Skip to main content

Le bug bounty peut faire des merveilles pour la cybersécurité des organisations, mais ce n’est pas un test miracle. Tour d’horizon de ses forces et faiblesses.

Le bug bounty est une approche du test de sécurité qui a gagné ses lettres de noblesse, au même titre que le pentest ou les scanners automatiques. Mais il reste un exercice relativement jeune – une dizaine d’années à prendre ou à laisser – encore méconnu d’un bon nombre d’acteurs de la cybersécurité.

Il faut dire qu’il règne une certaine opacité autour du sujet, souvent entretenue par le discours enjolivé des plateformes de bug bounty elles-mêmes. Résultat des courses : certains doutent de son efficacité, là où d’autres l’érigent comme le test de sécurité ultime, celui qui remplacerait tous les autres ! Pourtant, comme souvent, la vérité est dans la mesure.

Disons les choses telles qu’elles sont : le bug bounty n’est pas une solution miracle. C’est une méthode de détection des vulnérabilités qui, comme toutes les autres, a ses avantages et ses inconvénients. Foncer tête baissée dans le bug bounty, c’est foncer droit dans le mur. Il est essentiel de comprendre ses forces, ses objectifs et ses rouages, mais aussi ses limites et ses travers. Ce n’est qu’alors que le bug bounty peut être exploité à son juste et plein potentiel, et renforcer au mieux la sécurité des systèmes et des organisations.

Lire aussi : Bug Bounty, pourquoi en faire et par où commencer ?

Ces quelques lignes ont pour but d’expliquer les forces et les faiblesses du bug bounty, de la manière la plus réaliste possible, sans paillettes ni poussières.

Les forces du bug bounty

1. La force du nombre

Faire appel à la communauté des chercheurs pour tester la sécurité d’un produit permet de multiplier les regards et les expertises. Il est évident que, à temps de recherche égal, plusieurs centaines de personnes identifieront davantage de vulnérabilités qu’une équipe de sécurité aux effectifs réduits.

Le bug bounty dispose d’une force de frappe difficilement égalable, c’est un fait. Pour autant, méfiez-vous du narratif des “armées de hackers éthiques” poussé par certaines plateformes de bug bounty. Oui, le bug bounty permet de mobiliser des centaines de chercheurs pour tester la sécurité d’un actif. Mais non, il ne donne pas accès à un vivier inépuisable de milliers de hackers experts en cybersécurité. Si vous souhaitez creuser le sujet, nous vous invitons à lire l’article suivant.

2. La diversité des compétences

Les hackers ont des profils variés, et chaque chercheur vient avec ses propres compétences et expériences professionnelles. Là où un hacker sera plus à l’aise à travailler sur des API, d’autres seront plus enclins à tester des applications web ou des configurations cloud. De même, certains auront plus de facilité à détecter tel ou tel type de vulnérabilité. Cette diversité des talents permet de multiplier les idées et les angles d’attaques, et de tester les actifs avec plus d’exhaustivité.

3. Une approche continue et flexible de la sécurité des actifs

Un bug bounty est en général un programme continu, qui assure une veille permanente sur la sécurité des actifs d’une organisation. Les vulnérabilités sont remontées toute l’année, et le programme reste pertinent tout au long du cycle de vie des applicatifs visés. Le bug bounty complète ainsi les approches DevSecOps, avec une brique de test de sécurité qui ne dort jamais.

Par ailleurs, cette notion de continuité confère au bug bounty une souplesse d’exécution que ne possèdent pas les autres formes de test, comme le pentesting. Les chercheurs peuvent par exemple travailler sur une nouvelle livraison ou une nouvelle feature dès leur sortie – il suffit de mettre le programme à jour pour les prévenir et orienter leurs recherches.

4. Une détection des vulnérabilités en profondeur

Le bug bounty n’étant pas limité dans le temps, il permet de révéler les vulnérabilités critiques en profondeur. Ces failles sont difficiles à identifier, car elles demandent du temps et une bonne connaissance des environnements en présence. Il va sans dire qu’un hunter qui peut travailler dans la durée sera capable de monter des attaques plus complexes qu’un pentester qui n’a que deux semaines devant lui et une méthodologie à suivre.

Le bug bounty donne aux testeurs le temps nécessaire pour se familiariser avec les environnements et pour mettre en place des scénarios d’attaque plus avancés, en exploitant plusieurs vulnérabilités pour maximiser l’impact de sécurité. C’est ce qu’on appelle le chainbug – l’enchaînement de vulnérabilités – et les chercheurs eux-mêmes ont un intérêt direct dans l’exercice, puisque leur récompense n’en sera que plus grande. Certains hackers décident même de travailler en équipe pour les attaques les plus élaborées (et de partager la prime), ce qui s’apparente à une forme de red teaming.

