Quelle différence entre bug bounty et pentest ?

Deux approches complémentaires. Le pentest est une mission à durée limitée (5 à 15 jours typiquement) réalisée par un cabinet avec un périmètre précis, aboutissant à un rapport structuré et facturée au forfait ou en régie. Le bug bounty est un programme permanent ou de longue durée où une communauté ouverte de chercheurs cherche en continu, sans limite de temps, et n'est rémunérée que si elle trouve une vulnérabilité valide. Le pentest garantit une couverture systématique selon une méthodologie ; le bug bounty offre un nombre de regards bien plus élevé mais sans garantie de couverture. Les deux ne couvrent pas les mêmes risques : le pentest trouve des failles courantes et permet de vérifier un niveau minimum, le bug bounty trouve souvent des failles plus créatives et inhabituelles grâce à la diversité des profils. Les organisations matures combinent les deux : pentests réguliers + bug bounty en continu.

Combien peut-on gagner avec le bug bounty ?

Très variable. Les récompenses typiques s'étagent de 50 € pour une faille basse à 50 000 € et plus pour une faille critique. Sur les gros programmes (Google, Microsoft, Meta, Apple), les récompenses les plus élevées atteignent plusieurs centaines de milliers de dollars, voire plus d'un million pour des chaînes d'exploit iOS/Android pré-authentifiées. En pratique, la majorité des chercheurs en bug bounty gagnent quelques milliers à quelques dizaines de milliers d'euros par an en complément d'une activité principale. Une minorité de top hunters vivent à temps plein du bug bounty avec des revenus annuels dépassant 100 000 €, parfois plusieurs centaines de milliers d'euros. La plateforme HackerOne a publié des statistiques montrant que des dizaines de chercheurs ont dépassé 1 M€ cumulé de récompenses sur leur carrière. Le revenu dépend fortement du niveau technique, du temps investi et de la chance.

Le bug bounty est-il légal en France ?

Oui, à condition de strictement respecter le périmètre et les règles définies par le programme. Le bug bounty fonctionne sur le principe d'une autorisation générale accordée par l'organisation aux chercheurs qui s'inscrivent au programme. Sortir du périmètre (tester une cible non autorisée, utiliser des techniques interdites comme le DDoS ou le social engineering sur les employés) fait perdre la protection de l'autorisation et expose aux articles 323-1 à 323-8 du Code pénal (accès frauduleux à un STAD). La loi République numérique de 2016 a ajouté une protection supplémentaire pour les chercheurs de bonne foi qui signalent une vulnérabilité à l'ANSSI même sans programme bug bounty déclaré — mais ne permet pas de tester sans autorisation. Les plateformes comme YesWeHack et HackerOne encadrent juridiquement les relations entre chercheurs et entreprises, protégeant les deux parties.

Comment commencer en bug bounty ?

Étapes typiques. (1) Acquérir les bases techniques : compréhension des applications web, OWASP Top 10, bases du réseau et de l'authentification. (2) Pratiquer sur des plateformes d'entraînement : Hack The Box, TryHackMe, PortSwigger Web Security Academy (excellent et gratuit), Root-Me, YesWeHack Dojo, HackerOne CTF. (3) Lire des rapports publics (write-ups) sur HackerOne Hacktivity, blogs de chercheurs comme Frans Rosén, InsiderPhD, NahamSec. (4) S'inscrire à plusieurs plateformes (YesWeHack, HackerOne, Bugcrowd, Intigriti) et commencer par des programmes VDP gratuits pour gagner en expérience. (5) Viser des programmes payants une fois à l'aise. Attendre 3-6 mois avant de gagner régulièrement. Les premiers rapports sont souvent fermés comme doublons ou non-valides — c'est normal. La persévérance est essentielle. Suivre la communauté sur Twitter/X, Discord et les conférences (LeHack, Nuit du Hack historiquement, DefCon, maintenant Hacktivity Conference).

