreprise, et non la réputation des responsables de la sécurité (un point controversé qui a été pointé du doigt dans l’appel de Sullivan, une préoccupation importante que toute personne impliquée dans l’écosystème du bug bounty devrait espérer être clarifiée cet été). Marcher sur cette ligne délicate est complexe, pour chaque partie impliquée – depuis les avocats qui rédigent les exigences du programme de bug bounty, jusqu’aux membres du conseil d’administration qui tentent de répondre aux exigences de formation en matière de cybersécurité, en passant par le nouvel employé de sécurité qui se demande s’il doit appeler une attaque de ransomware dans la dénonciation anonyme. hotline que leur employeur vient de mettre en place. Le consensus est tout sauf clair, et la conclusion prochaine de l’affaire de violation de données Uber devrait aider à clarifier les choses. Toutes les oreilles devraient être à l’écoute des prochains débats en appel dans le neuvième circuit cet été.
Leeza Garber, Esq. se spécialise dans le droit de la cybersécurité et de la confidentialité et enseigne le droit de la confidentialité des informations à la faculté de droit Thomas R. Kline de l’Université Drexel et le droit de l’Internet, la confidentialité et la cybersécurité à la Wharton School. Elle possède sa propre société de conseil proposant des cours de formation pour cadres et des présentations principales, ainsi que son livre Can. Confiance. Will. : L’embauche pour l’élément humain dans la nouvelle ère de la cybersécurité (lien affilié) a été publié par Business Expert Press.
Gail Gottehrer est vice-présidente des litiges mondiaux, du travail et de l’emploi, de l’informatique et des relations gouvernementales chez Del Monte Fresh Produce et membre de l’équipe mondiale de réponse aux incidents, du comité de divulgation, du comité directeur ESG et du conseil d’enquête mondial de l’entreprise. Elle est une experte en droit de la cybersécurité, de la confidentialité des données et des technologies émergentes et l’une des rares avocates de la défense à avoir participé au procès d’un recours collectif visant à obtenir un verdict devant jury.
