Le ministère des Armées va passer au crible ses systèmes informatiques en lançant son premier « bug bounty »

S’inspirant des pratiques mises en oeuvre par les géants du numérique, le Pentagone appela, en 2016, les « hackers » à trouver les failles de sécurité dans ses systèmes informatiques. Le tout avec des primes versées pour chaque « bogue » repéré.

Depuis, cette iniative, appelée « bug bounty », a permis de mettre au jour 5.000 vulnérabilités [dont 2.000 rien qu’en 2017]. Et 500.000 dollars ont été payés aux hackers les ayant découvertes.

Alors que, en France, la chaîne d’alimentation en carburant de la Marine nationale a récemment été la cible d’une attaque informatique attribuée au groupe russophone « Turla », le ministère des Armées va aussi lancer son programme « bug bounty », d’autant plus que les incidents affectant la sécurité de ses systèmes informatiques sont en hausse constante.

« En 2017, les réseaux de la défense ont subi 700 événements de sécurité dont 100 cyberattaques. En 2018, les chiffres ont encore augmenté et dès septembre, nous dépassions ce chiffre de 700. Mon petit doigt me dit que cela ne va pas baisser en 2019 », a en effet encore rappelé Florence Parly, la ministre des Armées, à l’occasion du Forum international de la cybersécurité, organisé tous les ans à Lille.

« Nous allons lancer fin février le premier ‘bugbounty’ du ministère des Armées. Des hackers éthiques, recrutés au sein de la réserve opérationnelle cyber, pourront se lancer à la recherche des failles dans nos systèmes et s’ils en découvrent en être comme il se doit, récompensés », a ensuite annoncé Mme Parly.

Pour cela, le ministère des Armées a noué un partenariat avec la start-up YesWeHack, créée en 2013.

Le Commandement Cyber [COMCYBER] « va bénéficier de la plateforme de bug bounty de YesWeHack pour s’inscrire dans une vision de la Cybersécurité résolument moderne, où la collaboration et la coordination sont essentielles pour maintenir l’efficience de ses périmètres, face aux nouvelles menaces accentuées par la transformation numérique », explique l’entreprise, sur son blog.

Les réservistes opérationnels « cyber » seront donc principalement concernés par ce programme « bugbounty ». « À terme, la récurrence de ce type d’exercice permettra d’entraîner les réservistes et de les faire monter en compétences pour augmenter significativement et durablement le niveau de sécurité du ministère. Ce modèle innovant pourra être facilement activé sur l’ensemble de l’exposition numérique du Ministère des Armées », assure YesWeHack

Comme la semaine passée, lors de la présentation de la stratégie du ministère des Armées en matière de lutte informatique offensive [LIO] et défensive [LID], Mme Parly a de nouveau appelé les industriels de l’armement à faire front commun contre la menace cyber. Car « plus les armées se protègent, plus les industriels, plus les sous-traitants sont susceptibles d’être des proies toutes désignées pour pénétrer dans nos systèmes d’information », a-t-elle souligné.

« Le commandement cyber avec la Direction générale de l’armement sera la tour de contrôle de cet effort et j’appelle tous nos industriels à s’engager pour consolider encore notre cybersécurité », a dit la ministre.

« Unissons nos forces pour protéger notre chaîne d’approvisionnement de la menace cyber. A l’été, je souhaite que nous puissions formaliser, en en étroite liaison avec l’ANSSI, les engagements mutuels sur la cybersécurité. Il nous faudra mieux définir les rôles et les responsabilités de chacun pour protéger nos systèmes et réagir en cas d’attaque. Cette démarche collective est une absolue nécessité. Elle seule permettra de protéger le développement, la fabrication et la maintenance de nos équipements de défense », a encore fait valoir Mme Parly.

En outre, une réflexion sur la façon de protéger « efficacement » la chaîne de sous-traitance va être menée. « Nous ne pouvons pas les laisser devenirs les chevaux de Troie de nos adversaires », a dit la ministre. Aussi, a-t-elle ajouté, « il faudra donc les soutenir, à la fois en méthode et en technique », tout en étant « extrêmement exigeant et imposer dans les critères d’achat des clauses sur la cybersécurité. »

Photo : MinArm

Conformément à l'article 38 de la Loi 78-17 du 6 janvier 1978 modifiée, vous disposez d'un droit d'accès, de modification, de rectification et de suppression des données vous concernant. [Voir les règles de confidentialité]