Petit déjeuner « Le bug-bounty, une nouvelle approche de l’audit technique ? »
![Image [OneTrust] Les multiples facettes des plateformes de GRC (Gouvernance, Risques et Conformité)](https://incyber.org//wp-content/uploads/2024/03/adobestock-749446930-885x690.jpeg)
Le premier Petit-déjeuner de l’Observatoire apres le FIC 2016 s’est tenu le 8 mars 2016 sur le theme « Le bug-bounty, une nouvelle approche de l’audit technique ? »
Depuis quelques années, la pratique du bug-bounty est en pleine expansion. Cette derniere consiste pour une entreprise à demander à une communauté d’experts en sécurité informatique d’analyser et détecter des failles dans ses applications ou sites web moyennant une reconnaissance et une rémunération potentielle en fonction de la pertinence de la faille. Des centaines de sites mettent désormais en place un programme de bug bounty : Google, Facebook, Avast!, Paypal, jusqu’a Tesla et United Airlines. L’intéret est tel que de nombreuses levées de fonds ont été réalisées par différents investisseurs l’année derniere aux Etats-Unis.
En France, la plateforme « Bounty Factory », créée en 2016, a pour objectif d’etre la premiere plate-forme européenne de bug-bounty dans l’espace économique européen, avec ses regles, ses principes et sa législation.
Guillaume Vassault-Houliere, PDG de Bounty Factory et Maître Eric Caprioli, avocat à la Cour et fondateur de Caprioli & Associés sont venus échanger avec nous sur le sujet et ont notamment abordé les questions techniques et juridiques que peuvent se poser des RSSI quant à l’utilisation de ces plateformes ont été abordées. Cet échange a aussi été l’occasion d’évoquer les bénéfices de ce type de solutions dans une vision plus globale de la SSI, en raison du caractere non limité dans le temps du bug-bounty, contrairement à un audit technique classique, et de la diversité des approches couvertes par les auditeurs.