“Des pentests on en a fait plein. Mais avec le bug bounty, c’est différent. On n’est pas dans l’attente d’un rapport, on est dans l’attente d’une vulnérabilité critique. Et avec Yogosha, les critiques ont quasiment toujours été pertinentes.” – Antonin Garcia, RSSI chez Veepee

5. Un modèle économique avantageux pour les organisations

Le bug bounty est un test avec une logique de paiement au résultat. Les chercheurs ne sont pas payés pour leur temps de recherche, mais récompensés pour le fruit de leurs recherches. Avec le bug bounty, les organisations rétribuent les vulnérabilités exploitables, celles qui ont un réel impact sur la sécurité. La dépense est donc directement proportionnelle au nombre et surtout à la criticité des détections obtenues. Et en l’absence de vulnérabilités valides, les organisations n’ont aucune dépense à engager.

C’est ce qui distingue le bug bounty d’autres formes de tests, comme les tests d’intrusion, qui sont facturés à l’unité et pour lesquels la facture est identique quel que soit le nombre de vulnérabilités identifiées.


E-Book: Bug Bounty, le guide ultime pour un programme réussi

Apprenez comment mettre en place votre Bug Bounty, le rendre attractif et mobiliser les hackers pour identifier des vulnérabilités à haut risque.

TÉLÉCHARGEZ L'E-BOOK !

6. Un ROI mesurable

Convaincre la direction d’allouer des budgets à la cybersécurité est une problématique récurrente pour bon nombre de RSSI et de responsables de la sécurité. Celle-ci est encore trop souvent considérée comme une dépense plutôt que comme un investissement nécessaire. Là, le bug bounty a l’avantage d’être un test de sécurité avec un retour sur investissement mesurable.

Les vulnérabilités sont évaluées en fonction de leur criticité, de leur typologie, de leur nombre et de leur valeur financière, qui dépend directement de leur impact si elles avaient été exploitées par un acteur malveillant. Par ailleurs, le modèle économique tout entier du bug bounty est avantageux des organisations, puisqu’il n’y a aucune dépense en l’absence de résultats.

Cette capacité à quantifier l’efficacité et les résultats est un véritable atout pour les RSSI qui souhaitent valoriser la sécurité auprès des corps dirigeants. Un bug bounty efficace devrait permettre à n’importe quel responsable de la sécurité de dire : “Ce trimestre, nous avons dépensé tant pour pour identifier X vulnérabilités, ce qui nous a permis d’éviter X potentielles attaques qui auraient pu coûter tant à l’entreprise.

7. Une formation passive des développeurs à la sécurité

Le bug bounty présente d’autres avantages tangibles bien que difficilement quantifiables. On pense notamment à la sensibilisation et la formation des équipes de développement aux sujets de cybersécurité.

Une sensibilisation car le bug bounty rend les vulnérabilités réelles pour les équipes métier. Une mise en production de leur code signifie que les chercheurs seront là pour en identifier les faiblesses. Il y a donc une incitation à produire un code sécurisé, puisqu’il y a l’assurance que de multiples chercheurs seront là pour en sanctionner la robustesse.

Une formation passive car les développeurs peuvent monter en compétences sur les sujets de sécurité au contact des chercheurs. Le bug bounty permet un échange direct avec les chasseurs, qui peuvent donner des conseils sur les mesures correctives à apporter.

“Les chercheurs Yogosha ont une certaine éthique, et ils partagent leur expérience aux équipes de développement. Avec le bug bounty, on améliore le savoir-faire et la sensibilité des développeurs chez nous. C’est un effet de formation continue.” – Philippe Puyou Lascassies, RSSI chez Teréga

Les faiblesses du bug bounty

Maintenant que nous avons vu les forces du bug bounty, passons à ses faiblesses. Eh oui, le bug bounty n’est pas un test miracle exempt de tout défaut.

1. Une méthode inadaptée aux périmètres jeunes

Disons les choses clairement. Le bug bounty ne se destine pas aux actifs qui n’ont pas acquis une maturité suffisante en matière de sécurité numérique.

Il est impératif de contrôler les actifs à l’aide d’autres formes de tests, tels que le pentest ou les scanners automatiques, avant de les soumettre à un bug bounty. Ces tests préliminaires permettent d’éliminer le “gros” des vulnérabilités, les plus courantes et les plus faciles à détecter.

Lancer un bug bounty sur un périmètre trop jeune, c’est prendre le risque de recevoir beaucoup trop de rapports de vulnérabilités. Et cela vient généralement avec trois inconvénients :

  • un travail de triage et d’analyse des rapports chronophage pour les équipes de sécurité – pour peu que la tâche n’ait pas été déléguée à la plateforme de bug bounty ;
  • un travail de remédiation soudainement trop important pour les équipes de développement, dont le moral et les performances peuvent être affectés ;
  • une facture salée pour l’organisation, puisque chaque rapport valide ouvre droit à une récompense, là où la plupart des vulnérabilités évidentes auraient pu être défrichées pour un coût fixe avec un pentest.

