Secu
Les entreprises se convertissent au Bug Bounty et aux hackers éthiques
Par Laurent Delattre, publié le 11 février 2021
Contrairement à leurs homologues américaines, les entreprises européennes n’ont jamais vu d’un bon œil l’idée de soumettre leurs nouveaux produits et infrastructures à une horde plus ou moins contrôlée de hackers… Mais les choses changent…
Les plateformes de Bug Bounty et leurs milliers de hackers « éthiques » ont le vent en poupe comme le montrent les résultats de la plateforme YesWeHack, leader européen du Bug Bounty.
La plateforme a vu en 2020 son nombre de programmes (campagnes de recherches de vulnérabilités) augmenter de 120% en un an. Et ses hackers ont découvert deux fois plus de vulnérabilités en 2020 qu’en 2019.
La plateforme compte désormais 21 000 hackers répartis dans 170 pays (53% des hackers YesWeHack sont européens) et attire de plus en plus de prétendants puisqu’elle comptabilise entre 400 et 500 nouveaux chasseurs de failles par mois.
La formule du Bug Bounty semble fonctionner de mieux en mieux : 85% des bugs et anomalies soulevés par les hackers ont été validés par les entreprises comme de véritables vulnérabilités et ont donc enclenché le versement de primes.
La prime la plus importante versée à un hacker en 2020 sur YesWeHack s’est montée à 10 000 €. De quoi donner envie à plus d’un « grey hacker » à revenir dans le droit chemin et mettre ses capacités au service de la bonne cause : des logiciels et services d’entreprise plus fiables.
Le secteur des technologies est celui qui fait le plus appel à la plateforme (35% des programmes) mais le principe du bug bounty se démocratise désormais dans d’autres secteurs à commencer par celui des « services financiers et assurances » (26% de programmes), celui « des commerces et de la distribution » (13%) ainsi que celui des médias et du divertissement (6%). En revanche les programmes provenant des organismes gouvernementaux ne comptent que pour 4% des programmes déclenchés en 2020.
De même, la plateforme note que les entreprises sont de plus en plus volontaires et réactives : ainsi 55% des vulnérabilités découvertes sont vérifiées et rétribuées moins d’une semaine après la soumission du rapport et 75% des vulnérabilités sont payées moins de 24H après avoir été validées et acceptées.
Autre information qui confirme cet investissement des entreprises, 70% des vulnérabilités remontées en 2020 ont été corrigées dans les 28 jours qui ont suivi leur validation !
La plateforme indique que le délai moyen entre l’identification et la correction s’est réduit de 109 jours en 2019 à 44 jours seulement en 2020.
Et les plateformes de Bug Bounty pèsent désormais de plus en plus dans la divulgation de vulnérabilités et leur résolution.
Autre bonne nouvelle, YesWeHack (qui est l’une des plus récentes plateformes de Bug Bounty et l’une des rares d’origine européenne) est désormais internationalement reconnue et figure dans le Top 5 mondial (avec le leader mondial HackerOne mais aussi BugCrowd, OpenBugBounty, et SynAck).
Les données produites par YesWeHack confirment une tendance générale en faveur du Bug Bounty qui se démocratise dans les entreprises et dans les organismes nationaux, européens et internationaux. Typiquement, Google a annoncé cette semaine avoir payé 6,7 millions de dollars de primes aux chasseurs des plateformes de bug bounty en 2020 (dont 400 000 à un même hacker ayant remonté deux vulnérabilités sur ses systèmes)!