A quelques mètres de l'European Cyber Cup, on chasse les bugs chez Yes We Hack. Un événement festif, débuté mercredi, mais sérieux. Car c'est sur Doctolib qu'une cinquantaine de hunters traquent les vulnérabilités, avec des primes pouvant atteindre 10 000 euros.
Une cinquantaine de chasseurs de bugs s'activent depuis hier sur le stand de Yes We Hack. Ils traquent la vulnérabilité sur les plateformes d'un très célèbre acteur de la santé : Doctolib. L'entreprise n'en est pas à son coup d'essai : voilà désormais trois ans qu'elle fait travailler la communauté de la jeune pousse de Guillaume Vassault-Houllière avec trois programmes privés. Le premier concerne la partie patients, la deuxième la partie praticiens et la dernière est dédiée à l'IT corporate.
Enfin, privé... pour l'instant. « Nous avons gagné en maturité et nous envisageons désormais de passer la partie patients en programme public » nous confie Cédric Voisin, CISO de Doctolib, « notre posture est très humble, nous continuons d'investir en cybersécurité ». L'évènement qui se tient sur le FIC a déjà fait remonter plusieurs rapports des chasseurs de vulnérabilités qui attendent d'être qualifiés. Une faille critique peut rapporter lors de ces deux jours jusqu'à 10 000 euros.
Le « fun » de la chasse aux bugs
Le périmètre est le même qu'habituellement. « Notre objectif aujourd'hui, c'est de garder le programme le plus actif possible et d'attirer les hunters », poursuit Cédric Voisin. Avec un côté un peu « fun » pour les visiteurs du FIC et surtout un focus sur le thème de la santé, très en vogue dans les allées du salon cette année. Notons que la Croix Rouge participe elle aussi à ce bug bounty.
« Le bug bounty est un très bel outil » souligne le RSSI de Doctolib. Surtout quand l'on sait à quel point les données de santé sont sensibles ! « On couvre 100% de notre périmètre applicatif et on tend vers une augmentation des primes » ajoute Cédric Voisin. Pour autant, la sécurité de Doctolib ne repose pas uniquement sur ce type de dispositifs. L'équipe sécurité autour de Cédric Voisin, qui compte 17 personnes, a également recours aux tests d'intrusion, par exemple. Pour le CISO de Doctolib, « le bug bounty n'est pas l'outil ultime, il n'a pas à être utilisé en standalone, mais en complément à d'autres outils ».