CLUB CISO x CTO #6 : Comment organiser et tirer profit des pentests et bug bountys ?

CLUB CISO et CLUB CTO sont des événements élitistes et confidentiels qui permettent aux CISO, RSSI, CTO et directeurs techniques de grandes entreprises de pouvoir échanger librement, sans langue de bois et « off the record ». Ce qui se dit dans le club reste dans le club : il n’y a aucun compte-rendu.

Pourquoi ce sujet ?

Pour tester son code ou sa cybersécurité, recourir à des “gentils hackers” est une méthode efficace. Chaque faille ou bug est rémunéré. Mais si les testeurs trouvent des foules de défauts, l’opération de pentest ou de bug bounty risque de devenir ruineuse.

Par ailleurs, il vaut mieux s’assurer que le “gentil hacker” est bien ce qu’il prétend être et qu’il ne va pas se transformer en pirate en dissimulant des failles découvertes. Payer des hackers n’est pas forcément une évidence pour des ComEx, des juristes ou des services achats.

Une fois la liste des défauts établie,…