Innovation et technologie
«Dans le secteur informatique, on n’est jamais à l’abri de tout danger»
100 hackers du monde entier réunis avec un seul but: attaquer les services en ligne de la Poste. Un scénario catastrophe pour Marcel Zumbühl, Chief Information Security Officer (CISO) de la Poste? Loin de là! L’ennemi juré des hackers nous explique pourquoi la Poste a servi de cible et pourquoi elle a même payé les hackers qui ont trouvé des failles.
Section Contenu riche
Monsieur Zumbühl, le week-end dernier, la Poste a soumis ses services en ligne aux cyberattaques de professionnels du monde entier dans le cadre de l’événement leHACKTarget not accessible. N’est-ce pas une décision hasardeuse?
Pas du tout! (rires) La cybersécurité est un processus continu. Les hackers criminels passent à l’acte jour et nuit sans crier gare. C’est pourquoi il est absolument primordial de savoir où se situent nos points faibles. Et la meilleure façon de le savoir est de collaborer avec des hackers éthiques qui agissent légalement, comme dans le cadre de l’événement leHACK, qui a eu lieu le week-end dernier. Pour la première fois, nous avons autorisé le piratage de nos 300 services en ligne, franchissant ainsi une étape importante dans notre programme bug bounty.
Pour les personnes non familiarisées avec le sujet: qu’est-ce qu’un programme bug bounty?
Accorder à des hackers criminels l’avantage de découvrir une faille en premier pourrait exposer l’entreprise à des risques aux conséquences dévastatrices. C’est pour cette raison que la Poste, à l’instar de nombreuses autres entreprises, a lancé un programme bug bounty qui récompense les hackers éthiques par une somme d’argent s’ils signalent d’éventuelles failles dans les logiciels et dans les prestations et services. Dans le cadre de ce programme, la faille de sécurité est «mise à prix» et, selon le degré de gravité, le hacker est rémunéré et collabore avec nos spécialistes dans le but de supprimer le bug.
Cela fait quatre ans que le programme bug bounty de la Poste existe. A-t-il déjà porté ses fruits?
Nous avons identifié 459 failles, dont 22 durant leHACK. Et nous avons versé plus de 380 000 euros de primes au total. Il s’agit certes d’un investissement, mais celui-ci nous convient: si une faille de sécurité est identifiée par des cybercriminels avant d’être résolue (et donc exploitée), les dommages qui en découlent peuvent entraîner des pertes économiques bien plus importantes.
Autrement dit, les hackers s’enrichissent grâce à la Poste...
Je ne suis pas de cet avis. La somme la plus importante que nous ayons versée est de 40 000 euros. Par ailleurs, le hacker éthique est une figure professionnelle qui est en train de prendre forme. J’en connais qui l’exercent à un niveau professionnel mais, pour la plupart, il s’agit d’une activité accessoire.
Votre équipe repousse chaque mois une centaine d’attaques ciblées, 14 000 attaques sur le réseau postal et 280 vagues de phishing. La Poste est-elle une cible privilégiée?
Non, je dirais que nous ne faisons ni plus ni moins l’objet d’attaques que d’autres entreprises. Certes, en raison de la pandémie, le nombre de spams envoyés au nom de la Poste a augmenté, mais il s’agit d’une tendance qui touche toutes les entreprises postales du monde.
Êtes-vous satisfait des résultats obtenus à Paris?
Honnêtement, je pensais que les hackers trouveraient plus de failles. Dans le secteur informatique, on n’est jamais à l’abri de tout danger. C’est pourquoi nous sommes reconnaissants pour chaque faille découverte. À l’avenir, nous mènerons certainement d’autres expériences similaires.