OVH lance son Bug Bounty et renforce sa sécurité

Par:
fredericmazue

lun, 04/07/2016 - 16:54

Depuis ce matin, le programme de recherche de failles de sécurité sur les infrastructures OVH est accessible à tous sur la plateforme bountyfactory.io. L’objectif : améliorer continuellement la sécurité des services proposés.

Présenté lors de la quatorzième édition de la Nuit du Hack, le Bug Bounty OVH permet à l’ensemble des personnes intéressées par la sécurité informatique de signaler d’éventuelles failles relevées sur ses infrastructures. Déjà testé en interne, ce programme est désormais accessible sur la plateforme bountyfactory.io. Toute faille de sécurité signalée est étudiée, puis corrigée si besoin, par les équipes chargées de la sécurité. Chaque signalement lié à une faille avérée donnera lieu à une récompense – financière dans la plupart des cas, pouvant s’élever jusqu’à 10 000 euros – et parfois sous la forme de goodies ou des bons d’achat pour des failles en dehors du périmètre.

Une plateforme hébergée en France

Créé il y a dix-sept ans, le groupe OVH souligne avoir a toujours fait de la sécurité sa priorité. Le signalement de failles était déjà possible via l’adresse email security[at]ovh.net. Pour Vincent Malguy, de l’équipe SOC (pour Security Operation Center), « le lancement public du Bug Bounty est l’aboutissement de plusieurs années de réflexion. C’est l’émergence de la plateforme bountyfactory.io qui a permis de concrétiser le projet voulu par Octave Klaba. »

Les plateformes de Bug Bounty existantes jusqu’à présent étant toutes américaines, impossible pour une entreprise attachée à la souveraineté de ses données comme OVH de stocker la liste de ces vulnérabilités hors du territoire national. La plateforme qui permet désormais à OVH de mener ce programme est en effet hébergée en interne sur l’offre Dedicated Cloud, infrastructure certifiée ISO 27001 depuis plusieurs années.

Une stratégie de sécurité consolidée

L’ouverture du programme de recherche de failles au public vient compléter les nombreuses mesures prises par le leader européen du Cloud pour assurer la sécurité des infrastructures et des données clients. Au-delà de sa stratégie de certifications et d’attestations globales (ISO 27001 et ISO 27017, PCI-DSS, SOC 1 type II et SOC 2 type II pour Dedicated Cloud), OVH mène également chaque année de nombreux tests d’intrusions internes et externes, lui permettant de s’assurer que les systèmes les plus critiques répondent aux exigences les plus élevées.

Pour couvrir l’ensemble du spectre OVH et réduire au minimum l’existence de failles de sécurité, il a donc été décidé d’institutionnaliser et de normaliser la procédure liée aux signalements publics : « Avec ce Bug Bounty, nous pouvons tester en permanence l’ensemble de nos infrastructures avec des profils différents et des compétences variées. Nous ne pourrions jamais couvrir un tel spectre sur une période aussi longue avec des audits classiques, » rappelle Vincent Malguy.

Ne concernant pour le moment que les failles de sécurité découvertes sur l’API et le Manager d’OVH, le Bug Bounty devrait être rapidement étendu à d’autres services d’OVH.

Pour en savoir plus : Bug Bounty : "Aidez-nous à renforcer notre sécurité !"