Bug bounty : programme de récompense, plateformes et cadre légal

Origine moderne: Netscape 1995 — Mozilla 2004 — Google et Facebook 2010-2011
Plateformes leaders: HackerOne · Bugcrowd · YesWeHack (FR) · Intigriti
Types de programmes: VDP gratuit · Privé sur invitation · Public rémunéré
Récompenses typiques: De 50 € (low) à 50 000 €+ (critical)
Record mondial: Plus de 2 M$ pour des exploits iOS/Android chez Apple et Google

01 — DéfinitionQu'est-ce qu'un bug bounty ?

Source officielle : YesWeHack.

Un bug bounty (littéralement « prime au bug ») est un programme par lequel une organisation autorise officiellement des chercheurs en sécurité externes à tester ses systèmes, avec une rémunération proportionnée à la criticité des vulnérabilités découvertes et reportées de manière responsable.

Le concept existe depuis longtemps dans l'histoire du logiciel. Netscape a lancé en 1995 le premier programme formel, offrant des récompenses aux chercheurs trouvant des bugs dans son navigateur. Mozilla a relancé l'idée en 2004 avec une prime de 500$. Mais la véritable démocratisation a eu lieu en 2010-2011 avec les programmes de Google (Chromium) et Facebook (plateforme) qui ont montré la pertinence d'une approche crowdsourcée à grande échelle. Les premières plateformes mutualisées (HackerOne fondée en 2012, Bugcrowd en 2012, YesWeHack en 2013, Intigriti en 2016) ont ensuite structuré le marché.

Principe général

Une organisation définit un périmètre : quels actifs peuvent être testés, quelles techniques sont autorisées ou interdites.
Elle fixe une grille de récompenses par niveau de criticité.
Elle publie ces règles de l'engagement (scope, rules) sur une plateforme ou en direct.
Des chercheurs externes (bug hunters) s'inscrivent, testent et soumettent leurs découvertes.
L'équipe sécurité interne triage chaque rapport, valide, corrige, et rémunère le chercheur.
Le chercheur s'engage à divulgation responsable : pas de publication avant correction et autorisation.

Types de programmes

VDP — Vulnerability Disclosure Program

Programme non rémunéré : l'organisation accueille les signalements mais ne paie pas. Offre une reconnaissance (crédits, Hall of Fame), une autorisation légale de tester et un canal structuré pour signaler. De plus en plus d'organisations publiques et privées ouvrent un VDP comme première étape.

Programme privé sur invitation

L'entreprise invite des chercheurs sélectionnés à tester, avec récompenses. Permet de limiter le bruit, sélectionner des profils de qualité, tester progressivement avant d'ouvrir au public. La majorité des programmes matures commencent ainsi.

Programme public rémunéré

Ouvert à tous les chercheurs inscrits sur la plateforme. Maximise la diversité des regards et la couverture. Demande une organisation interne solide pour absorber le volume de rapports.

Programmes ponctuels / challenges

Événements limités dans le temps (week-end, mois) avec des récompenses bonus et parfois un événement en présentiel (live hacking event). Concentrent l'effort des meilleurs chercheurs sur un périmètre précis.

Le bug bounty n'est pas une solution magique qui remplace la sécurité interne. C'est une capacité complémentaire qui apporte un regard externe permanent. Un programme bug bounty mal préparé peut au contraire saturer les équipes et créer de la frustration côté chercheurs — il faut l'intégrer dans un dispositif global mature.

02 — FonctionnementLe cycle d'un rapport

Cycle type d'un rapport bug bounty

Inscription du chercheur à la plateforme et au programme.
Lecture des règles : scope, out-of-scope, techniques autorisées, grille de récompenses, délai de réponse attendu.
Recherche et découverte d'une vulnérabilité.
Reproduction et documentation : étapes précises, captures, proof of concept.
Soumission du rapport via la plateforme, avec classification CVSS et impact estimé.
Triage par l'équipe plateforme ou directement par l'entreprise : vérification, qualification, priorisation.
Réponse initiale : accusé de réception, statut, demande de précisions éventuelles.
Validation : confirmation de la reproductibilité, évaluation de la sévérité selon la grille.
Remédiation côté entreprise : correction développée et déployée.
Retest : le chercheur vérifie que la correction est efficace.
Paiement : versement de la récompense selon la grille.
Divulgation : publication éventuelle du rapport (après accord mutuel).

