Une opération essentielle à la sécurité de nos sites et applications

Lors de son allocution d’ouverture, le Commandant de la cyberdéfense, le général de division aérienne Didier Tisseyre, a souligné « la nécessité et le bénéfice d’une telle opération pour la protection et la défense des systèmes d’information du ministère des Armées ». Il a également appelé à « pérenniser le bug bounty ».

Organisée par le Commandement de la cyberdéfense (COMCYBER), cette opération de « Bug Bounty » avait pour objectif d’identifier et de corriger les vulnérabilités de systèmes d’information appartenant au ministère et accessibles depuis Internet. Cette année 21 sites et applications exposés sur Internet ont été soumis au regard aiguisé de 50 chasseurs de bug bounty. Le nombre de cibles proposées par les Etats-Majors, les directions et les services du MINARM augmente à chaque édition (elles n’étaient que 13 en 2020, et 17 en 2021), signe que les Armées prennent la mesure de l’importance des mesures de cyberdéfense et de l’intérêt de ce type d’opération.

Si les participants ont noté que le niveau global de sécurité des cibles s’améliore d’année en année ; près de 150 rapports ont été soumis, relevant une centaine de vulnérabilités. Ces dernières ont ensuite été transmises aux équipes responsables des systèmes afin d’être corrigées rapidement. Grâce à la collaboration entre les « hackers » et les administrateurs, le bug bounty s’inscrit en complément des actions de sécurisation menées par ailleurs (audits, tests d’intrusion…).

Des chasseurs de plus en plus nombreux, et de plus en plus précis

Les 50 chasseurs qui ont participé à cette 4ème édition sont des militaires d’active et de réserve ainsi que des civils de la Défense. Tous avaient justifié d’un minimum de compétences dans le domaine de la recherche de vulnérabilités sur des sites internet ou application web – grâce à des qualifications civiles ou militaires, par une attestation d’appartenance à une communauté de hackers éthiques, par un emploi au sein du ministère ou tout autre justificatif du domaine cyber. Leur participation s’est faite sur la base du volontariat.

Pour le commandant Frédéric, qui a dirigé ce Bug Bounty pour la 3e année consécutive, l’exercice « a permis au ministère des Armées de renforcer la sécurité de ses systèmes d’information exposés à internet, c’est une très belle réussite – permise grâce à la bonne volonté de nos 50 ‘white hat’, merci à eux ! ».

Pour l’édition de l’année prochaine, les équipes du Commandement de la cyberdéfense sont déjà à l’œuvre, et réfléchissent à un nouveau format qui pourrait s’étendre sur une année entière ou peut-être un format en présentiel… suivez le COMCYBER sur les réseaux sociaux pour ne pas rater les prochaines inscriptions !