L’avenir de l’engagement du gouvernement dans la technologie Open Source et le crowdsourcing
Les partenariats publics et privés de cybersécurité sont abordés avec une grande prudence, et l’idée de développement open source au sein de ces partenariats va encore plus loin, en particulier dans le cas de la cybersécurité. Les plus grands risques pour les entreprises sont les cyberattaques, classées 4e sur la carte interactive des risques régionaux du Forum économique mondial 2020 pour la pratique des affaires.
D’autre part, de nombreuses entreprises et agences gouvernementales ont trouvé des moyens de lutter contre cette menace toujours croissante, en particulier dans le domaine du développement open source. Par exemple, le récent partenariat de l’ANSSI (Agence Nationale de la Cybersécurité) avec Luatix, une organisation à but non lucratif de cybersécurité et de gestion de crise, a eu un impact assez important sur l’avenir de la technologie open source gouvernementale. Ce partenariat comprend l’implication de l’agence dans la gestion de projet, les roadmaps produits, etc. avec les produits proposés par Luatix.
En outre, le gouvernement américain a pris des mesures importantes vers la technologie de cybersécurité open source. Par exemple, HOST (Homeland Open Security Technology) est un projet qui reçoit des fonds par le biais de la Direction des sciences et de la technologie, et promeut l’idée de logiciels open source, la majorité d’entre eux étant dans le domaine de la cybersécurité. Le projet a sans aucun doute reçu une couverture et une attention médiatiques, en plus de remporter le prix Open Source for America 2011 Government Deployment Open Source. HOST a investi dans de nombreux projets open source tels que Suricata, un système de prévention et de détection des intrusions d’Open Security Foundation (OSF).
Alors pourquoi? Pourquoi l’open source, notamment dans un domaine sensible comme la cybersécurité?
À l’ère d’aujourd’hui, il est plus important que jamais que le code soit sécurisé. L’open source y contribue, en particulier via des plates-formes comme GitHub qui créent un environnement plus organisé pour le développement open source, car plus les perspectives sont nouvelles données au code, plus il est facile de trouver les vulnérabilités et de s’assurer qu’elles sont corrigées. Le même concept peut être appliqué à de nombreux autres domaines de la cybersécurité, tels que les primes de bogues. Bien que la plupart des entreprises passent du temps à s’assurer que seuls des testeurs de pénétration sélectifs sont embauchés pour effectuer des évaluations sur le réseau d’une entreprise, les primes de bogues aident à rendre les réseaux beaucoup plus sécurisés en permettant aux pirates de trouver différentes vulnérabilités dans les services qu’une entreprise a à offrir. En échange, ces chasseurs de primes contre les bogues reçoivent de l’argent, autrement appelé prime en fonction de la gravité du bogue et de son impact.
De nombreuses plates-formes, comme HackerOne, ont vu le jour et offrent une vaste communauté de chasseurs de primes de bogues expérimentés pour tester les actifs de votre entreprise, que ce soit par le biais de programmes publics ou privés. Ces sociétés définissent la gravité allant de critique à faible de l’un de leurs actifs et répertorient ceux qui sont dans et hors du champ d’application, autrement dit s’ils sont éligibles pour être résolus et éventuellement récompensés, ou non. D’autres plates-formes qui nécessitent un processus de candidature intensif sont également celles qui utilisent le concept de crowdsourcing pour obtenir des résultats optimaux.
Les agences publiques ont mis en place des programmes de primes de bogues ou de simples programmes de divulgation depuis des années, et cela ne fait que s’améliorer. Au 29 janvier 2021, le département américain de la Défense avait le plus grand nombre de rapports résolus sur HackerOne à ce jour, totalisant un nombre impressionnant de 12912 rapports résolus depuis son lancement en novembre 2016. Le concept de programmes incitatifs en cybersécurité est disponible partout, et pas seulement sur des plateformes spécifiques de crowdsourcing. Par exemple, plusieurs universités et entreprises lancent des programmes indépendants, qui ont commencé à gagner en popularité au fil des ans.
Cependant, qu’ont en commun les programmes incitatifs et le développement open source? Ils mettent en service toute une communauté pour atteindre leurs objectifs respectifs, que ce soit en suivant un workflow incité ou non.
Tout cela montre que le crowdsourcing est définitivement la clé et renvoie au concept de développement open source. Il est essentiel que les entreprises utilisent la vaste communauté de programmeurs et de chercheurs en sécurité à leur disposition, non seulement pour sécuriser leur code, mais aussi pour rendre le monde plus ouvert. La connaissance doit être partagée pour qu’elle se développe avec l’aide d’une communauté, et c’est exactement ce que fait l’open source.