Skip to main content

Un bug bounty mutualisé pour tester les logiciels les plus utilisés par les collectivités territoriales françaises, débusquer des vulnérabilités et renforcer la sécurité numérique des villes et des citoyens.

Depuis juin et jusqu’à décembre, une cinquantaine de hackers d’élite Yogosha – dont certains sont habilités par le Ministère de l’Intérieur – vont œuvrer ensemble à renforcer la cybersécurité des collectivités territoriales.

L’objectif ? Débusquer des vulnérabilités dans les quinze applications les plus utilisées par les villes françaises, sélectionnées par le Club des RSSI et le COTER Numérique. Un logiciel de gestion des files d’attente, une plateforme administrative pour les inscriptions en crèche… Autant de logiciels utilisés dans tous le pays. Avec une seule et même opération, c’est donc la sécurité de tous les citoyens qui est renforcée.

Un même bug bounty pour sécuriser toutes les collectivités, financé par le plan France Relance

La mutualisation de ce programme de bug bounty permet de renforcer, d’un coup d’un seul, la sécurité numérique de toutes les collectivités territoriales sans qu’elles n’aient à engager des dépenses individuelles. L’opération a été financée à hauteur de 70% par le volet cybersécurité du plan France Relance, avec le soutien de l’ANSSI et l’implication particulière de :

  • la ville de Boulogne-Billancourt et son DSI, Christophe Vergeron ;
  • la ville de Chelles et son DSI, Antoine Trillard ;
  • Toulouse Métropole et son RSSI, Grégory Bouet ;
  • du Club des RSSI avec Philippe Steuer, RSSI de Bordeaux Métropole.

Outre l’intérêt de la mutualisation du programme, le modèle même du bug bounty permet de n’engager des dépenses que pour des résultats concrets. Chaque hacker éthique qui trouve une vulnérabilité exploitable reçoit une prime financière en conséquence. Le montant dépend de la criticité de la faille, et donc du danger qu’elle représente pour les collectivités.

Accompagner et sensibiliser les éditeurs de logiciels

Tout au long du bug bounty, les éditeurs des logiciels testés seront accompagnés par Capgemini qui aura :

  • un rôle de soutien dans le triage des rapports envoyés par les hackers ;
  • un rôle de conseil dans la remédiation des vulnérabilités mises à jour ;
  • un rôle d’accompagnement des équipes de terrain dans l’adoption du bug bounty, et dans la relation avec la communauté des hackers éthiques.

Outre ses retombées directes, ce bug bounty permettra également de sensibiliser tous les éditeurs des logiciels utilisés par les villes françaises. Au total, ils sont à l’origine de plus d’une centaine de solutions à destination des collectivités, qui traitent quotidiennement les données de tous les citoyens. Puisque le risque est réel, la responsabilité l’est aussi.

La cybersécurité, ce n’est pas seulement protéger des systèmes et des logiciels, c’est aussi protéger les citoyens. Une ville se doit d’assurer la sécurité numérique comme elle assure la sécurité des personnes. C’est quelque chose qui peut être difficile à comprendre, mais c’est pourtant essentiel. La cybersécurité, c’est quelque chose qui doit faire partie intégrante de la politique d’une ville.

– Christophe Vergeron, Directeur des Systèmes d’Information à la mairie de Boulogne-Billancourt

En résumé, ce bug bounty mutualisé permet de :

  • renforcer la sécurité numérique de toutes les villes du pays avec un seul programme de sécurité
  • et une seule dépense pour toutes les collectivités, financée à hauteur de 70% par le plan France Relance.