Vous pourriez penser que les équipes de sécurité au sein des grandes entreprises détestent que les chercheurs et la presse signalent des vulnérabilités, mais ce n’est pas toujours le cas.
Les équipes de sécurité ne sont qu'une voix parmi tant d'autres, et elles ont souvent du mal à convaincre les patrons que la sécurité et la confidentialité doivent être une priorité. Une histoire embarrassante dans la presse peut changer cela rapidement.
Par exemple: le chercheur en sécurité Troy Hunt une fois a appelé Betfair Security pour un système permettant à toute personne connaissant l'anniversaire d'un utilisateur de modifier son mot de passe. Un mois plus tard, Hunt rencontra un employé de cette entreprise, qui il a écrit sur son blog personnel :
… Un type est venu et m'a tendu sa carte - «Betfair Security». Ah merde. Mais l'hésitation passa rapidement alors qu'il me remerciait pour la couverture. Vous voyez, ils savaient que ce processus était nul - n'importe quelle personne raisonnable avec une demi-idée de la sécurité le faisait - mais l'équipe de sécurité interne à elle seule dire à la direction que ce n'était pas cool ne suffisait pas à conduire le changement. Une couverture médiatique négative, cependant, est quelque chose que la direction écoute.
Nous savons tous à quel point il peut être difficile pour les petites équipes de faire avancer leur programme dans les grandes entreprises, il y a donc une certaine logique ici. Mais je souhaite que les entreprises écoutent les équipes de sécurité internes et les chercheurs externes, avant les problèmes deviennent massivement publics. Il s’agit généralement d’une panne de communication au sein des entreprises, mais la résolution de cette panne pourrait éviter beaucoup de mauvaise presse et nous garder tous plus en sécurité.
Image credit: Virgiliu Obada / Shutterstock.com
