Bug bounty programme : guide pour PME et startups
Le bug bounty consiste à inviter des chercheurs en sécurité (hackers éthiques) à tester vos systèmes en échange de récompenses financières proportionnelles à la criticité des failles découvertes. Longtemps réservé aux géants du web (Google, Facebook, Microsoft), ce modèle est désormais accessible aux PME et startups grâce à des plateformes spécialisées. Voici comment créer et gérer votre premier programme.
Bug bounty vs pentest : des approches complémentaires
Le bug bounty ne remplace pas le pentest, il le complète. Le pentest est ponctuel, réalisé par une équipe dédiée sur un périmètre défini et dans une durée limitée. Le bug bounty est continu, réalisé par une communauté de chercheurs de profils variés, sans limite de temps. Le pentest est idéal pour une évaluation exhaustive avant une mise en production ou une certification. Le bug bounty est optimal pour une surveillance continue en production, avec un paiement à la performance (on ne paye que pour les failles réellement trouvées).
La recommandation : commencez par un pentest pour atteindre un niveau de maturité suffisant, puis lancez un programme bug bounty pour maintenir cette sécurité dans la durée. Lancer un bug bounty sur un système non audité au préalable expose à recevoir un volume de rapports ingérable.
Choisir sa plateforme bug bounty
HackerOne est le leader mondial avec 1,5 million de chercheurs. Idéal pour les grandes entreprises cherchant une exposition maximale. Frais de plateforme élevés (25-35 % des récompenses versées) mais réseau de hackers validés très large.
YesWeHack est l'acteur européen de référence, basé en France. RGPD compliant par design, communauté de 50 000+ chercheurs européens, interface en français, support francophone. Idéal pour les PME et ETI françaises. Modèle flexible : programme public ou privé sur invitation.
Intigriti est la plateforme belge montante, forte communauté européenne, bonne réputation sur la qualité des rapports soumis.
Pour une première expérience, un programme privé sur invitation sur YesWeHack ou Intigriti est recommandé : vous invitez un nombre limité de chercheurs qualifiés, réduisant le volume de rapports et vous donnant le temps de structurer votre processus de triage.
Définir la portée et les règles du programme
La définition du périmètre (scope) est critique. Soyez précis sur ce qui est in scope (domaines et applications testables) et ce qui est out of scope (systèmes de production critiques, services tiers, infrastructure cloud partagée). Une portée trop large sur un premier programme est source de chaos. Commencez par votre application web principale ou votre API publique.
Les règles à définir : types de tests autorisés (exclure les attaques DoS), exigences sur les rapports (preuve de concept obligatoire, description de l'impact), délais de réponse engagés de votre côté (accusé de réception sous 24h, triage sous 72h, correction et paiement dans un délai défini). Les chercheurs font confiance aux programmes qui respectent leurs engagements.
Structurer les récompenses (primes)
Les primes sont généralement structurées par niveau de criticité CVSS : Critique (9.0-10.0) : 2 000 à 10 000 € ; Élevé (7.0-8.9) : 500 à 2 000 € ; Moyen (4.0-6.9) : 100 à 500 € ; Faible (0.1-3.9) : 0 à 100 € (ou hall of fame uniquement). Adaptez ces fourchettes à votre secteur et à la valeur de vos actifs. Un programme fintech ou santé justifie des primes plus élevées qu'un site e-commerce standard.
Budget indicatif pour une PME : prévoyez entre 10 000 et 30 000 € par an pour un programme actif, incluant les récompenses et les frais de plateforme. Ce budget est très inférieur au coût d'un incident lié à une faille non détectée.
Gérer les rapports et la relation avec les chercheurs
La gestion des rapports requiert une équipe dédiée au triage. Pour chaque rapport reçu : accuser réception immédiatement, évaluer la validité (reproductible ? hors scope ?), évaluer la criticité avec un score CVSS, planifier la correction, notifier le chercheur à chaque étape, et payer rapidement une fois la correction déployée. La transparence et la réactivité fidélisent les meilleurs chercheurs.
Certains rapports seront des duplicatas ou des faux positifs — traitez-les avec respect. La communauté bug bounty est interconnectée et la réputation de votre programme influence sa visibilité et la qualité des chercheurs qui y participent. Un programme bien géré peut devenir un véritable avantage concurrentiel en matière de sécurité et d'image.