J’ai récemment payé 500$ un hacker
Et c’est exactement ce qu’on espérait en mettant en place cette pratique :
👉 Cette pratique, c’est d’ajouter un fichier security.txt à la racine du site.
Ce fichier indique aux hackers éthiques qui contacter quand ils repèrent une faille. Ça peut être l’équipe du client ou celle de l’agence, selon la maturité du client sur le sujet de la sécurité.
Ces hackers éthiques, c’est leur business model :
– Ils repèrent des vulnérabilités
– Ils envoient un rapport
– Ils proposent des solutions
– Ils demandent une compensation
Et nous les rémunérons avec plaisir.
Une chose que j’aime rappeler à nos clients :
La sécurité n’est pas un état figé, c’est un processus continu. Avoir des vulnérabilités n’est pas honteux – c’est normal.
Ce qui compte vraiment, c’est :
1 – À court terme :
Notre capacité à traiter ces situations rapidement et avec professionnalisme.
2 – À moyen terme :
Évaluer si d’autres clients ou projets sont concernés, et si un rappel préventif est nécessaire.
3 – À long terme :
Identifier ce que l’agence peut mettre en place structurellement pour éviter que cela ne se reproduise.