_edited.png)
Souvent traduit en français par “prime au bogue” ou “prime à la faille détectée”, le bug bounty est apparu dans les années 90 au sein de Netscape Communications Corporation. Bien connu des grandes entreprises telles que Tesla ou Apple, ainsi que des GAFAM (Les géants du Web : Google, Apple, Facebook, Amazon, Microsoft), le bug bounty est une méthode accordant une récompense pécuniaire à toute personne qui trouvera une ou des failles de sécurité dans un programme informatique défini.
De par son principe, de plus en plus d’entreprises et de hackers se laissent séduire par cette approche. En effet, le chercheur (hacker) est payé à la faille découverte. Et plus cette dernière est critique, bien documentée, avec un rapport de qualité, des contre-mesures détaillées, etc., plus la récompense sera élevée. Une certaine garantie donc pour l’entreprise quant au sérieux et à la motivation du hacker pour son travail de recherche. Et pas de dépenses inutiles puisque si le hacker ne trouve rien, l’entreprise n’aura pas à débourser un seul centime.
Mais comment trouver la bonne personne ? Comment être sûr qu’on a affaire à d’honnêtes hackers (white hats ou ethicals hackers) et non pas à des hackers malveillants (black hats) ?
Pour permettre aux entreprises et aux hackers de se rencontrer, des plateformes regroupant des communautés de professionnels et passionnés se sont crées. Afin de pouvoir les intégrer en tant que hacker, plusieurs systèmes de sélection peuvent être mis en place. Pour YesWeHack, premier leader européen, par exemple, il faudra accepter les conditions d’utilisation de la plateforme, comprenant une clause de confidentialité, tandis que pour pouvoir intégrer Yogosha, une autre plateforme française, il faudra passer par un processus de sélection qui comporte notamment la réussite de tests techniques ainsi qu’une vérification de l’identité de la personne postulante.
Les entreprises ont donc une certaine garantie concernant les motivations et le sérieux des personnes avec qui ils vont travailler. Et du côté des hackers, ceux-ci rejoignent une communauté, ont accès à des dojo challenges, des entraînements, de la documentation, etc., ainsi qu’une aide de la structure si un soucis avec les clients survient. En effet, même si les grandes entreprises prennent très au sérieux la remontée de vulnérabilités et n’hésitent pas payer grassement les personnes qui les découvrent, ce n’est pas forcément le cas de plus petites entreprises. Il arrive parfois que certaines d’entres-elles cherchent à minimiser la criticité de la faille découverte pour ne pas avoir à payer trop. C’est dans de tels cas que les plateformes prennent alors le rôle de médiatrice entre le hacker et l’entreprise.
Bug bounty et pentest, quelles différences ?
Comme dit plus haut, pour le bug bounty, l’entreprise travaille avec des hackers ou une organisation de hackers (comme les plateformes) et rémunère uniquement à la faille trouvée. Le temps passé à la recherche n’est pas pris en compte.
Le pentest quant à lui est à l’opposé. L’entreprise travaille avec un expert en cybersécurité spécialisé dans le pentest (pentester) qui sera payé pour son travail de recherche de vulnérabilités, peu importe le résultat. La rémunération prendra en compte également l’exploitations de celles-ci s’il en trouve et la rédaction d’un rapport.
Bug bounty ou audit de cybersécurité ?
Comme pour tous les sujets, les avis divergent. Certains diront que le bug bounty est plus efficace qu’un audit de cybersécurité car ce sont des professionnels et/ou des passionnés qui mettront tout en oeuvre pour trouver des vulnérabilités, tandis qu’aucune garantie de résultats émane d’un audit.
D’autres diront qu’il n’y a rien de mieux qu’un audit boite blanche lors duquel les experts auront accès à l’ensemble du système, des programmes, de l’organisation de l’entreprise, etc. Et pourront donc voir toutes les vulnérabilités qui n’auront pas forcément été exploitées lors d’un bug bounty.
En effet, le bug bounty se concentre sur la découverte de failles au sein d’un cyber-espace défini tandis que l’audit boite blanche peut aussi bien se concentrer sur un cyber-espace défini que sur l’ensemble d’un système d’information pouvant notamment inclure la sécurité physique de l’entreprise. Lors d’un audit boite blanche, les experts auront accès à l’intégralité des informations concernant le périmètre à tester, ce qui n’est pas le cas pour le bug bounty. Une communication interne non sécurisée, des serveurs et ports usb en libre accès et c’est l’ensemble du système d’information qui peut être compromis ; y compris les programmes qui pourront être modifiés par des personnes malveillantes afin d’en tirer profit lors de sa distribution par exemple.
Le bug bounty peut donc par exemple, découvrir des vulnérabilités présentes dans un programme, mais ne pourra pas avoir connaissance des risques de tout ce qu’il y a autour, et qui met en péril l’intégrité de ce-dit programme.
L’audit boite blanche et le bug bounty ne sont donc pas réalisé de la même manière, tout simplement car ils sont différents. Néanmoins, il peut être intéressant de combiner les deux afin de s’assurer d’avoir une sécurité maximale, du fait de leur complémentarité !
Vous avez apprécié cet article de blog ?
Retrouvez plus de contenus en rapport avec la cybersécurité et la conformité réglementaire au RGPD sur le blog de CyberSecura !
Nous avons besoin de vos réponses !
En répondant à cette enquête, vous nous permettez de mieux comprendre vos interactions avec notre site ainsi que vos potentiel besoins.
Vos réponses sont anonymes, et à moins que vous ne demandiez à être re-contacté(e) par nos équipes, aucune information personnelle ne vous est demandée !
Merci pour vos réponses !
Vous souhaitez être informé de notre actualité et recevoir les derniers articles de notre blog directement dans votre boîte aux lettres ? Abonnez-vous à notre newsletter mensuelle !
Vous souhaitez discuter de vos difficultés, de vos besoins, de nos offres ? Demandez à être contacté, gratuitement et sans engagement, par l'un de nos experts en cybersécurité !