La démarche est répandue dans toutes les grandes entreprises du web et elle commence même à trouver ses entrées au Pentagone. Pourtant, l'idée d'inviter des « gentils pirates » à rechercher les failles de leurs services – moyennant un programme de prime au résultat – n'est pas encore parvenu à séduire toutes les institutions financières.
Selon un article de la revue American Banker, il est même des banquiers qui ignorent l'existence de telles possibilités pour renforcer la sécurité de leurs systèmes. À l'inverse, bien évidemment, les nouveaux entrants du secteur – PayPal, Square, Simple… – en sont familiers, mais Western Union fait aussi partie des adeptes identifiés. Tous font état d'une même approche pragmatique : quoi qu'ils fassent, les hackers ne les attendent pas pour éprouver leurs protections, alors mieux vaut envisager une collaboration, plus productive.
Même sans cette sorte de résignation, le fait de pouvoir compter sur une communauté composée de milliers de chercheurs (plus ou moins officiels), aux points de vue et méthodes divers, permet de détecter des anomalies qui, autrement, passeraient longtemps inaperçues. Dans le cas de PayPal, par exemple, plus de 1 500 experts de 80 pays ont participé au programme et se sont partagés des récompenses de 50 à 15 000 dollars, pour un total de 2 millions de dollars, depuis sa mise en place en 2012.
L'argent n'est pas la seule motivation des contributeurs. Ainsi, le trublion des paiements tient une liste publique des découvertes et cette reconnaissance de leurs travaux est également une source de motivation pour les chercheurs. En outre, la formalisation de la relation avec des intervenants externes est un excellent moyen d'instaurer la confiance, en évitant les conflits qui surgissent en cas de publication « sauvage » ou les délais de prise en compte lorsque les processus ne sont pas standardisés.
Contrairement à PayPal, qui reste relativement ouvert sur la provenance des rapports de sécurité qu'il reçoit, Western Union opère son programme par l'intermédiaire de la plate-forme BugCrowd, qui réalise un filtrage a priori des candidats à la recherche de problèmes de cybersécurité. Synack, autre solution basée sur un modèle fermé similaire, compterait elle-même plusieurs institutions financières parmi ses principaux clients. Cette option paraît certainement plus rassurante (notamment pour débuter) mais elle a l'inconvénient de limiter singulièrement la portée de la démarche.
En synthèse, il en est de la sécurité comme de l'innovation : se cantonner aux talents internes (et à quelques outils spécialisés) n'est plus suffisant, il devient désormais indispensable de faire appel à des contributeurs externes, dans une logique d'ouverture aussi large que possible (pour en assurer l'efficacité) et d'autant plus facile à accepter que les candidats potentiels sont, selon toute vraisemblance, déjà à l'affût des failles et qu'il n'est pas besoin de déployer d'immenses efforts pour tirer parti de leurs qualités…