Politique de divulgation de vulnérabilités

Politique de divulgation de vulnérabilités (VDP),

un dispositif structuré, simple et accessible à tous pour signaler des failles.

La transformation digitale rapide induit aussi la sophistication croissante des menaces. Toute organisation, quelle que soit sa taille, est menacée. Comment réduire ce risque ?

Des tiers bien intentionnés identifient des vulnérabilités, souvent de façon fortuite. Ces informations précieuses vous aident à améliorer la sécurité de vos systèmes. Mais comment vous notifier sans un canal de confiance ?

Une Politique de divulgation de vulnérabilités (VDP) offre un cadre légal et sécurisé, permettant ainsi la réduction du risque numérique. 

QU'EST-CE QU'UNE VDP ?

Une politique de divulgation de vulnérabilités (VDP) est un canal sécurisé et structuré qui permet à quiconque de signaler des problèmes de sécurité et des vulnérabilités aux organisations exposées.

La VDP est détaillée dans les normes ISO29147 et ISO30111 et est activement promue par des organismes gouvernementaux tels que le NIST, l’ENISA, le CISA, l’OECD.

AVOIR UNE VDP PERMET DE...

+
Réduire les risques en réduisant le délai entre détection et remédiation.
+
Renforcer la confiance de ses partenaires, clients et utilisateurs en affirmant son engagement en faveur de la sécurité.
+
Simplifier la gestion des vulnérabilités grâce à l'intégration de données structurées dans les workflows internes.

LES DIFFÉRENCES ENTRE LA VDP ET LE BUG BOUNTY

VDP = Approche PASSIVE

POURQUOI
Recueillir les vulnérabilités potentielles.
COMMENT
Création d’un canal de communication sur une page web dédiée. Votre politique n'apparaît pas sur notre plateforme.
QUI
Toute personne de bonne foi qui souhaite signaler un bug.
RECOMPENSE
Aucune attente de récompense financière ; plutôt, un "merci"/ Hall of Fame existe.

Bug Bounty = Approche ACTIVE

POURQUOI
Encourager la recherche de vulnérabilités dans un cadre contractualisé.
COMMENT
Définition d’un programme (public ou privé) publié sur la plateforme YesWeHack (périmètre, règles et grille de récompense).
QUI
Chercheurs en sécurité sélectionnés ou toute la communauté YesWeHack.
RÉCOMPENSE
Une grille de récompense financière est définie en amont en fonction de la sévérité des failles.
Découvrez la solution VDP de YesWeHack

Vous souhaitez mettre en place une VDP ?

Fermer