Qui mieux qu’un hacker peut juger du niveau de sécurité d’une application ou d’un service Internet ? Des prestataires aident aujourd’hui les entreprises à organiser des campagnes de Bug Bounty pour trouver leurs failles de sécurité.
Le Bug Bounty vise à mettre en contact une entreprise qui souhaite vérifier le niveau de protection de ses développements avec des hackers éthiques qui vont chercher les failles. Ceux-ci décrochent des primes pour chaque nouvelle faille découverte, le montant étant généralement calculé en fonction de sa criticité. Les campagnes de Bug Bounty viennent se placer en aval de tous les outils de contrôle du code DevSecOps et des audits de sécurité. L’intérêt de cette approche comparée à l’audit de sécurité classique est de pouvoir diversifier les tests réalisés. Les auditeurs s’appuient généralement sur des outils bien connus et consacrent un nombre d’heures prédéfini à l’avance pour réaliser leur étude. Si les hackers éthiques vont exploiter des outils de test bien connus de la communauté, ils vont aussi essayer des méthodes plus « out of the box » afin de trouver la faille que personne ne va détecter et décrocher une plus grosse prime. Les hackers éthiques ne vont pas nécessairement compter leurs heures si le défi qui leur est présenté est intellectuellement (et financièrement) intéressant.
Si les quelques géants du Web peuvent organiser eux-mêmes des campagnes de Bug Bounty pour tester leurs services, toutes les entreprises n’ont pas l’aura qui va leur permettre d’attirer l’attention des hackers éthiques dont beaucoup conservent un certain anonymat. Des prestataires spécialisés en Bug Bounty apportent des solutions « clé en main » à toute entreprise souhaitant mettre en place une campagne de ce type. Celles-ci disposent déjà d’un vivier de hackers éthiques à qui elles proposent régulièrement des défis. Autre atout majeur de ces offres « packagées », le prestataire prend à sa charge tout le volet distribution des primes, ce qui met à l’abri l’entreprise d’éventuelles contestations quant à l’importance de la trouvaille réalisée par le hacker.
