Dans le cadre d’une conférence tenue mardi, Florence Parly, Ministre française de la Défense, a annoncé la mise en place fin février d’un programme de « Bug Bounty ». Centré sur l’Armée, ce dernier a pour objectif de laisser à des « hackeurs éthiques », membres de la Réserve de Cyberdéfense, le soin de déceler bugs, erreurs de conception et autres failles présents dans les systèmes de la Défense. Principe de « Bug Bounty » oblige, une prime, dont le montant est proportionnel à l’importance de l’anomalie repérée, sera versée aux hackers à l’origine de découvertes permettant d’améliorer la sécurité des logiciels utilisés par l’Armée. Un protocole très stricte encadre par ailleurs le versement de ces récompenses, tandis que les défaillances découvertes, elles, ne peuvent être dévoilées qu’après le déploiement d’un correctif adapté.

Comme détaillé par nos confrères de Numerama, cette initiative s’inscrit dans le cadre d’un accord signé entre le Commandement de Cyberdéfense et la plateforme privée Yes We Hack, justement spécialisée dans la chasse aux bugs et les offres d’emploi relatives à la sécurité informatique.

En novembre dernier, la société faisait ainsi l’objet d’un article du quotidien régional Ouest France. On apprenait notamment que la France tombait sous le coup d’une véritable « pénurie de spécialistes en cyberdéfense et en cybersécurité« , et que Yes We Hack cherchait pour sa part « de bons voir de très bons hackers » pour renforcer ses rangs, assurant d’ailleurs préférer les compétences aux diplômes. Une approche pratique, quasi terre à terre, qui a su faire son succès depuis son arrivée en France début 2016.

Le « Bug Bounty » : une méthode de détection des failles très appréciée dans le privé

En lançant son propre programme de chasse aux bugs, le Ministère de la Défense marche dans les pas d’une longue liste de société privées qui se sont d’ores et déjà tournées vers le « Bug Bounty » pour améliorer la sécurité de leurs services.

En avril dernier, BlaBlaCar étendait ainsi son programme de « Bug Bounty », jusque alors privé, au domaine public. Une initiative qui soulignait un certain changement de mentalité en France, alors que les intrusions « altruistes », acceptées et souvent valorisées outre-atlantique, peinent encore à être reconnues à leur juste valeur sous nos latitudes.

Plus récemment, c’est le géant américain Microsoft qui annonçait la mise en place d’un programme de chasse aux bugs pour aider à la lente sécurisation de son service Azure DevOps. Des primes allant jusqu’à 20.000 dollars étaient notamment promises aux hackers capables d’identifier des failles permettant d’injecter du code à distance dans les systèmes de la plateforme.

Considérés par certains comme le « système immunitaire d’internet », les hackers tendent peu à peu à devenir des recrues de choix pour les entreprises spécialisées dans la sécurité informatique. Un sujet que nous avions abordé dans le détail au travers d’un article publié ici.