Qu'est-ce que le "bug bounty" dans le domaine de la cybersécurité ?

in #steempress7 months ago


Il est aujourd’hui impossible d’affirmer que tout logiciel développé et édité sur le marché ne contient potentiellement aucune vulnérabilité. A chaque sortie d’une solution logicielle, il y a un potentiel plus ou moins vaste de failles de sécurité pouvant permettre à un hacker peu scrupuleux de causer un dommage à une partie. Existe-t-il des solutions à disposition des éditeurs afin que des moyens suffisants soient déployés pour remédier aux plus vite à ces vulnérabilités ? Les programmes de « bug bounty » en font partie.

Par définition, le bug bounty est un programme d’une grande envergure permettant à une société (éditeur de logiciel, entreprise spécialisée dans les technologies de l’information) de proposer une récompense à des spécialistes de cybersécurité (hackers, chercheurs) qui trouveraient une vulnérabilité non identifiée lors du développement.

Les premiers programmes de bug bounty ont commencé à se développer entre les années 1980 et 2000. On relèvera notamment le bug bounty de la société « Hunter & Ready » en 1983 ou encore celui de la société « Netscape Communications » en 1995. Aujourd’hui les géants du numérique ont recours à ces programmes pour permettre le déploiement massif de chercheurs. Citons Google en 2018 qui a récompensé près de 317 spécialistes jusqu’à 41 000 dollars sur un montant total investi de 3,4 millions.

A noter qu’il existe plusieurs formes de bug bounty (interne, externe, privé ou public) qui seront adoptées en fonction des moyens dont dispose la société fournisseuse de logiciels. Ce qui permet d’élaborer des programmes variés proposés à des chercheurs motivés.

Enfin, il convient de souligner un second aspect crucial du bug bounty : les participants sont soumis à des règles ainsi qu’à un cadre éthique. Parmi ces règles, il n’est pas étonnant d’observer que le chercheur devra immédiatement signaler toute vulnérabilité découverte afin que ce dernier ne l’exploite pas à d’autres desseins.


Posted from my blog with SteemPress : http://blog.economie-numerique.net/2019/07/31/quest-ce-que-le-bug-bounty-dans-le-domaine-de-la-cybersecurite/