Rôles clés dans le cycle

Triage

Étape critique qui filtre les rapports de faible qualité, les doublons, les faux positifs. Peut être effectué par l'équipe interne ou par la plateforme (service payant, très utilisé). Un bon triage évite de saturer les développeurs internes avec des rapports sans valeur.

Responsable du programme

Côté entreprise, un responsable dédié (bug bounty program manager) pilote les relations avec la plateforme, la qualification des rapports, la gestion du budget, la communication avec les chercheurs. Souvent rattaché au RSSI ou au responsable sécurité applicative.

Chercheur

Profils variés : professionnels de la sécurité qui chassent en complément, étudiants, autodidactes, pentesters à plein temps. Les meilleurs se spécialisent parfois verticalement (OSINT, mobile, API, cloud, SSRF, IDOR, authentification).

Délais et SLA

Les bons programmes affichent des engagements de temps de réponse :

Réponse initiale : 1-3 jours ouvrés typiquement.
Triage : 3-7 jours ouvrés.
Remédiation critique : 7-30 jours selon criticité.
Paiement : 7-30 jours après validation finale.

Des délais trop longs ou des non-réponses frustrent les chercheurs et dégradent la réputation du programme. Les plateformes publient des indicateurs de performance (response efficiency).

Disputes et arbitrage

Désaccords fréquents : criticité contestée, vulnérabilité marquée comme doublon à tort, rapport fermé sans justification claire. Les plateformes proposent des mécanismes d'escalade : médiateurs, revue par des experts, règles de fair play. Réputationnellement, un programme qui traite ses chercheurs correctement attire les meilleurs.

03 — PlateformesLes acteurs du marché

YesWeHack — référence française et européenne

YesWeHack est la plateforme française leader du bug bounty en Europe. Fondée en 2015 à Rouen. Hébergement européen, conformité RGPD, souveraineté des données. Elle s'est imposée comme alternative européenne aux acteurs américains.

Plus de 50 000 chercheurs actifs en 2026.
Clients publics en France : Ministère des Armées, SNCF, Banque de France, agences gouvernementales via contrats directs.
Clients privés : OVHcloud, Doctolib, BlaBlaCar, Sopra Steria, Veolia et beaucoup d'autres.
Offres : bug bounty, VDP, pentest as a service (Pentest-as-a-Service), attack surface management.
Plateforme de formation YesWeHack Dojo (CTF gratuits).

HackerOne — leader mondial

HackerOne est la plus grande plateforme mondiale, basée à San Francisco. Fondée en 2012 par des anciens de Facebook et Microsoft.

Plus de 2 millions de chercheurs inscrits.
Clients majeurs : Google, Twitter/X, GitHub, Shopify, Uber, Department of Defense américain, Airbnb.
Plus de 300 millions de dollars cumulés versés aux chercheurs.
Services : bug bounty, VDP, pentest, code review.
Plateforme hacktivity publique qui permet de consulter beaucoup de rapports anonymisés (formation).

Bugcrowd — concurrent historique

Bugcrowd est l'autre acteur majeur américain, basé à San Francisco, fondé en 2012.

Communauté large de chercheurs.
Clients : Tesla, Mastercard, Cisco, Western Union, Atlassian, Netgear.
Forte orientation services managés autour du programme.
Spécialité : Next-Gen Pen Test, approche hybride bug bounty / pentest.

Intigriti — acteur européen

Intigriti, plateforme belge fondée en 2016, a pris une position forte en Europe. Souvent présentée comme alternative à HackerOne pour le marché européen.

Forte présence Benelux, croissance en France et Allemagne.
Communauté active, interface moderne.
Clients : Red Bull, Sixt, bpost, acteurs fintech européens.

