Electronique Mag - Le journal de l'électronique.
- accueil .
- abonnement .
- newsletter .
Flux RSS . - soumissions .
- publicité .
- contacts
Flux RSS .
Zoom Video Communications, la plateforme spécialiste des communications unifiées, annonce les résultats de son programme Zoom Bug Bounty en 2022, qui lui a permis de réduire les risques de manière proactive et à créer un environnement plus sûr pour ses clients.
L’infrastructure de Zoom est testée tous les jours et pour se prémunir des vulnérabilités exceptionnelles, l’entreprise fait appel à la communauté des hackers éthiques, qui peut parfois détecter des bugs qu’il n’est possible de découvrir que dans certaines circonstances.
Le programme Zoom Bug Bounty se concentre sur le recrutement de chercheurs compétents et efficaces. En 2022, Zoom a invité des chercheurs à rejoindre son programme HackerOne afin d’attirer des talents actifs dans le domaine de la sécurité. Pour aller au-delà de son propre programme, Zoom a également fait appel à la communauté par le biais d’événements industriels, tels que le H1-702.
Zoom a accordé 3,9 millions de dollars de primes à des centaines de chercheurs en 2022 et plus de 7 millions de dollars depuis le début du programme.
Au-delà de l’identification des vulnérabilités, le soutien des chercheurs externes a permis à Zoom d’utiliser ces rapports pour mettre en évidence les éléments nécessitant une attention particulière, identifier les causes profondes des problèmes, créer un meilleur alignement interfonctionnel et repérer des menaces potentielles avant qu’elles ne deviennent un problème. En conséquence, le temps de résolution des rapports de bug bounty s’est considérablement amélioré au cours des deux dernières années.
Cette année, le programme Bug Bounty de Zoom met en place un système d’évaluation de l’impact des vulnérabilités afin d’aider les chercheurs dans leur travail. Tout en continuant d’utiliser la norme industrielle CVSS (Common Vulnerability Scoring System) pour noter les rapports, Zoom fait évoluer son programme pour ajouter un système de notation complémentaire appelé VISS (Vulnerability Impact Scoring System). Ce système analyse 13 aspects différents de l’impact de chaque vulnérabilité signalée en ce qui concerne l’infrastructure de Zoom, la technologie et la sécurité des données des clients. Avec la mise en œuvre de VISS, le programme Bug Bounty peut se concentrer davantage sur la mesure de l’impact démontré de manière responsable, plutôt que sur la possibilité théorique d’exploitation.
