Un VDP (Vulnerability Disclosure Program) permet à des tiers de signaler des vulnérabilités à une organisation pour améliorer la sécurité proactive de celle-ci. Exemple avec Gobugfree qui offre aujourd’hui en Suisse un VDP gratuit aux entreprises.
Qu’est-ce qu’un VDP Vulnerability Disclosure Program et à quoi sert-il?
Un VDP (Vulnerability Disclosure Program) est une initiative mise en place par une organisation pour permettre à des tiers, tels que des chercheurs en sécurité ou le grand public, de signaler des vulnérabilités dans les produits ou services de l’organisation. L’objectif principal d’un VDP est de découvrir et de corriger les failles de sécurité avant qu’elles ne puissent être exploitées malveillamment, garantissant ainsi une meilleure protection des systèmes et des données de l’entreprise.
Le fonctionnement d’un VDP est généralement articulé autour de règles clairement définies pour la soumission des vulnérabilités. Ces règles stipulent comment les découvreurs de vulnérabilités peuvent communiquer avec l’organisation, les types de failles recherchées, et souvent, les récompenses ou les reconnaissances offertes pour les rapports jugés valides et utiles. La mise en œuvre d’un tel programme encourage une collaboration positive avec la communauté des experts en sécurité, qui voient leur travail reconnu et valorisé.
En instaurant un esprit de collaboration et de transparence, ainsi que des canaux de communication sécurisés pour les rapports, les VDP aident donc à construire une relation de confiance entre les organisations et les chercheurs en sécurité. Ils contribuent également à améliorer la posture de sécurité des organisations en permettant une résolution proactive des problèmes de sécurité potentiels.
Et aussi des Vulnerability-Disclosure-Programs “as-a-Service”
Comme annoncé dans l’article publié par Inside IT rapporté ci-dessous, Gobugfree propose un programme de divulgation de vulnérabilités (VDP) entièrement gratuit et destiné aux entreprises. L’objectifs est de leur trouver une solution pratique et économique.
Le but de ce VDP, comme le souligne l’organisateur suisse de campagnes de bug-bounty, est de permettre aux entreprises et aux organisations d’améliorer leur réactivité face aux incidents de sécurité grâce à l’établissement de canaux de communication clairs et légaux.
En intégrant un tel programme, les entreprises peuvent renforcer leur sécurité informatique en adoptant une démarche proactive dans la gestion des risques. En effet, en disposant d’un cadre légal et structuré pour la réception des rapports de vulnérabilités, les organisations limitent le risque que les hackers éthiques, confrontés à l’absence de voies officielles, choisissent de ne pas signaler les failles détectées.
![](https://i0.wp.com/www.ledecodeur.ch/wp-content/uploads/2024/04/image-13.png?resize=1160%2C373&ssl=1)
Pour en savoir plus
Un exemple de VDP au Canton de Vaud ici ( https://vd.ch/vdp ) :
![](https://i0.wp.com/www.ledecodeur.ch/wp-content/uploads/2024/04/image-14.png?resize=1160%2C705&ssl=1)