Speaker #0Bienvenue dans Compliance Without Coma, le podcast qui parle de cybersécurité, de gouvernance et d'ISO 27001 sans te plonger dans le coma. Je suis Fabrice De Paepe et depuis plus de 20 ans, j'audite, j'implémente et je forme autour des systèmes de management. Et ici, je te partage ce que je vois vraiment sous le terrain. J'aide les entreprises à construire des systèmes de management qui fonctionnent vraiment. Et mon objectif est simple, te faire gagner du temps, t'éviter les usines à gaz et te permettre de construire un SMSI qui t'apporte de la valeur. Pas juste un certificat. Alors installe-toi confortablement. Et comment ça va mon coma breaker préféré ? Aujourd'hui on va parler d'un nouvel acronyme, la VDP, pour la Vulnerability Disclosure Policy. Imagine une seconde. Ton CISO est sous l'eau, il était déjà en apnée. Mais avec ce qui suit, ça ne va pas s'arranger. Et en plus de gérer ton SMSI, il doit gérer les requêtes en tout genre des bons samaritains. De manière purement philosophique, un bon samaritain, c'est quelqu'un qui veut aider son prochain. Mais ici, nous l'appellerons chercheur. Beaucoup pensent que NIS2oblige à publier une VDP. Ce n'est pas exact. L'article 12 concerne les États membres. L'article 21 impose un processus de gestion. et de divulgation des vulnérabilités. Le processus de gestion, lui, il existait déjà dans l'ISO 27001, avec la gestion des vulnérabilités techniques. En pratique, publier une VDP, donc pour Vulnerability Disclosure Policy, la publier sur son site, c'est la meilleure façon de démontrer que ce processus existe. Et donc une VDP, qu'est-ce qu'elle a pour ? Elle indique, donc la Vulnerability Disclosure Policy, elle indique comment signaler une faille de sécurité. Elle précise le point de contact, mais oui, celui qui va se faire spammer, les informations à fournir, les règles à respecter et les engagements de l'entreprise. Et son objectif est simple, permettre aux chercheurs de signaler une vulnérabilité de manière responsable afin qu'elle soit corrigée avant d'être exploitée. Je te refais l'équation du risque, une menace exploite une ou plusieurs vulnérabilités avec un impact. Mais on n'a jamais parlé de faux positifs. Et le vrai coût d'une VDP n'est pas la faille que l'on va te signaler. C'est le temps que tu vas passer à analyser toutes celles qui n'existent pas. Il y a d'ailleurs presque autant de chercheurs sur le net que de sélectionneurs nationaux de leur équipe de foot favori. Ça fait beaucoup de chercheurs, hein. De bons samaritains, pardon. Et tous compétents, bien entendu. Et ils n'ont pas de business à faire tourner puisqu'ils se contentent du tien et te harcèlent avec des mails. Les plus insistants iront même jusqu'à te demander de l'argent. Mais bon. Non, ce n'est pas une menace. Non, ce n'est pas de l'extorsion. Après moi déjà, je trouve ça malin de ne pas rémunérer, car cela est censé réduire le nombre de faux positifs. Et finalement, je comprends pourquoi certaines entreprises ne rémunèrent pas les rapports. Et si ton objectif est d'être rémunéré, il existe un bug bounty. Daniel Steinberg, c'est le créateur de Curl, autrement dit probablement l'un des logiciels les plus installés au monde, lui il explique qu'aujourd'hui... Il passe davantage de temps à analyser des faux rapports qu'à corriger de vraies vulnérabilités. Je te mettrai la référence de l'article dans la description de l'épisode. En gros, il dit qu'en 2025, 20% des rapports de vulnérabilité reçus par Curl sont du AI Slop. Mais oui, tu sais, des rapports générés par IA, souvent faux, imprécis et impossibles à reproduire. Le problème n'est pas seulement l'IA. Beaucoup de personnes copie-collent ces rapports sans les vérifier, créant ainsi des Human Slop. Résultat ? Seulement 5% des signalements reçus en 2025 correspondent à de vraies vulnérabilités, contre un taux bien plus élevé des années précédentes. Et chaque rapport mobilise plusieurs experts sécurité. Les bug bounty deviennent victimes de leur propre succès. Et pour réduire ce bruit, Daniel Steinberg envisage même de revoir complètement son programme de bug bounty. L'IA ne crée pas seulement du code, elle crée aussi du bruit. Et quand des milliers de faux signalements arrivent, les experts passent plus de temps à éliminer les faux positifs qu'à corriger les vraies failles. C'est ce que Daniel Steinberg appelle la mort par mille déchets. Death by a thousand slops. Et toi, comma breaker, dis-moi, tu as une VDP ? Tu veux un template ? Ah non, je me contredirais avec mon épisode 65. Tu t'es déjà fait spammer par un bon samaritain qui utilisait, ou pas, de l'IA ? Que penses-tu de cela ? De la Vulnerability Disclosure Policy ? Slop ou flop ? Dis-moi, je suis curieux. Avant de terminer, je prépare actuellement deux nouvelles façons de continuer la discussion. La première, c'est Coma Breaker Solo. Un abonnement simple, sans engagement, tu bloques sur une exigence ISO, tu veux un deuxième avis, relire une offre, valider une décision avant un audit, ou simplement éviter de transformer un problème de 10 minutes en projet de 3 semaines. Je suis de l'autre côté de l'écran. La seconde, c'est Coma Breaker Academy, l'endroit où mes Coma Breakers se retrouvent pour progresser ensemble. Des échanges sur les cas réels, des décryptages, des sessions en direct et des discussions sur ISO 27001. la cyber, la gouvernance et tout ce qui gravite autour. Je dévoilerai tout ça très bientôt. En attendant, si cet épisode a été utile, partage-le à quelqu'un qui se bat au quotidien pour garder la tête hors de l'eau et faire avancer ton SMSI. Et n'oublie pas les 5 étoiles. Va sur Spotify ou Apple et mets-moi des paillettes. C'est encore le meilleur moyen de continuer à faire grandir Compliance Without Coma. Pense également à t'abonner au podcast pour ne manquer aucun épisode. Et pour prolonger la discussion, on peut se retrouver sur YouTube, Insta, TikTok... sur ComplianceWithoutComma pour les colises du podcast, des shorts, des reels, des punchlines, des guests en vidéo. Et surtout, n'attends pas qu'un inconnu découvre tes vulnérabilités avant toi, parce qu'aujourd'hui, le vrai coup d'une VDP n'est plus la faille, c'est le temps perdu à analyser toutes celles qui n'existent pas. A vendredi prochain, déjà, pour un nouvel épisode de ComplianceWithoutComma. D'ici là, prends soin de toi, comma breaker.