Programmes directs

Les géants technologiques gèrent souvent leurs programmes en direct :

Apple Security Research : récompenses jusqu'à 2 M$ pour les chaînes d'exploit complètes.
Google Vulnerability Reward Program : couvre Android, Chrome, Cloud, produits Google. Plus de 50 M$ versés depuis 2010.
Microsoft Bug Bounty Programs : multiples programmes (Azure, Microsoft 365, Windows, Xbox).
Meta (Facebook) Bug Bounty : historique.
GitHub Security Bug Bounty : programme dédié à GitHub.com.

Programmes gouvernementaux

Hack the Pentagon (2016) : premier programme du DoD américain.
Hack the Army, Hack the Air Force : extensions aux différentes branches militaires US.
Programme de divulgation responsable de l'ANSSI : France, cadre VDP pour les systèmes de l'État.
EU-HackerOne : programmes pour les logiciels open source utilisés par les institutions européennes.

Autres acteurs à connaître

Synack : hybride bug bounty / pentest, communauté sélectionnée très rigoureuse.
Cobalt.io : pentest-as-a-service communautaire.
Federacy, Bountysource, Zerocopter : acteurs plus petits ou spécialisés.
Open Bug Bounty : plateforme non commerciale pour reports de vulnérabilités web publiques.
Immunefi : spécialisé Web3 et blockchain, records de récompenses (10 M$ versés en une seule fois).

04 — RécompensesComprendre les grilles de prix

Échelles typiques

Les récompenses varient selon : criticité de la vulnérabilité (généralement mesurée en CVSS), périmètre (critique ou secondaire), taille et budget du programme. Fourchettes typiques pour un programme moyen :

Low : 50 - 500 €.
Medium : 500 - 2 500 €.
High : 2 500 - 10 000 €.
Critical : 10 000 - 50 000 € et plus.

Programmes haut de gamme

Certains programmes offrent des récompenses significativement plus élevées pour les vulnérabilités sur actifs critiques :

Apple Security Research : jusqu'à 2 000 000 $ pour des chaînes d'exploit iOS permettant un accès à distance sans interaction utilisateur.
Google Android : jusqu'à 1 500 000 $ pour des chaînes similaires.
Microsoft Hyper-V : jusqu'à 250 000 $ pour une évasion d'hyperviseur.
Meta / WhatsApp : jusqu'à 300 000 $ pour des RCE critiques.
Immunefi : des récompenses crypto ont dépassé les 10 000 000 $ sur certains smart contracts.

Programmes français

Grilles typiques observées sur des programmes français de taille moyenne (PME / ETI) :

Low : 100 - 300 €.
Medium : 500 - 1 500 €.
High : 1 500 - 5 000 €.
Critical : 5 000 - 15 000 € typiquement.

Les grandes entreprises françaises (banques, industriels) alignent leurs grilles sur les standards internationaux avec des plafonds de 20 000 à 50 000 € pour les failles critiques.

Bonus et primes spéciales

Bonus temporaires lors de challenges ou de lancements de produits.
Bonus créativité pour un exploit particulièrement ingénieux.
Bonus chaîne d'exploit : plus élevé si plusieurs vulnérabilités sont combinées.
Classement mensuel / annuel : bonus pour les top hunters.
Invitation à des événements : live hacking events avec récompenses bonus.

Imposition des récompenses en France

Pour un chercheur français :

Les gains de bug bounty sont imposables.
Catégorisation fiscale variable selon l'intensité : revenus occasionnels (BNC non professionnels), activité professionnelle déclarée (micro-entreprise, entreprise individuelle, société).
Les plateformes émettent généralement des documents de déclaration (factures, états de règlement).
Au-delà de seuils, déclaration d'activité professionnelle indispensable.
Consultation d'un comptable recommandée dès que les gains deviennent significatifs.

05 — Côté entrepriseMettre en place un programme

Prérequis avant de lancer

Maturité sécurité minimale : un programme bug bounty sans processus interne de triage et remédiation crée plus de problèmes qu'il n'en résout.
Équipe dédiée : un responsable programme + capacité de triage + développeurs disponibles pour corriger.
Budget prévisionnel : plateforme (quelques milliers à dizaines de milliers d'euros par an) + récompenses (prévoir plusieurs dizaines de milliers d'euros la première année sur un programme privé).
Architecture applicative comprise : capacité à répondre rapidement aux questions des chercheurs.
Support juridique : clauses types, traitement des cas limites, protection légale.
Pentest récent avant lancement : éviter que les chercheurs trouvent immédiatement 50 vulnérabilités basiques.

