Dans notre monde numérique où tout va très vite, les mesures traditionnelles visant à garantir la sécurité de l’information ne suffisent pas. Il faut dès lors miser sur des approches créatives, dont l’intérêt majeur consistera par exemple à chercher à contourner les mécanismes de sécurité des services en ligne de la Poste ou à mettre au jour les vulnérabilités qui pourraient nuire à la Poste. Le programme bug bounty a ainsi pour but de détecter les failles de sécurité.

Sur invitation, des pirates bien intentionnés ou «hunters» partent à la recherche de ces failles. Pour chaque vulnérabilité identifiée, ils reçoivent une récompense («bounty»). Alors que de nombreuses entreprises du monde entier utilisent cette méthode comme mesure complémentaire pour sécuriser leur environnement informatique, en mettant en place un programme de bug bounty permanent, la Poste fait figure de pionnière en Suisse. Compte tenu des expériences positives, elle souhaite à présent étendre le programme.

En quoi le programme bug bounty est-il utile à la Poste?

Outre la sécurité toujours élevée de l’information, la confiance des utilisateurs vis-à-vis des applications numériques (aussi appelée «digital trust») est au cœur de l’exploitation de nouveaux modèles commerciaux et services numériques. Le programme bug bounty renforce aussi bien la sécurité que la confiance. Grâce à cet investissement, la Poste s’engage à améliorer en continu sa sécurité de l’information. Les vulnérabilités critiques sont détectées et corrigées plus rapidement grâce à des «hunters» hautement spécialisés, ce qui permet d’éliminer les dangers potentiels. C’est beaucoup plus efficace et moins coûteux que de s’en remettre au hasard pour repérer les vulnérabilités ou de prendre le risque de s’exposer aux conséquences graves que peuvent provoquer les bugs non identifiés. Mais ce n’est pas tout: s’il permet à la Poste de renforcer la sécurité de l’information, ce qui est positif pour la confiance, le programme contribue également à la transformation au sein de l’entreprise. En effet, pour pouvoir traiter rapidement les vulnérabilités, les équipes travaillent intensément de manière interdisciplinaire et de plus en plus agile, à l’échelle de toutes les unités. Enfin et surtout, les hunters talentueux contribuent à l’innovation au sein d’IT Poste.

Nous recherchons des «hunters»

La Poste gère son programme bug bounty de façon privée, c’est-à-dire que les hunters doivent recevoir une invitation pour pouvoir participer. Les «hunters» intéressés peuvent s’informer et s’inscrire en ligne.