Skip to content

«Dans le domaine de la sécurité numérique, l’ouverture est indispensable – tout comme la communauté des hackers»

Selim Jaafar est responsable Customer Success auprès de la plateforme YesWeHack. Dans cet entretien, il explique pourquoi les hackers éthiques jouent un rôle central dans la protection des processus démocratiques comme le vote électronique. Il parle du test public de sécurité de la Poste, de l’importance de la transparence et de la raison pour laquelle les programmes bug bounty sont aujourd’hui un moyen éprouvé dans le domaine de la sécurité numérique.

   

Quel rôle joue la communauté des hackers en matière de renforcement de la confiance numérique dans les processus démocratiques comme le vote électronique?

La communauté des hackers joue un rôle central dans la sécurité des systèmes numériques. Elle complète les mesures de protection existantes, identifie les points faibles et renforce la confiance, particulièrement envers les applications sensibles comme le vote électronique. Dans des contextes tels que le vote électronique et la confiance numérique au sens large, ce processus offre aux citoyennes et aux citoyens une garantie importante: celle que toutes les techniques et ressources possibles ont été mobilisées pour assurer une sécurité maximale. Au vu des défis et des menaces potentielles, les attentes sont naturellement très élevées.

Selim Jaafar
Selim Jaafar travaille depuis 2019 chez YesWeHack, où il est responsable, en tant que VP Customer Success, du développement et du suivi des programmes bug bounty pour la clientèle au plan international. Titulaire d’un bachelor et d’un master en gestion des systèmes d’information de l’Université Paris-Dauphine, il a acquis une première expérience professionnelle dans le domaine de la sécurité informatique et de la gestion de projets chez Natixis, avant de rejoindre Harmonie Technologie où il a exercé une activité de conseiller. Au sein de YesWeHack, il aide des organisations, notamment des institutions publiques, à introduire et à optimiser des initiatives de sécurité et s’engage en faveur d’une collaboration transparente et efficace avec la communauté mondiale des hackers.

Pourquoi les tests d’intrusion publics sont-ils si importants pour des organisations comme la Poste, qui gèrent des services numériques sensibles?

Les programmes bug bounty permettent de réaliser des tests de sécurité approfondis qui vont au-delà des procédures de contrôle classiques. Ils mobilisent de nombreux spécialistes sur une longue période et identifient les points faibles de manière plus rapide et plus complète. Les programmes publics tels que ceux ayant trait au vote électronique augmentent la transparence, invitent à une large participation et envoient un signal clair: la sécurité est la priorité absolue.

 

 

Comment l’approche de YesWeHack concernant les tests d’intrusion publics a-t-elle évolué au fil des ans, en particulier au niveau des systèmes de gestion des données sensibles?

YesWeHack travaille dans le monde entier avec des autorités publiques et sur des projets sensibles afin de renforcer la sécurité numérique au moyen des programmes bug bounty. Dans le cadre du programme de vote électronique de la Poste, le code source et l’environnement de test ont été rendus publics et des primes élevées ont été annoncées. Le programme de vote électronique a ainsi pu attirer des hackers particulièrement qualifiés. La communication à grande échelle motive également les chercheurs en dehors de la communauté des hackers et montre comment de tels programmes contribuent à la sécurité et à la confiance dans les services numériques.

 

À propos de la plateforme de bug bounty YesWeHack

YesWeHack est une plateforme de bug bounty européenne qui aide des organisations comme la Poste à sécuriser leurs systèmes numériques grâce au hacking éthique. Elle met en lien les entreprises avec une communauté mondiale de spécialistes en sécurité afin de détecter les failles de manière efficace et transparente. Grâce à des programmes sur mesure, allant de tests privés aux initiatives publiques, YesWeHack promeut la sécurité numérique et la confiance dans des applications critiques telles que le système de vote électronique de la Poste.

Selon vous, qu’est-ce qui distingue l’initiative de sécurité de la Poste par rapport à d’autres programmes bug bounty publics en Suisse et à l’étranger?

La singularité réside avant tout dans le système lui-même, dans sa complexité et dans les ressources nécessaires pour le rendre accessible à un grand nombre de participantes et de participants dans des conditions quasi réelles. Cela inclut la création et le maintien d’un environnement modulable et dédié, qui permet d’accéder librement à de grandes quantités de cartes de vote falsifiées et de réaliser des tests variés. Autre caractéristique: les récompenses financières sont supérieures à la moyenne de la branche. Par ailleurs, des scénarios précis sont élaborés pour expliquer le modèle de risque spécifique du vote électronique. La transparence est un autre trait distinctif marquant: les résultats sont systématiquement publiés, y compris les failles qui ont été corrigées entre-temps. Le code source aussi est publié, ce qui garantit une vérifiabilité accrue et renforce la confiance.  Depuis l’année dernière, la Poste a rendu toutes ses applications numériques accessibles dans le cadre du programme bug bounty pour les tests de sécurité. Enfin, la force du programme réside dans l’étendue des thèmes traités. Une démarche si approfondie est rare dans les programmes bug bounty. 

 

 

Quels conseils donneriez-vous à d’autres institutions publiques ou entreprises qui envisagent de lancer un test d’intrusion public ou un programme bug bounty?

Les programmes bug bounty sont de précieux atouts, même à petite échelle. Ils aident les organisations de toutes tailles à sécuriser leurs systèmes de manière ciblée. YesWeHack met à disposition son expérience ainsi que des solutions adaptées. Aujourd’hui, le bug bounty est une pratique bien établie et il vaut la peine d’adopter cette approche.

 

 

Quel a été jusqu’à présent le plus grand succès rencontré avec le test d’intrusion public dans le cadre du vote électronique?

Pour moi, le plus grand succès réside dans le fait que le test d’intrusion est devenu un exercice récurrent. Année après année, la Poste et ses partenaires en assurent la réalisation dans les meilleures conditions possibles. À lui seul, cet engagement représente déjà une grande performance. En outre, je constate chaque année des progrès: une meilleure organisation, un soutien plus important à l’égard des participantes et des participants, une communication plus large et une participation plus élevée. L’ampleur et l’impact de l’initiative ne cessent de croître.

 

 

Comment peut-on mesurer le succès du test d’intrusion de la Poste, par exemple en termes de trafic de données ou en comparaison avec des tests similaires?

Les données métriques sont difficilement comparables, en particulier pour les systèmes complexes comme le vote électronique. Les critiques concernant les primes ou les ambitions ne tiennent souvent pas compte du contexte: le programme de vote électronique fait partie des plus exigeants au monde, car il requiert une transparence élevée, une méthodologie claire et un développement continu.

 

Plus d’informations

Tirez parti des avantages du numérique en utilisant les solutions d’e-government de la Poste: pour une interconnexion accrue, une intensification des interactions numériques, des processus optimisés et une plus grande sécurité des données. Informez-vous maintenant!

 

Un gain d’efficacité grâce à l’e-government

S’abonner au blog

Inscrivez-vous à notre Blog sur l'e-government et recevez régulièrement des mises à jour sur nos derniers articles de blog, avis d’experts et tendances dans la branche.

S’abonner maintenant