Le gouvernement britannique s’assoit sur le boom des primes de bugs mais se félicite de la divulgation des vulnérabilités

Le gouvernement britannique reste tiède quant à l’utilité des programmes de primes de bogues comme moyen d’améliorer la sécurité et la résilience de ses applications Web.

Le département américain de la Défense soutient depuis longtemps les programmes de primes aux bogues, y compris des initiatives telles que « Hack the Pentagon » et « Hack the Army ».

L’année dernière, le ministère britannique de la Défense a lancé avec succès un programme de primes aux bogues en collaboration avec HackerOne.

Cependant, lors d’un panel de presse lors de la conférence CyberUK de la semaine dernière, le Dr Ian Levy, directeur technique du National Cyber ​​​​Security Center (NCSC) du Royaume-Uni, a minimisé la perspective d’un déploiement gouvernemental plus large des programmes de primes de bogues dans un avenir proche.

Selon le Dr Levy, les programmes existants de divulgation des vulnérabilités du gouvernement britannique répondent aux objectifs actuels.

«Nous avons un service pilote de divulgation des vulnérabilités, où les gens peuvent signaler des bogues à nous [at NCSC] puis nous travaillons avec le système pendant le week-end afin de le réparer », a déclaré le Dr Levy.

«Et puis, espérons-le, les ministères ont leurs propres programmes de divulgation des vulnérabilités où les gens peuvent signaler [issues] directement et nous n’avons pas à nous impliquer.

En résumé et en plaisantant à moitié, le Dr Levy a déclaré: « Nous ne payons actuellement pas de primes de bogue, et la raison en est que nous ne semblons tout simplement pas en avoir besoin – les gens sont plus qu’heureux de venir dire au gouvernement que nous ‘ J’ai foiré.

Plus sérieusement, le Dr Levy a noté que les choses avaient évolué depuis que les ministères du gouvernement britannique ont menacé de poursuites judiciaires contre les chercheurs en sécurité pour avoir signalé des problèmes de sécurité potentiels.

« Nous espérons que nous avons mis un terme à ce genre de choses », a déclaré le Dr Levy. « Nous espérons que le gouvernement est un propriétaire de services beaucoup plus responsable. »

Mise à l’échelle

Invité à commenter les différences entre les gouvernements américain et britannique sur l’utilité actuelle des programmes de primes de bogues, le Dr Levy a ajouté: «Le Royaume-Uni est [working on] échelle beaucoup plus petite que les États-Unis », a-t-il déclaré.

Le Dr Levy a noté que le ministère britannique de la Défense avait son propre programme de primes de bogues, ajoutant que l’agence était responsable d’une grande série de systèmes répartis géographiquement et constituait donc un cas particulier.

Si le Royaume-Uni devait déployer des programmes de primes de bogues dans l’ensemble du gouvernement, il devrait alors s’assurer que les normes de sécurité de base avaient été atteintes avant d’inviter des chercheurs externes en sécurité à sonder leurs ressources Web à la recherche de failles.

D’autres hauts responsables du gouvernement britannique ont minimisé la possibilité que les primes de bugs du secteur public deviennent bientôt la norme.

Paul Maddinson, directeur de la résilience et de la stratégie nationales du NCSC, a déclaré que le gouvernement britannique venait de passer par un examen des dépenses.

Cet examen a examiné « où obtenez-vous le plus d’impact pour l’argent que vous dépensez pour la cybersécurité et la résilience », a expliqué Maddinson, ajoutant que le financement des déploiements de primes de bugs n’était pas actuellement une priorité de dépenses.

« Nous accordons la priorité à l’activité qui, selon nous, peut faire la différence la plus significative avec l’argent dont nous disposons », a conclu Maddinson.