Bug Bounty

Historiquement, le premier Bug Bounty a été mis en place en 1995 par Netscape sous la forme d’un programme récompensant les personnes capables de remonter des failles de sécurité présentes dans son navigateur. Il faudra ensuite attendre 2004 pour que Mozilla propose $500 de récompense à quiconque trouverait une faille dans le navigateur Firefox. En 2010 Google inaugure à son tour son programme de Bug Bounty concernant l'ensemble de ses outils et services en ligne.

Un programme de Bug Bounty permet aux développeurs de découvrir et de corriger des bugs avant que le grand public en soit informé, évitant ainsi l'utilisation malveillante d'un système perfectible. A défaut d'utiliser un système de bug bounty, pour identifier des failles de sécurité il est nécessaire de faire appel à une société cyber qui effectuera un audit, mais qui ne sera valable qu’à un instant T: il sera nécessaire de le reconduire régulièrement, ce qui peut être contraignant tant en terme de moyens humains, de temps que de budget.

Les avantages d’un programme de Bug Bounty sont des tests de sécurité en continu, c'est à dire potentiellement possibles en 24h/24, et effectués par un nombre importants d'experts, et tout ceci à moindre coût.