Aller au contenu principal

Bug bounty

Un bug bounty rémunère des chercheurs indépendants à la vulnérabilité trouvée, dans un cadre contractuel défini. Il complète le pentest, mais ne le remplace pas.

Un programme de bug bounty invite des chercheurs en sécurité indépendants à tester un périmètre défini, et les rémunère à la vulnérabilité valide, selon un barème croissant avec la criticité. Des plateformes comme YesWeHack ou HackerOne servent d’intermédiaires : elles fixent le cadre juridique, gèrent le triage des rapports et le paiement des primes. Le modèle inverse la logique de l’audit : on ne paie pas un temps de travail, on paie un résultat.

Ses forces sont réelles : une diversité de profils et de techniques qu’aucune équipe seule ne réunit, une pression continue plutôt qu’un passage annuel, et un coût aligné sur les découvertes. Mais ses limites le sont tout autant. Rien ne garantit la couverture, les chercheurs allant naturellement vers les cibles les plus rentables ; il n’existe pas de rapport d’assurance attestant que le périmètre a été testé méthodiquement ; et le triage des doublons comme des rapports hors sujet demande une équipe interne déjà rodée.

Le bug bounty complète donc un test d’intrusion, il ne s’y substitue pas : le pentest apporte l’exhaustivité méthodique sur un périmètre daté, exigible par un client ou un régulateur, le bounty ajoute la profondeur du temps long. Notre article sur le déroulement d’un pentest montre ce que couvre l’exercice méthodique, et un pentest web blackbox reste le point de départ avant d’ouvrir un programme public.

Termes liés

Les définitions posent le vocabulaire, mais rien ne remplace un état des lieux concret. Si vous voulez savoir ce que ces concepts donnent sur votre propre périmètre, notre plateforme EASM cartographie votre surface d’attaque externe à partir d’un simple nom de domaine, et notre équipe répond sous 24 heures via la page contact.

    Bug bounty : définition | own2pwn