10.05.2021 - L'administration fédérale et la société Bug Bounty Switzerland GmbH (BBS) lancent un projet pilote commun aujourd’hui. Mené sous la houlette du NCSC, ce projet vise à acquérir, sous la forme d'un test de deux semaines, une première expérience en matière de programmes de primes aux bogues (Bug Bounty, aussi appelés chasse aux bogues) qui permettra d'analyser les possibilités que leur future utilisation pourrait offrir pour assurer la sécurité des infrastructures des administrations et des entreprises.
L'administration fédérale entend exploiter les possibilités offertes par les programmes de chasse aux bogues et préciser dans quelle mesure ceux-ci peuvent apporter une contribution stratégique à la sécurité des infrastructures des administrations et des entreprises.
Lancement d'un projet pilote
Dans ce but, le NCSC, en collaboration avec la société BBS, mène pour la première fois un tel projet pilote au sein de l'administration fédérale. Le test commencera le 10 mai 2021 et durera deux semaines. Les programmes de chasse aux bogues font appel au «piratage éthique», donc à des pirates informatiques qui recherchent des failles dans un cadre déterminé, pour détecter les lacunes de sécurité présentes dans les systèmes informatiques d'une organisation. Pour chaque bogue confirmé qu'il a découvert, le pirate reçoit une prime (bounty), dont le montant est fixé en fonction de la gravité de la faille découverte.
Projet à portée clairement définie
La portée du projet pilote de la Confédération est clairement délimitée. Deux systèmes informatiques du Département fédéral des affaires étrangères (DFAE) et un système utilisé par les Services du Parlement ont été choisis comme cibles. Par ailleurs, seuls les pirates éthiques ayant fait leurs preuves dans d'autres projets et connus de BBS ou du NCSC pourront participer à ce premier test. L'administration fédérale, tout comme d'autres secteurs réglementés, ayant des exigences strictes en matière de protection des données et demandant une localisation des données en Suisse, BBS a développé au cours des derniers mois, avec l'assistance technique de Microsoft Suisse, sa propre plateforme de primes aux bogues entièrement exploitée en Suisse. Cette plateforme est basée sur les dernières technologies en nuage et répond aux besoins de la Confédération et des autres secteurs réglementés tels que les infrastructures critiques.
La mise en œuvre du programme de primes aux bogues relève de la responsabilité de BBS, mais est étroitement suivie par le NCSC et par des représentants du DFAE et des services du Parlement. Le test vise à fonder sur de solides bases le débat sur l'utilisation future de tels programmes.
BBS informe
En concertation avec les offices fédéraux concernés, BBS donnera aux journalistes intéressés un aperçu du projet pilote à Berne le jeudi 20 mai 2021. Les journalistes intéressés sont priés de s'adresser à
Bug Bounty Switzerland GmbH, soit à l'adresse
hello@bugbounty.ch, soit au numéro +41 79 701 43 41.