Bug Bounty et VDP : Comment coordonner la remontée de vulnérabilité pour mieux gérer son risque

Categories
Bug Bounty conferences

Si les notions de Coordinated Vulnerability Disclosure et de Vulnerability Disclosure Policy sont bien maîtrisées par les RSSI, beaucoup hésitent encore sur les moyens techniques, humains et organisationnels à y consacrer, ainsi que sur l‘intérêt d’une VDP efficace dans leur stratégie de cybersécurité.

De même, si le modèle du Bug Bounty a été largement popularisé ces dernières années, nombre d’organisations se demandent si elles sont « prêtes » à mettre un programme de Bug Bounty en place, et si oui, à quelles conditions. Certains voient encore ce modèle comme réservé aux entreprises les plus «agiles», ou comme la « dernière ligne de défense », alors que d’autres le placent au cœur de leur dispositif, et créent des cas d’usages adaptés à leur contexte.

Ainsi, pour répondre à ses questions, nous prendrons la parole dans le cadre des ateliers confinés du CESIN, dont YesWeHack est partenaire. Ce webinar d’une heure sera consacré au Bug Bounty et à la VDP, ou comment coordonner la remontée de vulnérabilité pour mieux gérer son risque. 

Durant la première partie de cet atelier, Selim Jaafar, Directeur des Programmes, YesWeHack, donnera les clés d’une VDP et d’un programme de Bug Bounty réussis :

  • Vulnerability Disclosure Policy (VDP) & Bug Bounty : deux approches complémentaires
  • Qu’est-ce qu’un programme de Bug Bounty ? Un ensemble de règles + périmètre + récompenses. Collecte et traitement des rapports. Durée de vie d’un programme etc.
  • Par où commencer ?  Comment définir mon budget primes. Identifier un premier périmètre et les types de vulnérabilités. Se préparer en interne. Mobiliser la communauté et inviter les chercheurs.
  • Et après ? Une sécurité opérationnelle. Capitalisation (dashboard, API). DevSecOps. Passage Public pourquoi et comment ?

Durant la seconde partie,  nous passerons de la théorie à la pratique avec un retour d’expérience unique en Europe par un membre du CESIN, RSSI d’un Groupe d’Assurance Européen, qui expliquera comment il a réussi à mettre en place des dizaines de programmes privés gérés dans des environnements les plus variés au sein de son groupe. Vous pouvez également retrouver son interview ici.

Pour vous inscrire à ce webinar, merci de cliquer ici. 

Merci de noter que ce webinar est exclusivement accessible aux membres du CESIN.

 

 


Date(s): 07/05/2020 | 2:00 pm - 3:00 pm