Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Cdiscount renforce son programme de Bug Bounty avec Yogosha

juillet 2018 par Marc Jacob

En tant que premier e-commerçant français, la détection et la gestion des vulnérabilités est l’une des nombreuses priorités de Cdiscount. En étroite collaboration avec Yogosha depuis plus d’un an, Cdiscount, l’un des premiers acteurs du e-commerce à avoir mis en place une campagne de bug bounty sur la totalité de sa plateforme, étend désormais ses programmes à l’ensemble des chercheurs inscrits sur la plateforme Yogosha, tout en élevant le niveau de récompense des failles découvertes.

Afin de s’adapter à sa croissance soutenue, Cdiscount, combine depuis plusieurs années différentes approches pour réduire son exposition au risque cyber, et créer une stratégie dynamique pour remédier les failles. « Notre engagement avec Yogosha repose sur plusieurs critères, la complémentarité et la rapidité d’exécution, et les recommandations effectives, ce qui nous permet d’obtenir des rapports précis, granulaires, pour que nos équipes internes corrigent les faiblesses découvertes. » explique Fabien Lemarchand, Responsable de la sécurité des services informatiques chez Cdiscount. « Cette forte collaboration avec Yogosha permet à Cdiscount d’élever son exigence envers la sécurité tout en permettant à l’entreprise de continuer à innover et à répondre aux besoins de ses clients. »

Lors des quatre derniers programmes mis en place par Cdiscount, les rapports de failles qui ont été remontés par la communauté ont permis à l’enseigne d’améliorer de façon pointilleuse le niveau de sécurité de sa plateforme. Cdiscount a dès lors intégré l’approche de Yogosha à son cycle de développement, en plus des audits de code et tests d’intrusion, et a vu naître une véritable coopération entre les chercheurs de la plateforme et ses équipes internes, qui ont ainsi pu bénéficier d’un fort transfert de compétence.

« La pratique du bug bounty est aussi un moyen de responsabiliser les équipes et d’obtenir un effet de sensibilisation. Les vulnérabilités constituent un problème concret qui implique de nombreux acteurs en interne. L’obtention d’indicateurs clairs, accessibles à des profils divers permet aussi de pousser le rôle de la sécurité auprès de l’ensemble des collaborateurs », justifie Fabien Lemarchand.

Les risques qui pèsent sur la sécurité ne cessent d’augmenter, tout comme le nombre de nouvelles vulnérabilités, il est donc vital de surveiller son exposition de manière optimale et continue. Yogosha rationalise ses formulaires et les exigences de reporting avec la mise à disposition d’outils de monitoring donnant une vision en temps réel de l’état de la cybersécurité des assets de Cdiscount exposés sur internet et une contextualisation des failles de sécurités à travers des preuves de concept et des rapports détaillés. En outre, avec la capacité d’affecter des rôles spécifiques à chaque collaborateur invité sur la plateforme, Fabien Lemarchand s’assure que chacun bénéficiera du meilleur de l’approche Yogosha. Les profils développeurs peuvent ainsi échanger librement avec la communauté et le « bug bounty manager », nouvelle mission mis en place au sein de l’équipe sécurité Cdiscount.

Ayant atteint un niveau de maturité suffisant en matière de cybersécurité et afin de garder une longueur d’avance face à de potentiels attaquants, Cdiscount a décidé de diversifier les profils travaillant sur ses programmes en les ouvrants à l’ensemble de la communauté, avec à la clé des récompenses allant de 5000 euros pour une faille critique découverte sur la partie web, et jusqu’à 9000 euros pour la partie paiement.


Voir les articles précédents

    

Voir les articles suivants