Orion approuvé suite au bug bounty de Yogosha

Publié le
  • Actualité
  • Autre
bug bounty

Ce bug bounty mutualisé a permis de tester les logiciels les plus utilisés par les collectivités territoriales françaises dont Orion, de débusquer des vulnérabilités et de renforcer la sécurité numérique des villes et des citoyens.

ESII et Yogosha (spécialiste dans les tests de sécurité offensive pour entreprises, institutions et gouvernements) ont collaboré sur une opération de renforcement de la cybersécurité des collectivités territoriales qui a permis à ESII d’obtenir l’homologation de sécurité d’un service public numérique pour son logiciel SaaS Orion (prise de rendez-vous en ligne et gestion de l’accueil des citoyens).

L’objectif de ce bug bounty était de débusquer des vulnérabilités dans les quinze applications les plus utilisées par les villes françaises, sélectionnées par le Club des RSSI et le COTER Numérique.

L’ANSSI a soutenu cette initiative et la Ville de Boulogne-Billancourt qui utilise le logiciel SaaS Orion s’est particulièrement impliquée dans ce test. Orion a donc été rigoureusement évalué pour résister aux menaces de cybersécurité les plus avancées.

« La cybersécurité, ce n’est pas seulement protéger des systèmes et des logiciels, c’est aussi protéger les citoyens. Une ville se doit d’assurer la sécurité numérique comme elle assure la sécurité des personnes. C’est quelque chose qui peut être difficile à comprendre, mais c’est pourtant essentiel. La cybersécurité, c’est quelque chose qui doit faire partie intégrante de la politique d’une ville. »
Christophe Vergeron, Directeur des Systèmes d’Information à la mairie de Boulogne-Billancourt.

Les équipes Yogosha ont ainsi pu adapter le process au contexte du projet. A l’instar des campagnes de bug bounty menées pour les 14 autres applications, les tests ont eu lieu en 2 temps sur une période d’un mois. Les tests ont d’abord été menés en boite noire pour simuler une attaque externe opérée par un inconnu puis en boite grise pour simuler une attaque ciblée via laquelle l’attaquant a pu obtenir un simple compte utilisateur lui permettant d’agir en tant qu’utilisateur de l’application

Cette évaluation revêt une importance capitale pour l’ensemble de nos clients, car elle garantit une sécurité renforcée, la protection des données sensibles, la conformité aux normes et réglementations et la réduction des risques de cybersécurité.

Articles reliés