Secu
Porté par la pandémie, le Bug Bounty est en plein boom…
Par Laurent Delattre, publié le 22 septembre 2020
Le nouveau rapport annuel HackerOne trace un portrait de l’univers du hacking éthique et du succès croissant du Bug Bounty partout dans le monde, y compris dans une Europe restée longtemps sceptique sur la pratique.
Doucement mais surement, le Bug Bounty s’impose dans le paysage de la cyber résilience des entreprises. Les responsables de la sécurité s’associent à des pirates éthiques pour rendre leurs services, logiciels et infrastructures plus sûrs. Avec comme objectif de renforcer leurs défenses outillées grâce à la créativité humaine des pirates informatiques.
Boostée par la pandémie et ses multiples impacts en matière de cybersécurité, cette pratique connaît même une croissance exponentielle dans certaines régions du monde. En APAC (Asie Pacifique), elle a été de 93% par rapport à l’an dernier, et de 72% en Amérique latine.
À l’échelon mondial, les primes allouées d’une année sur l’autre ont augmenté de 87%.
Une pratique qui fonctionne parce que le ROI est parlant : selon IBM et le Ponemon Institute, le coût moyen d’un vol de données s’élève en 2020 à 3,86 millions de dollars. En revanche, le coût d’une vulnérabilité découverte par un hacker éthique et validée par le RSSI et ses équipes est en moyenne de 979 dollars (par vulnérabilité).
Partout dans le monde, la communauté de hackers s’accroît en taille, en compétences mais aussi en gains : 9 hackers (dans 7 pays différents!) ont dépassé les 850 000 euros de revenus annuels. Toutes les 108 secondes, un hacker éthique découvre une vulnérabilité quelque part dans le monde.
Durant le confinement, les hackers ont découvert et rapporté 28% de plus de vulnérabilités par mois qu’avant le début de la pandémie.
Des centaines de milliers de hackers éthiques utilisent les plateformes de Bug Bounty pour acquérir de précieuses compétences, faire progresser leur carrière, gagner de l’argent honnêtement, défier leur curiosité et passer du temps avec des personnes partageant les mêmes idées : l’Organisation mondiale de la santé a ainsi reçu 30 000 dollars de dons des hackers via le programme Hack for Good de HackerOne.
Le nouveau rapport de HackerOne, qui porte sur l’activité de sa communauté de hackers durant les 12 derniers mois, trace un portrait de ce marché du hacking éthique en 2020.
* 40% des hackers éthiques en ont fait leur activité à plein temps. Pour 53% des hackers, les gains liés à leurs activités de hacking représentent plus de la moitié de leurs revenus.
* un programme de bug Bounty coûte en moyenne aux entreprises 3 100 euros avec un coût moyen de 831 € par vulnérabilité découverte, commentée et validée.
* les entreprises qui pratiquent le Bug Bounty continuent à privilégier les programmes privés (limités à des hackers sélectionnés et identifiés) plutôt que les programmes publics (ouverts à tous). 81% des programmes lancés sur HackerOne sont privés, un chiffre constant par rapport à l’an dernier. Toutefois, il est important de noter que les entreprises optant pour des programmes publics reçoivent en moyenne cinq fois plus de comptes-rendus de vulnérabilités valides que les programmes fermés.
* 38,2 millions d’euros ont été distribués en rémunération aux hackers à travers le monde (soit une augmentation significative de 87% en un an).
* Les USA restent le pays du Bug Bounty, celui dans lequel avoir le recours aux hackers éthiques est le mieux ancré dans les pratiques des entreprises, devant la Russie, l’Angleterre, Singapour et le Canada. À elles seules, les organisations américaines représentent 87% de la somme totale reversée aux hackers. Mais cette part est en diminution démontrant une acceptation croissante du Bug Bounty à l’international. Ainsi, la France a augmenté le total de ses rémunérations aux hackers éthiques de 297%, l‘Espagne de 307% et la Chine de 582%.
* Le total des primes reversées par les entreprises européennes s’élève à plus de 3,17 millions d’euros en augmentation de 86% par rapport à l’an dernier.
* Enfin, dernière information pratique, les principales vulnérabilités mises à jour par les hackers dans les programmes de Bug Bounty européens tournaient principalement autour du cross-scripting (XSS), de la brèche de données, de contrôles d’accès inappropriés, d’authentifications mal gérées, et de violation des principes de base de la sécurité.
Finalement, ce rapport se révèle plutôt positif. L’adoption plus marquée des pratiques de Bug Bounty montre que les entreprises ont gagné en maturité sur le sujet. Elle montre également que la créativité des hackers reste un complément indispensable à l’empilement des outils de sécurité.