Témoignage exclusif de Jan Spitalnik, Directeur Technique vidéo à la demande, Showmax
Assurer un service de streaming vidéo sur l’ensemble du continent africain est déjà un défi majeur en soi. A ceci vient s’ajouter la nécessité de sécuriser les données de nos clients et de protéger nos émissions et nos films. Faire appel à des hackers pour trouver des vulnérabilités dans nos systèmes peut sembler au premier abord une approche inappropriée voire dangereuse. Pourtant, c’est le meilleur moyen de garantir le niveau de sécurité attendu.
Showmax propose un large éventail de vidéos en streaming, des derniers films hollywoodiens aux telenovelas africaines, en passant par des films originaux et de grands événements sportifs. Ces derniers en particulier sont de véritables casse-tête dès lors qu’il s’agit de diffusions en direct. Sans compter les nombreux problèmes techniques que connaissent les infrastructures africaines… Quand vous devez gérer près d’un demi-milliard d’événements sportifs par an pour une clientèle très éclectique, du Kenya rural à la ville métropolitaine du Cap, disons que chaque jour apporte son lot de surprises !
Notre réputation est primordiale
L’Afrique a beau avoir largement dépassé le stade de la téléphonie fixe pour migrer vers la téléphonie mobile, les paiements en ligne sont encore loin d’être la norme. Ils sont d’ailleurs la plupart du temps traités avec suspicion. C’est pourquoi notre premier défi est de gagner la confiance des clients et de la pérenniser. Avec l’émergence de nouvelles législations comme le RGPD et d’autres réglementations locales sur la protection de la vie privée qui deviennent la norme partout où nous opérons, nous restons extrêmement vigilants face aux lourdes peines encourues en cas de fuite de données.
D’autre part, les studios avec lesquels nous travaillons nous font confiance, ils attendent de nous que nous garantissions la sécurité de leurs œuvres. Au sein de notre industrie, où une faille de sécurité peut être lourdement préjudiciable, il est essentiel de pouvoir effectuer des tests de sécurité. C’est là qu’intervient notre programme de bug bounty, que nous avons choisi de mener avec HackerOne.
Anticiper une attaque imprévisible
Dans le cadre de notre programme de bug bounty, des hackers éthiques testent nos systèmes de sécurité et conçoivent des attaques auxquelles nous n’aurions pas imaginé être confrontés. Faire appel à des hackers pour tester le degré de vulnérabilité de nos systèmes peut paraître risqué, mais cela nous permet de mieux piloter notre stratégie de cybersécurité. Nous voulons faire cette démarche proactive de trouver les vulnérabilités que des cybercriminels pourraient exploiter pour dérober des données ou des contenus voire causer des interruptions de service.
Au cours des trois dernières années, nous avons versé plus de 30 000 dollars de prime, pour plus de 130 vulnérabilités vérifiées. Nous sommes par ailleurs fiers de notre réactivité dès qu’une vulnérabilité est identifiée. En général, quelques heures suffisent pour patcher une vulnérabilité. La rapidité de résolution permet de corriger un bug avant qu’il ne puisse être exploité, et d’améliorer ainsi la sécurité de nos systèmes.
Développer notre programme de bug bounty
A mesure que nous nous développons, nous augmentons la portée de notre programme de bug bounty. Nous sommes ravis de notre collaboration avec la communauté de hackers HackerOne. Je recommande à tous ceux qui envisagent de déployer des stratégies de sécurité offensive, de travailler avec des hackers éthiques, car les attaques qu’ils parviennent à simuler sont souvent des attaques que nous n’aurions jamais envisagées. Les conséquences potentielles d’une fuite de données sur notre réputation seraient bien plus lourdes que le coût d’un programme de bug bounty maîtrisé.