Le Department of Homeland Security (DHS) a lancé un nouveau programme de primes aux bugs baptisé « Hack DHS » qui permet aux chercheurs en cybersécurité approuvés de trouver et de signaler les vulnérabilités de sécurité dans les systèmes DHS externes.
« En tant que quart-arrière du gouvernement fédéral en matière de cybersécurité, le DHS doit montrer l’exemple et chercher constamment à renforcer la sécurité de nos propres systèmes », a déclaré le secrétaire du DHS, Alejandro N. Mayorkas.
« Le programme Hack DHS incite les pirates informatiques hautement qualifiés à identifier les faiblesses de la cybersécurité dans nos systèmes avant qu’elles ne puissent être exploitées par de mauvais acteurs. Ce programme est un exemple de la façon dont le Département s’associe à la communauté pour aider à protéger la cybersécurité de notre nation.
Le nouveau programme de primes aux bugs utilisera une plate-forme développée par la Cybersecurity and Infrastructure Security Agency (CISA) et sera surveillé par le DHS Office of the Chief Information Officer.
Les chercheurs qui signalent des vulnérabilités de sécurité dans le cadre du programme Hack DHS pourront gagner des récompenses monétaires allant jusqu’à 5 000 $, selon la gravité de la faille.
Les pirates informatiques inscrits au programme seront tenus de divulguer leurs découvertes et des informations détaillées sur la vulnérabilité, comment les attaquants peuvent potentiellement l’exploiter et comment les acteurs malveillants pourraient l’utiliser pour accéder aux informations des systèmes DHS.
Le DHS vérifiera toutes les failles de sécurité signalées dans les 48 heures et les corrigera en 15 jours ou plus, selon la complexité des bugs.
Programme de primes de bugs en trois phases
Après les trois phases Hack DHS de l’année prochaine, le département exécutif fédéral américain vise à développer un modèle de prime aux bugs prêt à être utilisé par d’autres organisations gouvernementales pour renforcer leur résilience en matière de cybersécurité.
« Au cours de la première phase, les pirates effectueront des évaluations virtuelles sur certains systèmes externes du DHS », Homeland Security expliqué.
« Au cours de la deuxième phase, les pirates participeront à un événement de piratage en direct et en personne. Au cours de la troisième et dernière phase, le DHS identifiera et examinera les leçons apprises et planifiera les futures primes de bugs. »
Le programme Hack DHS bug bounty s’appuie sur l’expérience et les pratiques d’efforts similaires au sein du gouvernement fédéral (par exemple, le programme « Hack the Pentagon ») et du secteur privé.
Le DHS a lancé son premier programme pilote de bug bounty il y a deux ans, en 2019, après la SECURE Technology Act (rédigé par la sénatrice Maggie Hassan, le sénateur Rob Portman, le représentant Ted Lieu et le représentant Scott Taylor) a été promulguée pour exiger la mise en place d’une politique de divulgation des vulnérabilités de sécurité et d’un programme de primes aux bugs.