Étapes de déploiement progressif

Étape 1 — VDP interne : ouvrir un canal de signalement, tester les processus sans rémunération.
Étape 2 — Programme privé restreint : inviter 10-30 chercheurs de qualité, limiter le périmètre.
Étape 3 — Élargissement progressif : augmenter la communauté, enrichir le périmètre.
Étape 4 — Programme public : ouvrir largement, avec organisation mature.
Étape 5 — Événements et challenges : live hacking events, campagnes spéciales.

Rédaction des règles de l'engagement

Scope explicite : liste précise des actifs autorisés (domaines, applications, APIs, IP).
Out of scope : systèmes tiers, outils internes, infrastructure.
Techniques autorisées : web, mobile, API, éventuellement cloud.
Techniques interdites : DDoS, social engineering des employés, physique, exploitation des données récupérées.
Catégories de vulnérabilités : acceptées et non acceptées.
Grille de récompenses : claire et par niveau de sévérité.
Délais d'intervention : SLA de réponse, triage, paiement.
Politique de divulgation : délais avant publication autorisée.
Clauses de safe harbor : protection légale pour les chercheurs respectant les règles.

Budgets indicatifs

Programme VDP simple : quelques milliers d'euros par an (plateforme + triage).
Programme privé rémunéré petite taille : 20 000 - 50 000 € la première année (plateforme + premières récompenses).
Programme public ETI : 50 000 - 200 000 € par an.
Programme grand compte : 500 000 € à plusieurs millions d'euros par an.
Le coût d'une vulnérabilité trouvée via bug bounty est souvent inférieur à celui d'un incident qui aurait exploité cette même faille.

Pièges classiques

Lancer public trop tôt : saturation immédiate, équipes débordées, chercheurs frustrés.
Règles floues : disputes, sentiment d'injustice, désengagement des chercheurs.
Tarder à répondre : réputation dégradée, départ des bons chercheurs.
Sous-payer systématiquement : les chercheurs vont sur d'autres programmes.
Rejeter abusivement des rapports : destruction de la confiance.
Menacer juridiquement : catastrophe réputationnelle, cas documentés de plaintes retirées mais image durablement abîmée.
Considérer bug bounty comme remplacement du pentest : couverture incomplète, pas de garantie de périmètre testé.

06 — Côté chercheurBien démarrer en bug bounty

Acquérir les bases techniques

Bases du web : HTTP, HTML, JavaScript, cookies, sessions, authentification.
OWASP Top 10 : injections, broken access control, SSRF, XSS, désérialisation.
API Security Top 10 : BOLA, authentification défaillante, mass assignment.
Bases réseau : DNS, TLS, reverse proxies.
Scripting : Python (indispensable), Bash.
Outils : Burp Suite (gratuit puis Professional), nuclei, ffuf, httpx.

Plateformes d'entraînement

PortSwigger Web Security Academy : référence, gratuit, exhaustif sur le web.
Hack The Box : labs variés, progression graduée.
TryHackMe : apprentissage encadré, idéal pour débuter.
Root-Me : plateforme française populaire.
YesWeHack Dojo : CTF en français, orienté bug bounty.
HackerOne CTF et Bugcrowd University : gratuits, orientés programmes.
PentesterLab : exercices web payants de très bonne qualité.

Apprendre des write-ups

HackerOne Hacktivity : rapports publics anonymisés de bug bounty réels.
Blogs de chercheurs : Frans Rosén (detectify), InsiderPhD, NahamSec, Stok, Bug Bounty Reports Explained.
Conférences : LeHack (Paris), DefCon, Hacktivity Conference, présentations YouTube.
Twitter/X et Mastodon : communauté très active, partage de techniques.
Discord communautaires : Bug Bounty Hunter, H1 Live, canaux YesWeHack.

