Les plateformes de bug bounty sont des espaces permettant de connecter des chercheurs en sécurité et des organisations dans le but de signaler des vulnérabilités dans les systèmes de ces organisations, en échange d’une récompense pour les chercheurs. Ces plateformes gagnent en popularité pour les entreprises, car elles fournissent de nombreux avantages, notamment pour la gestion de leur politique de sécurité et pour la sécurité de leurs systèmes. En effet, elles permettent de maximiser les chances de trouver des problèmes de sécurité en s'appuyant sur les compétences externes des chercheurs et de minimiser le risque que des acteurs malveillants exploitent ces vulnérabilités. Dans cet article, nous allons, entre autres, voir les avantages qu’offrent les plateformes de bug bounty ainsi que les différents types de plateformes disponibles sur le marché.
Dans cet article, nous allons explorer le monde des plateformes de bug bounty et des programmes qu’elles proposent. Nous allons expliquer ce que sont ces plateformes et comment elles fonctionnent. Nous discuterons également des différents types de plateformes de bug bounty, y compris les programmes publics, privés, gouvernementaux, d'entreprise et de divulgation de vulnérabilités. Aussi, nous examinerons les avantages et les inconvénients de chaque type de plateforme et leur pertinence pour les entreprises qui cherchent à améliorer leur sécurité. Enfin, nous aborderons également la norme security.txt, qui permet aux chercheurs de signaler les vulnérabilités qu'ils trouvent sur un site web en fournissant des informations sur la manière de contacter l'entreprise concernée.
1. Qu’est-ce qu’une plateforme de bug bounty ?
Une plateforme de bug bounty est un espace en ligne qui permet à des développeurs ou bien des entreprises de mettre en place des programmes…
- Accédez à tous les contenus de Connect en illimité
- Découvrez des listes de lecture et des contenus Premium
- Consultez les nouveaux articles en avant-première
[YWH] Programmes publics sur la plateforme YesWeHack :
https://yeswehack.com/programs
[DISC] Vulnerability Disclosure :
https://cheatsheetseries.owasp.org/cheatsheets/Vulnerability_Disclosure_Cheat_Sheet.html
[FULL] Full-time bug hunting :
https://www.helpnetsecurity.com/2020/04/07/bug-hunting-career/
[PROG] Understanding bug bounties and vulnerability programs :
https://www.hackerone.com/vulnerability-management/understanding-public-and-private-bug-bounties-and-vulnerability-disclosure
[FRAN] Résultats du bug bounty 2022 :
https://www.defense.gouv.fr/ema/actualites/resultats-du-bug-bounty-2022
[SECU] security.txt : https://securitytxt.org
[GOOG] Bug bounty Google :
https://www.linformaticien.com/magazine/cybersecurite/60633-bug-bounty-une-annee-record-a-12-millions-de-dollars-pour-google.html
