#4 La divulgation de vulnérabilités, théorie et pratique 🇫🇷
Manage episode 313269710 series 3264488
Que faire lorsque l'on rencontre une vulnérabilité dans un produit ou un service numérique?
On explore avec Rayna Stamboliyska (Twitter: @MaliciaRogue) le rôle de la divulgation coordonnée de vulnérabilités; en quoi celle-ci permet de fluidifier la remontée des vulnérabilités et offre un compromis intéressant pour préserver la sécurité des utilisateurs?
Dans un environnement où nous sommes tous utilisateurs finaux de produits et de services numérique, où le risque 0 en cyber sécurité n'existe pas, une organisation qui affiche une politique de divulgation coordonnée envoie un signal fort sur son humilité face au risque ainsi que sur le cheminement qu'elle a déjà effectué afin de limiter ce risque.
Après un tour d'horizon du cadre légal sur la divulgation de vulnérabilités, on passe en revue quelques organisations à partir desquelles s'inspirer pour la vulnerability disclosure. Enfin Rayna nous partage ses bonnes pratiques pour la mise en place d'une politique de divulgation coordonnée de vulnérabilités.
Références mentionnées au cours de l'épisode:
Norme ISO 29147 - Divulgation de vulnérabilité - iso.org
Norme ISO 30111- Processus de traitement de la vulnérabilité - iso.org
Arguments pour / contre les différents types de divulgation - wikipedia.org
Loi du 7 octobre 2016 pour une République numérique, article 47 - legifrance.gouv.fr
Hall of fame de Nokia sur sa divulgation responsable - nokia.com
F-Secure Vulnerability Reward Program - f-secure.com
The EU Cybersecurity Act at a glance, from the european commission - ec.europa.eu
26 episodes