Stratégies pour progresser

Se spécialiser : plutôt qu'être généraliste moyen, devenir expert d'un type de faille (SSRF, auth, GraphQL, mobile).
Lire beaucoup de code : les meilleures découvertes viennent souvent de la compréhension du code.
Cibler des programmes adaptés au niveau : débuter sur des cibles simples, VDP.
Automatiser la reconnaissance : scripts personnels, tooling pour gagner du temps.
Recycler les patterns : quand une vulnérabilité est trouvée, chercher ses variantes sur d'autres parties.
Écrire des rapports impeccables : clarté, reproduction précise, impact démontré — impact direct sur la récompense.
Persévérer : les 3-6 premiers mois peuvent être frustrants, les premiers rapports fermés sans récompense.

Profils de bug hunters

Loisir : quelques heures par semaine en complément d'un autre emploi.
Complémentaire professionnel : pentester, ingénieur sécurité qui complète ses revenus.
À temps plein : minorité qui vit uniquement du bug bounty, souvent top hunters reconnus.
Collectif : équipes de chercheurs qui partagent les découvertes et récompenses.

Risques et éthique

Respect strict du scope : sortir du périmètre est une infraction pénale, même pour un chercheur de bonne foi.
Non-divulgation : respecter les délais d'embargo avant publication.
Confidentialité des données : ne pas récupérer plus que nécessaire, supprimer après PoC.
Pas d'extorsion : demander plus que la grille n'est pas acceptable.
Collaboration constructive : les meilleurs chercheurs sont ceux qui travaillent avec les équipes, pas contre elles.

07 — Cadre légalBug bounty et droit en France

Principe de l'autorisation générale

Un programme bug bounty fonctionne sur le principe de l'autorisation générale : l'organisation accorde à toute personne inscrite au programme le droit de tester les actifs définis dans le scope. Cette autorisation est juridiquement ce qui rend le test légal et distingue le chercheur bug bounty du pirate.

Limites strictes du scope

Dès que le chercheur sort du scope, la protection juridique tombe. Les articles 323-1 à 323-8 du Code pénal s'appliquent :

Accès ou maintien frauduleux dans un STAD : jusqu'à 3 ans de prison et 100 000 €.
Entrave au fonctionnement : jusqu'à 7 ans et 300 000 €.
Modification frauduleuse : jusqu'à 7 ans et 300 000 €.
Aggravations pour les STAD de l'État ou OIV.

Les plateformes publient les scopes clairement, mais la responsabilité de rester dans le périmètre incombe au chercheur.

Loi République numérique (octobre 2016)

Cette loi a apporté une protection complémentaire importante pour les chercheurs en sécurité en France, via l'article L. 2321-4 du Code de la défense. Il prévoit qu'une personne de bonne foi qui signale une vulnérabilité à l'ANSSI bénéficie d'une protection :

L'ANSSI peut traiter la vulnérabilité même sans programme bug bounty de l'éditeur concerné.
L'identité du chercheur est protégée.
Mais cette protection ne valide pas des actes illégaux préalables : elle couvre le signalement, pas forcément la manière dont la vulnérabilité a été découverte.

Safe harbor dans les programmes

Les programmes bug bounty modernes incluent des clauses de safe harbor engageant explicitement l'entreprise à :

Ne pas poursuivre judiciairement les chercheurs respectant les règles.
Protéger l'identité des chercheurs.
Considérer les actions conformes aux règles comme autorisées.
Collaborer avec le chercheur en cas d'erreur de scope involontaire.

Ces clauses, inspirées du Good Faith Security Research safe harbor américain, sont aujourd'hui quasi-systématiques. Leur absence est un signal négatif pour les chercheurs.

Cas français historiques

Affaire Bluetouff (2013)

Un journaliste découvre accidentellement un site en accès libre de l'ANSES (agence sanitaire) et publie des documents trouvés. Poursuivi pour accès frauduleux et maintien dans un STAD. Condamné définitivement par la Cour de cassation en 2015. A révélé la sévérité de l'article 323-1 même en l'absence d'intrusion technique. Depuis, les chercheurs français sont particulièrement prudents sans autorisation explicite.

