TOOLinux

Le journal du Libre

Un appel pour plus de transparence dans la sécurité informatique

vendredi 11 mars 2022

HackerOne mène un nouveau combat et annonce le lancement d’un appel mondial en faveur d’une cybersécurité plus responsable. Le programme CSecR est lancé et il est déjà rejoint par plusieurs entreprises, dont Gitlab.

Cette initiative baptisée Corporate Security Responsibility (CSecR) encourage les acteurs du secteur à s’engager à plus de transparence et à développer une culture positive avec le partage de bonnes pratiques en cybersécurité.

État des lieux

Une nouvelle enquête intitulée "Le piège de la sécurité : de la culture du secret à la transparence", montre qu’en France, plus de la moitié (57%) des organisations maintiennent une culture de la sécurité par l’obscurité, et 43% avouent ne pas être ouvertes sur leurs pratiques de cybersécurité. En outre, 56 % des responsables sécurité en France ont admis qu’ils entendent au sein de leur organisation le message selon lequel la sécurité ne ferait que ralentir l’innovation.

3 responsables sécurité sur 5 en France ont déclaré que les bonnes pratiques en matière de cybersécurité étaient tout aussi importantes que le coût lorsqu’il s’agissait de choisir un fournisseur. En outre, 61 % des professionnels de la sécurité ont admis qu’ils iraient voir ailleurs si un fournisseur était victime d’une violation de données.

Particulièrement intéressant : 64 % des organisations avouent qu’elles préfèreraient accepter des vulnérabilités logicielles plutôt que de travailler avec des hackers.

L’initiative

HackerOne a lancé son appel pour remédier à cette situation, en invitant les organisations du monde entier à "améliorer leurs pratiques et à passer du secret à la transparence". Cet appel a été entendu. Plusieurs grandes entreprises internationales, dont TikTok, Wix, Starling Bank et GitLab, se sont déjà engagées auprès de HackerOne.

Johnathan Hunt, vice-président sécurité au sein de GitLab, explique pourquoi son entreprise a rejoint le mouvement : « GitLab pratique la transparence par défaut. Elle rend nos logiciels plus sûrs et nous permet de mieux collaborer et d’innover. Le Corporate Security Responsibility Pledge de HackerOne résonne donc particulièrement avec nos valeurs. »

L’engagement en 4 points

L’engagement, détaillé dans ce document PDF qui fait office de manifeste, se concentre sur quatre domaines clés, appelant toutes les organisations à :

- 1. Encourager la transparence pour instaurer la confiance et partager des enseignements ;
- 2. Favoriser une culture de collaboration à l’échelle de l’industrie afin de donner à chacun les outils nécessaires pour réduire les risques cyber ;
- 3. Promouvoir l’innovation en incitant à développer des solutions qui intègrent nativement une dimension sécurité ;
- 4. Se tenir, au même titre que son écosystème de fournisseurs, responsables du respect des meilleures pratiques.

Vous pouvez consulter le rapport en PDF à cette adresse.