OVH lance son Bug Bounty et renforce sa sécurité

Montréal, le 6 juillet 2016

OVH lance son Bug Bounty et renforce sa sécurité

Le programme de recherche de failles de sécurité sur les infrastructures OVH est désormais accessible à tous sur la plateforme bountyfactory.io. L’objectif : améliorer continuellement la sécurité des services proposés par le leader européen et numéro 3 mondial du Cloud.

Présenté lors de la quatorzième édition de la Nuit du Hack à Paris, le Bug Bounty OVH permet à l’ensemble des personnes intéressées par la sécurité informatique de signaler d’éventuelles failles relevées sur ses infrastructures. Déjà testé en interne, ce programme est désormais accessible sur la plateforme bountyfactory.io. Toute faille de sécurité signalée est étudiée, puis corrigée si besoin, par les équipes chargées de la sécurité. Chaque signalement lié à une faille avérée donnera lieu à une récompense – financière dans la plupart des cas, pouvant s’élever jusqu’à 10 000 euros – et parfois sous la forme de goodies ou de vouchers pour des failles en dehors du périmètre.

Une plateforme hébergée en France
Créé en 1999, le groupe OVH a toujours fait de la sécurité sa priorité. Le signalement de failles était déjà possible via l’adresse email security[at]ovh.net. Pour Vincent Malguy, de l’équipe SOC (pour Security Operation Center), « le lancement public du Bug Bounty est l’aboutissement de plusieurs années de réflexion. C’est l’émergence de la plateforme bountyfactory.io qui a permis de concrétiser le projet voulu par Octave Klaba. »

Les plateformes de Bug Bounty existantes jusqu’à présent étant toutes américaines, impossible pour une entreprise attachée à la souveraineté de ses données comme OVH de stocker la liste de ces vulnérabilités hors du territoire national. La plateforme qui permet désormais à OVH de mener ce programme est en effet hébergée en interne sur l’offre Cloud Dédié, infrastructure certifiée ISO 27001 depuis plusieurs années.

Une stratégie de sécurité consolidée
L’ouverture du programme de recherche de failles au public vient compléter les nombreuses mesures prises par le leader européen du cloud pour assurer la sécurité des infrastructures et des données clients. Au-delà de sa stratégie de certifications et d’attestations globales (ISO 27001 et ISO 27017, PCI-DSS, SOC 1 type II et SOC 2 type II pour Cloud Dédié), OVH mène également chaque année de nombreux tests d’intrusions internes et externes, lui permettant de s’assurer que les systèmes les plus critiques répondent aux exigences les plus élevées.

Pour couvrir l’ensemble du spectre OVH et réduire au minimum l’existence de failles de sécurité, il a donc été décidé d’institutionnaliser et de normaliser la procédure liée aux signalements publics : « Avec ce Bug Bounty, nous pouvons tester en permanence l’ensemble de nos infrastructures avec des profils différents et des compétences variées. Nous ne pourrions jamais couvrir un tel spectre sur une période aussi longue avec des audits classiques, » rappelle Vincent Malguy.

Ne concernant pour le moment que les failles de sécurité découvertes sur l’API et le Manager d’OVH, le Bug Bounty devrait être rapidement étendu à d’autres services d’OVH.

Pour en savoir plus : Bug Bounty : "Aidez-nous à renforcer notre sécurité!"

À propos d'OVH

Spécialiste du cloud et des infrastructures internet, OVH propose des produits et services innovants, articulés autour de trois univers : Web, Cloud et Dédié. Depuis sa fondation en 1999, l’entreprise s’est imposée comme le partenaire incontournable de centaines de milliers de professionnels à travers le monde. Ce succès, OVH le doit à un modèle de développement fondé sur l’innovation et la maîtrise complète de la chaîne de l’hébergement, de la production de ses serveurs à la maintenance de ses infrastructures, en passant par l’accompagnement de ses clients. Pour chaque service et chaque solution proposés, OVH est ainsi en mesure de garantir des offres stables et fiables à ses clients, au meilleur rapport qualité/prix.

OVH[/]
Guillaume Gilbert
guillaume.gilbert@corp.ovh.com

Mon compte clientContact commercialMessagerie web OVHcloud Blog

Bienvenue chez OVHcloud !

Identifiez-vous pour commander, gérez vos produits et services et suivre vos commandes

Me connecter