Pour déceler les failles au niveau de leur système informatique, les entreprises se passent de contacter un professionnel de la cybersécurité pour mettre en place un programme de Bug Bounty. Avec cette solution, le taux de découverte des vulnérabilités s’avère plus élevé. Pour lancer un tel programme, faut-il encore savoir comment il fonctionne. C’est ce que nous avons expliqué ici.
Proposer une récompense pour signaler un bug
Le principe d’un programme de Bug Bounty est de proposer de l’argent en guise de récompense à des hackers afin qu’ils détectent des bugs au niveau du système de sécurité d’une entreprise. Une telle rétribution s’évalue à quelques milliers voire plusieurs millions d’euros.
Elle est définie sur la base du niveau de dangerosité du bug. En dehors de la gratification, l’entreprise définit aussi dans le cadre du lancement du programme de bugbounty les contours de la recherche. Lors de la détection des failles de sécurité, il est en effet possible que certaines données soient divulguées.
Dans une optique de confidentialité, il est alors important que la structure concernée précise les types de tests que les hackers doivent effectuer de même que les systèmes qu’ils doivent parcourir.
Analyser le rapport fourni par le hacker
Lorsqu’un programme de Bug Bounty est lancé, n’importe quel hacker peut y intervenir. Parfois, c’est l’entreprise elle-même qui invite les chasseurs de bug. Toutefois, lorsque l’un des hackers intervenant sur le projet réussit à trouver une faille, il doit produire un rapport.
Dans ce document, le chasseur doit fournir toutes les informations permettant de convaincre l’entreprise de sa sévérité. Lorsque la société est impressionnée par le contenu du rapport après l’avoir reçu, elle récompense le hacker.
Dans la suite, l’entreprise va charger les développeurs de son équipe de corriger la faille détectée. Un test est finalement réalisé pour s’assurer que le problème est résolu.