Aux USA, le Bug Bounty est en passe de devenir mainstream : adopté en masse dans la Silicon Valley, il est désormais pratiqué dans tous les secteurs d’activité, de General Electric à United Airlines en passant par Western Union. Mais il n’est pas réservé aux grandes entreprises, car contrairement à d’autres solutions de cybersécurité comme le Pentesting, qui proposent d’identifier des failles de sécurité dans un système, il est très abordable, impose une obligation de résultat là où les précédentes approches se contentaient d’une obligation de moyens, et s’avère particulièrement souple. Du coup, de la startup au Grand Compte, toutes les entreprises américaines s’y mettent petit à petit.
En Europe, plusieurs acteurs sont apparus depuis un an, comme Yogosha en France ou Zerocopter aux Pays-Bas, et le marché s’annonce très prometteur (full disclosure, je suis cofondateur de Yogosha). Cela n’a rien d’étonnant, le continent Européen a traditionnellement quelques années de décalage en termes d’adoption des tendances du numérique par rapport aux Etats-Unis. Mais l’adoption des Bug Bounties est plus rapide qu’aux Etats-Unis et à ce rythme, la France, qui est particulièrement touchée par la cybercriminalité – en hausse de 50% l’an dernier alors que la tendance mondiale n’est “que” de 30% – devrait s’y mettre rapidement. L’annonce récente de l’ANSSI – l’agence d’Etat en charge de la cyberdéfense – qui prédit des attaques d’envergure touchant les entreprises françaises – ne fait qu’accélérer le mouvement.
Fabrice Epelboin
Cofondateur de Yogosha
Du coté des hackers, qu’ils soient “whitehats” (les “gentils”) ou “blackhats” (les cybercriminels), les compétences sont en progression constante, alors que le niveau des entreprises, lui, stagne depuis quelques années. Une équipe de hackers de haut niveau peut rivaliser en terme d’expertise avec les meilleures équipes de R&D du secteur, voir avec certaines petites agences gouvernementales, et c’est ce type de compétences que le Bug Bounty peut mettre au service des entreprises, car ne vous y trompez pas, ces mêmes entreprises font face à ce même type d’expertises du coté de la cybercriminalité.
Ajoutez à cela l’arrivée massive de l’internet des objets, un secteur qui néglige de façon éhonté la cybersécurité alors qu’il la complexifie encore un peu plus. Là aussi, le recours à cette forme d’intelligence collective proposée par les Bug Bounties s’avère indispensable.
Dernier point qui fait que la vague du Bug Bounty s’annonce comme un tsunami : dans un récent rapport, la commission européenne estimait à plus d’un million d’emplois le déficit de compétences en matière de cybersécurité – on parle bien ici de hackers, et il faudrait à l’Europe, pour être en mesure de faire face à la vague actuelle de cybercriminalité, plus d’un million de hackers. Mais la mauvaise réputation que leur colle les pouvoirs publics et les médias depuis des décennies a tari les vocations, et celles-ci prennent un temps fou à être formées. Même en imaginant que le hacker deviennent cool et sexy du jour au lendemain, il faudrait dix ans pour en voir les effets dans le monde du travail. Dix années durant lesquels l’économie sera lourdement affectée. Les préjugés ont un coût, et le coût de la cybercriminalité se compte désormais en points de PIB.
Le Bug Bounty est un business assez simple à comprendre, et le fait que des sociétés qui font partie du quotidien des internautes le pratique va permettre au grand public de mieux appréhender l’une des activités favorites des hackers, qui consiste à regarder les entrailles d’une technologie pour en comprendre le fonctionnement, puis à identifier des failles qui permettraient d’en détourner l’usage. Le Bug Bounty consiste, pour les hackers, à détecter ces failles et pour les sociétés à les acheter aux hackers, afin de les réparer. Amazon, Facebook ou Google, ces sociétés ont recours aux Bug Bounties pour repérer, avec l’aide de communautés de hackers, les vulnérabilités présentes au sein de leurs technologies, afin de renforcer la sécurite de leurs services et de leurs utilisateurs. C’est un gage de sérieux, et cela contribue grandement à connoter les hackers de façon positive. Tout le monde y gag