Dans la précipitation Pour se lancer, la cybersécurité n’obtient pas toujours l’attention qu’elle mérite, et pourtant c’est l’une des premières choses que les startups apprennent peut – et va – mal tourner.

Les pirates informatiques et les chercheurs en sécurité peuvent être parmi vos plus grands atouts pour aider votre startup à rester en sécurité. Les programmes de divulgation de vulnérabilités et de primes de bogues font partie du travail avec la communauté des hackers pour bâtir une entreprise plus forte et plus résiliente. Mais ceux-ci ne remplacent pas les investissements de sécurité, que vous ne devez pas négliger en tant qu’entreprise en croissance.

Katie Moussouris a été dans les cercles de cybersécurité depuis que certaines des plus grandes entreprises technologiques du monde étaient des startups, et a aidé à mettre en place les premiers programmes de divulgation de vulnérabilité et de prime de bogue. Moussouris, qui dirige le cabinet de conseil Luta Security, conseille désormais les entreprises et les gouvernements sur la façon de parler aux pirates et ce qu’ils doivent faire pour créer et améliorer leurs programmes de divulgation de vulnérabilité.

À TC Early Stage, Moussouris a expliqué ce que les startups devraient (et ne devraient pas) faire, et quelles priorités devraient passer en premier.


Connaître les bases

Une prime de bogue à elle seule ne suffit pas et l’externalisation du processus sur une plate-forme ne vous fera pas gagner du temps. Moussouris a expliqué les bases et ce qui diffère entre la divulgation de vulnérabilités, les tests de pénétration et les primes de bogues.

La divulgation de vulnérabilité est le processus par lequel vous entendez parler de la vulnérabilité de l’extérieur. Vous digérez cette vulnérabilité d’une manière ou d’une autre en interne dans votre organisation et déterminez quoi faire avec elle – s’il faut créer un correctif, comment hiérarchiser ce correctif, puis ce qu’il faut publier au public [ … ] En fin de compte, les organisations ont besoin de lignes directrices sur la manière de traiter ces problèmes de manière appropriée.

Ensuite, nous avons des tests d’intrusion: embaucher des pirates professionnels sous contrat [who have] un ensemble spécifique de compétences qui correspondent à votre ensemble de problèmes, et vous les payez. Ils sont sous un accord de non-divulgation (NDA) pour garder vos vulnérabilités secrètes aussi longtemps que vous en avez besoin …

Voir la source de cette publication