Accroître la cyberrésilience de l'administration fédérale grâce à des programmes de primes aux bogues
Afin d'augmenter la sécurité des infrastructures informatiques et de réduire les cyberrisques de manière efficace et économe, le Centre national pour la cybersécurité (NCSC) exécute des programmes de primes aux bogues au sein de l'administration fédérale. Il collabore à cet égard avec la société Bug Bounty Switzerland SA et les unités administratives bénéficiaires.
Pour garantir celle-ci, différentes mesures sont utilisées, dont les programmes de primes aux bogues (bug bounty programme), qui visent à identifier, documenter et corriger, avec l’aide de pirates éthiques, les éventuelles vulnérabilités des systèmes et applications informatiques. Les pirates éthiques, contrairement aux pirates à motivation criminelle, s’engagent à respecter la loi et agissent avec le consentement des acteurs concernés. À l'issue du projet pilote mené en 2021 par le NCSC, la Confédération a fait l'acquisition, en août 2022, d'une plateforme destinée aux programmes de primes aux bogues.
Pirates intéressés aux prochains programmes de primes aux bogues de la Confédération:
Les pirates qui souhaitent participer aux prochains programmes de primes aux bogues de la Confédération peuvent s’inscrire à l’adresse suivante :
www.bugbounty.ch/ncsc
Résultats des programmes de primes aux bogues
Le NCSC rend régulièrement compte des résultats des programmes de primes aux bogues menés dans l'administration fédérale. Ces programmes ont notamment démontré leur efficacité dans l'identification et l'élimination des vulnérabilités. La qualité et le contenu des signalements indiquent également qu'ils constituent un bon complément à d'autres méthodes. En effet, les pirates éthiques découvrent certaines vulnérabilités que les tests de sécurité ordinaires ne sont pas toujours en mesure de détecter.
Programme de primes aux bogues pour eIAM
eIAM est le système de gestion des accès et des autorisations de l'administration fédérale pour les applications web et les applications mobiles natives.
Parties prenantes:
- NCSC;
- Secteur Transformation numérique et gouvernance de l'informatique de la Chancellerie fédérale, responsable du service eIAM;
- Office fédéral de l'informatique et de la télécommunication, exploitant du système eIAM;
- Bug Bounty Switzerland SA.
Période couverte:
du 30 août au 11 octobre 2022
Vulnérabilités détectées:
Le graphique ci-dessous présente la répartition des signalements par semaine:
Les failles de sécurité avérées se répartissent en fonction des degrés de criticité suivants:
Le programme de primes aux bogues pour eIAM est interrompu. Cette pause doit permettre d'évaluer les connaissances acquises et d'entreprendre les changements organisationnels nécessaires à son éventuelle reprise.