Le bug bounty est en revanche idéal pour tester des environnements matures, où se cachent des vulnérabilités complexes et chronophages à débusquer.

Lire aussi : Pentest vs Bug Bounty, quelle approche choisir ?

2. Un exercice exigeant pour les organisations

Le bug bounty est une méthode de détection des vulnérabilités redoutablement efficace, mais aussi très exigeante pour les organisations.

Disons les choses grossièrement : avec un pentest, il suffit de payer un prestataire et de le laisser faire. Avec le bug bounty, les entreprises doivent investir du temps et des ressources humaines, techniques et financières. Pour être efficace, le bug bounty appelle une bonne compréhension de l’exercice ET une bonne connaissance du niveau de sécurité de ses propres environnements.

Il est essentiel de se demander si le bug bounty est le test le plus pertinent pour vos environnements (cf. le point précédent), mais aussi si vous avez les ressources nécessaires à sa bonne mise en œuvre. Voilà quelques questions à se poser avant de se lancer dans l’aventure :

  1. Mes équipes métiers ont-elles la bande passante nécessaire à la remédiation des vulnérabilités découvertes ?
  2. Quel est le budget que je peux allouer aux récompenses du bug bounty, et est-il suffisant pour motiver les chercheurs à participer à mon programme ? Est-il compétitif par rapport aux autres programmes dans mon secteur d’activité ?
  3. Qui sera chargé du triage et de la qualification des rapports de vulnérabilités reçus ?
  4. Qui sera chargé de la communication avec la communauté des chercheurs ?

A noter que les deux derniers points peuvent être adressés grâce à un programme de bug bounty managé. Dans ce cas, c’est la plateforme de bug bounty elle-même qui s’occupe de la communication avec ses hackers et du triage des rapports.

3. Un test qui introduit un élément de hasard

Ce n’est pas vraiment un inconvénient du bug bounty – à vrai dire, c’est plutôt une force – mais cela peut être déroutant si l’on n’y est pas préparé.

Se lancer dans le bug bounty, c’est accepter une part d’inconnu. Et c’est précisément la force du bug bounty : il introduit un élément de hasard qui fait défaut aux approches plus méthodologiques comme les tests d’intrusion. Avec le bug bounty, on sait ce que l’on cherche (des vulnérabilités critiques et de grande valeur), mais on ne sait pas ce que l’on va trouver, ni comment.

Un bug bounty bien construit permet de cadrer l’exercice et d’orienter les détections. Le programme indique aux hackers ce qu’ils peuvent et ne peuvent pas faire, mais il est important de leur laisser une certaine liberté. Le bug bounty est un test qui doit être relativement flexible et accepter un certain degré d’aléatoire. Ce n’est qu’à cette condition qu’il peut être réellement efficace.

Les avantages et inconvénients du bug bounty en bref

Le bug bounty est une approche du test de sécurité qui présente de nombreux avantages, dont :

  • la force du nombre apportée par la communauté des hackers éthiques ;
  • la diversité de leurs compétences ;
  • une approche continue et flexible de la sécurité des actifs ;
  • une détection des vulnérabilités critiques en profondeur ;
  • une logique de paiement aux résultats avantageuse pour les organisations ;
  • un ROI mesurable qui permet de valoriser la sécurité auprès des corps décisionnaires ;
  • une sensibilisation et une formation des équipes de développement aux sujets de cybersécurité.

Pour autant, le bug bounty n’est pas une recette miracle, à prescrire sans condition à tous les actifs numériques. Il s’agit d’une approche du test de sécurité qui doit être réfléchie en amont et intégrée dans une stratégie de sécurité globale. Le bug bounty doit compléter mais non remplacer les autres formes de tests, comme les pentests et les scanners de vulnérabilités.

Un programme de bug bounty doit être bien pensé et bien construit. Il doit être adapté aux objectifs de sécurité de l’entreprise, à ses spécificités organisationnelles, à ses ressources et à son expérience. Un programme mal conçu peut rapidement devenir un fardeau plutôt qu’un atout. Il est judicieux de faire appel à des experts, et il est essentiel de bien choisir sa plateforme de bug bounty.

Le bug bounty est un test de sécurité qui peut faire des merveilles, à condition d’être réalisé dans les règles de l’art. Il faut tenir compte de nombreuses considérations et il n’est pas recommandé de se lancer tête baissée dans l’exercice.

C’est pourquoi, pour ceux qui veulent se lancer dans l’aventure, nous avons élaboré un guide complet du bug bounty pour un programme réussi.