Bug Bounty

Terme	Définition
Bug Bounty	Un bug bounty est constitué par un programme permettant à des personnes de recevoir reconnaissance et compensation après avoir reporté des bugs, anomalies, exploits et vulnérabilités sur des sites web, applications ou systèmes informatiques. Historiquement, le premier Bug Bounty a été mis en place en 1995 par Netscape sous la forme d’un programme récompensant les personnes capables de remonter des failles de sécurité présentes dans son navigateur. Il faudra ensuite attendre 2004 pour que Mozilla propose $500 de récompense à quiconque trouverait une faille dans le navigateur Firefox. En 2010 Google inaugure à son tour son programme de Bug Bounty concernant l'ensemble de ses outils et services en ligne. Un programme de Bug Bounty permet aux développeurs de découvrir et de corriger des bugs avant que le grand public en soit informé, évitant ainsi l'utilisation malveillante d'un système perfectible. A défaut d'utiliser un système de bug bounty, pour identifier des failles de sécurité il est nécessaire de faire appel à une société cyber qui effectuera un audit, mais qui ne sera valable qu’à un instant T: il sera nécessaire de le reconduire régulièrement, ce qui peut être contraignant tant en terme de moyens humains, de temps que de budget. Les avantages d’un programme de Bug Bounty sont des tests de sécurité en continu, c'est à dire potentiellement possibles en 24h/24, et effectués par un nombre importants d'experts, et tout ceci à moindre coût.

Terme

Définition

Un bug bounty est constitué par un programme permettant à des personnes de recevoir reconnaissance et compensation après avoir reporté des bugs, anomalies, exploits et vulnérabilités sur des sites web, applications ou systèmes informatiques.

Historiquement, le premier Bug Bounty a été mis en place en 1995 par Netscape sous la forme d’un programme récompensant les personnes capables de remonter des failles de sécurité présentes dans son navigateur. Il faudra ensuite attendre 2004 pour que Mozilla propose $500 de récompense à quiconque trouverait une faille dans le navigateur Firefox. En 2010 Google inaugure à son tour son programme de Bug Bounty concernant l'ensemble de ses outils et services en ligne.

Un programme de Bug Bounty permet aux développeurs de découvrir et de corriger des bugs avant que le grand public en soit informé, évitant ainsi l'utilisation malveillante d'un système perfectible. A défaut d'utiliser un système de bug bounty, pour identifier des failles de sécurité il est nécessaire de faire appel à une société cyber qui effectuera un audit, mais qui ne sera valable qu’à un instant T: il sera nécessaire de le reconduire régulièrement, ce qui peut être contraignant tant en terme de moyens humains, de temps que de budget.

Les avantages d’un programme de Bug Bounty sont des tests de sécurité en continu, c'est à dire potentiellement possibles en 24h/24, et effectués par un nombre importants d'experts, et tout ceci à moindre coût.