Le bug bounty en 5 questions

Qu’est ce que le bug bounty ? Pourquoi en parle t-on autant ? Quels sont les sites français de bug bounty ? Qui sont les hackers qui travaillent pour ces programmes ? Pourquoi les entreprises font-elles appel à des bug bounty ? Nous répondons à toutes ces questions dans cet article.

La cyberattaque mondiale appelée « NotPetya », qui a débuté mercredi, a touché des grands groupes et des structures gouvernementales. Ce type d’attaque se multiplie et touche tous les types de sociétés. La cybersécurité est devenue essentielle pour les entreprises évoluant dans le monde du numérique. Focus sur le bug bounty, un système innovant pour améliorer sa protection numérique.

Comment ça fonctionne ?

Un bug bounty est une plateforme regroupant des hackers chargés de tester la sécurité des installations numériques d’une entreprise. Ces derniers sont ensuite rémunérés en fonction des failles détectées.

Prenons un exemple : une entreprise travaillant dans l’assurance fait appelle à un programme de bug bounty. Elle réalise régulièrement des audits de cybersécurité mais souhaite trouver une solution complémentaire pour plus d’efficacité au quotidien. L’entreprise convient avec le bug bounty d’un tarif pour chaque faille repérée relatif à son niveau de gravité. Suite à cela, un groupe plus ou moins élargi de hackers est amené à travailler sur les systèmes informatiques de l’entreprise pendant une période définie. Les erreurs sont corrigées au fur et à mesure qu’elles sont détectées et les hackers payés suivant les failles trouvées.

Connaissez-vous le bug bounty ?

Quelles sont les sociétés françaises de bug bounty ?

Bounty Factory est créé en janvier 2016 par Manuel Dorne alias Korben, blogueur français reconnu dans le monde de l’informatique. Cette plateforme a été lancée par le job board Yes We Hack. Elle se revendique comme la première plateforme de bug bounty en Europe.

bounty factory

 

Bug Bounty Zone est la plateforme développée par la startup Net Guard créée début 2016 à Marseille. «  Nous avons deux types de clients, les grands comptes et les PME/TPE » déclare son fondateur Ely de Travieso. Cette plateforme est d’ailleurs la seule à s’adresser aux PME pour qui les offres traditionnelles ne proposent pas de solutions adaptées d’un point de vue financier.

Yogosha est créé en 2014 par Yassir Kazar, Kevin Liagre et Fabrice Epelboin. Yogosha compte déjà une vingtaine de clients aux profils très différents : des startups comme Tilkee, qui propose un logiciel d’optimisation commercial, ou des grands comptes. La startup Yogosha a remporté le premier prix de la catégorie “Transformation Numérique des Entreprises” de Wilco (ex Scientipôle) lors de son évènement la ScientiAcademy le 30 mai 2017. Elle fait aussi partie du programme d’accélération startup de Hewlett Packard Enterprise (HPE).

La principale différence entre ces trois acteurs se trouve dans l’accessibilité au programme. En effet, les deux dernières sélectionnent les hackers souhaitant intégrer la plateforme. Cette dernière est donc fermée et ne permet pas à n’importe qui d’avoir accès aux probables vulnérabilités des entreprises. Au contraire, Bounty Factory est ouvert à tous les hackers qui acceptent les conditions d’utilisation de la plateforme, et notamment la clause de confidentialité. Bounty Factory classe par la suite les hackers suivant les failles qu’ils ont découvert. Une entreprise peut ainsi choisir de travailler avec toute la communauté ou seulement avec une partie mieux classée.

A l’occasion du Web2day à Nantes, Fabrice Epelboin et Korben nous ont présenté le bug bounty :

Qui sont les hackers qu’elles emploient ?

Les hackers, hunters ou encore chercheurs en cyber sécurité (pour les plus anglophobes) sont aussi bien des professionnels que de simples passionnés d’informatique. Ces hackers sont des « White Hat » soit des hackers étiques bien loin des « Black Hat » mal intentionnés. Ainsi, en mai 2017, le hacker le mieux payé sur Bounty Factory a touché 15 000 euros en un mois.

Le monde de la cybersécurité recrute et aujourd’hui, on estime qu’il n’y a qu’un chercheur en cybersécurité pour quatre offres d’emploi. Le système de bug bounty peut aussi être un bon moyen de développer ses compétences pour un hunter en herbe.

Pourquoi les entreprises font-elles appel à des bug bounty ?

Voici une liste (non exhaustive) des raisons qui font le succès de ces solutions :

  • Les développeurs en interne se forment grâce aux failles repérées par les hunters.
  • Les bug bounty permet de libérer du temps aux développeurs qui peuvent travailler sur d’autres tâches que sur la sécurité qui n’est pas toujours leurs cœur de métier.
  • C’est une solution (souvent) moins chère que les offres traditionnelles. Elle offre une analyse en continu par un large panel d’experts qui assure des retours riches et variés.
  • C’est pour une entreprise faire preuve de transparence sur son niveau de sécurité
  • Un programme de bug bounty peut être lancé très rapidement.

Attention, il est cependant important de garder la tête froide : ces programmes ne remplacent pas les audits en cybersécurité, qui doivent être conservés. De plus, ces programmes exigent des entreprises qu’elles soient très réactives pour corriger les failles découvertes petit à petit.

Un bug bounty : un effet de mode ?

A partir de mai 2018, entrera en vigueur le nouveau règlement européen sur la protection des données personnelles. Ce règlement prévoit que « toute information se rapportant à une personne physique identifiée ou identifiable » doit désormais être une préoccupation majeure des entreprises.

Jusqu’à présent une entreprise était rarement inquiétée du vol de ses données utilisateurs sur ses serveurs. Avec cette nouvelle réglementation, une entreprise qui se fera dérober des informations sur ses clients deviendra responsable et devra communiquer publiquement sur ce larcin. Cela entraînera une perte de confiance soudaine de la part de ses consommateurs.


Nos dernières vidéos

Répondre