Expansion des programmes gouvernementaux

Depuis 2020, l'ANSSI et plusieurs ministères ont lancé des programmes VDP officiels. Le Ministère des Armées, la SNCF, plusieurs administrations publiques ont ouvert des programmes bug bounty sur YesWeHack.

NIS2 et responsabilité de signalement

NIS2 impose aux entités essentielles et importantes des mesures de gestion des vulnérabilités. Sans imposer un bug bounty, la directive pousse à la mise en place de canaux de signalement structurés. Le bug bounty est un moyen reconnu de répondre à ces obligations.

Conséquences pour le chercheur

Toujours s'inscrire formellement au programme avant de tester.
Lire intégralement les règles et les conserver (elles peuvent évoluer).
Ne jamais dépasser le scope, même par curiosité.
Documenter toutes ses actions : traçabilité protège.
Ne pas publier avant autorisation explicite.
En cas de doute : poser la question à l'équipe programme plutôt que tester.

08 — FAQQuestions fréquentes

Le bug bounty peut-il remplacer un pentest ?

Non. Ce sont deux approches complémentaires aux objectifs différents. Le pentest garantit une couverture systématique d'un périmètre selon une méthodologie, aboutit à un rapport formel et fournit une preuve de revue (utile pour ISO 27001, SOC 2, conformité). Le bug bounty apporte une surveillance continue avec une diversité de regards élevée mais sans garantie de couverture. Les organisations matures combinent : pentests périodiques (trimestriels à annuels selon criticité) + bug bounty en continu + scanning automatisé.

Quelle est la différence entre VDP et bug bounty ?

Un VDP (Vulnerability Disclosure Program) est un canal structuré de signalement sans rémunération. Il offre : autorisation légale de tester, procédure de signalement claire, reconnaissance des chercheurs (Hall of Fame, crédits). Un bug bounty ajoute la rémunération des vulnérabilités validées. Beaucoup d'organisations commencent par un VDP pour tester leurs processus avant de passer à un programme rémunéré. Les deux peuvent coexister : VDP large sur tous les actifs, bug bounty rémunéré sur le périmètre critique.

Mon organisation n'est pas prête, que faire ?

Ne pas précipiter. Un programme bug bounty lancé sans maturité crée plus de problèmes qu'il n'en résout. Étapes préalables : mettre en place un processus de gestion des vulnérabilités, faire réaliser un ou deux pentests, constituer une équipe de triage, rédiger des clauses juridiques types, préparer un budget. Ouvrir un canal de signalement « security@ » dès aujourd'hui coûte peu et permet de recevoir les signalements spontanés. Un VDP formel peut être une première étape structurante à faible coût.

Les chercheurs peuvent-ils négocier le prix ?

Globalement non — les grilles sont fixes et appliquées selon la criticité CVSS déclarée. Négociation possible si le chercheur démontre un impact plus grave que la criticité initiale (chaîne d'exploit, effet systémique). Les plateformes ont des mécanismes d'arbitrage si désaccord. Exceptions : programmes haut de gamme et vulnérabilités exceptionnelles où des discussions au cas par cas se produisent. Les tentatives d'extorsion ou de surestimation systématique nuisent à la réputation du chercheur sur la plateforme.

Le bug bounty convient-il aux PME ?

Plutôt aux ETI et grandes entreprises. Pour une PME, la charge de triage et de remédiation peut être trop élevée, et le budget limité. Alternatives pour PME :

Canal de signalement simple « security@ » avec engagement de non-poursuite.
Programme VDP gratuit sur plateforme.
Programme bug bounty privé très restreint (5-10 chercheurs invités, budget limité).
Pentest annuel classique + scan continu, plus adapté.

La maturité nécessaire est plus importante que la taille : une PME mature peut lancer un VDP efficacement, un grand groupe immature peut échouer à faire vivre son programme.