HackerOne présente son initiative Gold Standard Safe Harbor (GSSH) auprès des entreprises, dégageant les hackers de toute responsabilité lorsqu'ils exercent leur activité de manière éthique. Cette annonce est l'aboutissement des efforts déployés par HackerOne pour valoriser les hackers tout au long du mois de la sensibilisation à la cybersécurité. 

Par défaut, toute politique de divulgation de vulnérabilités, y compris les programmes de bug bounty, devrait inclure une clause qui décrit les protections juridiques auxquelles les hackers peuvent s’attendre. Le GSSH est une déclaration courte et efficace, que les entreprises peuvent facilement adopter pour standardiser l’approche et éviter aux hackers de naviguer entre les règles des différents programmes sur lesquels ils collaborent. Grâce à cette initiative, les organisations peuvent désormais démontrer leur engagement à protéger les recherches de sécurité de bonne foi, ainsi que stimuler l’engagement des hackers à améliorer leur résistance aux attaques. Kayak, GitLab Inc., et Yahoo sont parmi les premiers clients de HackerOne à adhérer à cette initiative.

“Avec l’augmentation des surfaces d’attaque, un engagement solide des hackers n’a jamais été aussi essentiel pour réduire les risques”, a déclaré Chris Evans, CISO et Chief Hacking Officer chez HackerOne. “Nous souhaitons montrer notre soutien à la communauté des hackers en établissant un standard d’excellence auquel nos clients peuvent adhérer, qui aide les hackers à se sentir protégés et valorisés au cours de leur collaboration avec les clients. Lorsque les hackers sont sereins et engagés, les organisations obtiennent une meilleure résistance aux attaques.”

Les premières conclusions du rapport mondial HackerOne sur le hacking éthique, qui sera publié dans quelques semaines, révèlent que plus de la moitié des hackers n’ont pas signalé une vulnérabilité qu’ils ont découverte. Les raisons sont variées : 20 % ont fait ce choix après une première expérience difficile avec la même organisation, 12 % parce qu’ils ont senti une forme de menace juridique de la part de l’organisation. Aux Etats-Unis, deux hackers sur trois anticipent que les récents changements du Computer Fraud and Abuse Act (CFAA) du Département de la Justice (DOJ) vont améliorer leur protection. 

« Le Gold Standard Safe Harbor nous aide à nous différencier plus clairement en tant que programme avancé de bug bounty », a déclaré Matthias Keller, Chief Scientist chez Kayak. « Cela s’aligne avec d’autres meilleures pratiques que nous suivons, comme le paiement sur le triage et le paiement pour la valeur, afin de garantir que nous travaillons avec les meilleurs hackers qui s’engagent à protéger la société. » 

Adopter le GSSH démontre l’engagement des organisations pour étendre ces derniers développements juridiques et réglementaires. Les organisations exerçant GSSH autorisent également la recherche de sécurité de bonne foi, ce qui peut aider à clarifier la distinction entre la dernière et une violation de données.

“GitLab est ravi d'adopter l'initiative Gold Standard Safe Harbor", a déclaré Dominic Couture, Staff Security Engineer, Application Security chez GitLab. “Nous espérons que cela réduira la charge informationnelle pour des hackers et rendra leur expérience de bug bounty plus transparente, soutenant notre mission à laquelle tout le monde peut contribuer.”

Les organisations qui s’engagent à respecter le GSSH remplaceront leur déclaration de Safe Harbor existante par la GSSH sur leur page de programme et recevront un badge numérique correspondant. Les hackers pourront également rechercher des programmes sur la plateforme HackerOne en fonction de leur adhésion au GSSH.

GSSH marque le début d’une initiative plus large visant à codifier et à promouvoir les meilleures pratiques pour faire engager des hackers et réduire le risque cyber. Les hackers ont également eu l’occasion d’apprendre davantage sur les programmes de HackerOne en participant à GSSH. Le GSSH est le début d'une initiative plus large visant à codifier et à promouvoir les meilleures pratiques pour les entreprises afin d'engager les hackers et de réduire le risque de cybersécurité. Pour en savoir plus sur l'initiative plus large de HackerOne et le GSSH, cliquez ici.