Quantcast
Korben, roi d’internet, logo bébé avec des lunettes en mode thug life Korben, roi d’internet, logo bébé avec des lunettes en mode thug life

Korben Upgrade your mind

10 bonnes raisons de lancer un programme de bug bounty

Avant de rentrer dans le vif du sujet, j’ai quand même un petit truc à vous dire :

=== YESWEHACK EST OUVERT A TOUS ! ===

=== VOUS POUVEZ ENFIN VOUS INSCRIRE ===

Si vous n’êtes pas encore familier avec ce terme, sachez que le Bug Bounty est un bon moyen de parfaire la sécurité informatique de votre business. Il s’agit d’une récompense, souvent financière, accordée par une entreprise, à tous ceux qui découvrent une faille dans son site, son application, ses services…etc.

Beaucoup de professionnels connaissent encore très mal cette pratique inventée par Netscape en 1995 et c’est bien dommage, car elle a de nombreux avantages. Pour vous les exposer, mais aussi pour fêter l’ouverture au public cette semaine, de YesWeHack, et le lancement lors de la Nuit du Hack du Bug Bounty privé d’OVH, j’ai choisi de vous donner les 10 bonnes raisons de lancer un programme de Bug Bounty.

Après cela, vous serez forcement convaincu ! J’en suis certain !

1/ Ça permet d’avoir un retour direct sur les failles découvertes.

En effet, lorsque quelqu’un découvre une faille sur votre site, il dispose de plusieurs options. Vous prévenir (et ça, c’est cool), passer son chemin, exploiter la faille, ou la revendre à quelqu’un d’autre. Avec ces 3 dernières options, vous n’avez aucun retour constructif, ni même la connaissance qu’une faille existe. Vous restez donc exposé et risquez à tout moment de basculer dans un cauchemar. Le Bug Bounty permet d’être proactif sur sa sécurité en amenant cette information cruciale jusqu’à vous.

gif-keyboard-14470833452978696340

2/ Vous payez uniquement au résultat.

C’est vous qui fixez les montants des récompenses et seules les failles qui impliquent une action corrective de votre part sur la configuration de votre serveur ou votre code, doivent être payées.

gif-keyboard-6682850652117908518

3/ Ça permet d’intégrer la sécurité dès le démarrage d’un projet.

Les audits de sécurité traditionnels restent indispensables mais un Bug Bounty permet de compléter votre arsenal défensif. Ça permet d’intégrer la notion de sécurité dès le démarrage de votre projet sans engager tout de suite trop de frais. Il est recommandé de démarrer par un Bug Bounty privé qui sera un peu plus onéreux mais qui vous permettra de bénéficier du retour des meilleurs hunters (Top 20 / Top 50 / Top 100) afin de colmater les failles les plus évidentes. Ensuite, une fois qu’un bon niveau de sécurité a été atteint, vous pourrez rendre public votre programme.

gif-keyboard-13958531239101577005

4/ Vous profitez d’une expertise variée

Dans le cadre d’un audit de sécurité ou d’un contrôle en interne par vos équipes, vous disposez d’un champ d’expertise limité à quelques personnes. Avec le Bug Bounty, ce seront des dizaines, voire des centaines de personnes (hunters) qui se pencheront sur la sécurité de votre site. Vous bénéficierez de leur expérience riche et variée, amenant naturellement à un nombre plus important de failles découvertes.

gif-keyboard-11646099831328311055

5/ Vous n’êtes pas limité dans le temps

Là ou un audit intervient une à deux fois par an, sur une durée de quelques jours, le Bug Bounty permet de profiter d’une veille agile et constante 7j/7j, 24h/24h, et cela même si votre code évolue.

gif-keyboard-8026611570609041138

6/ Vous évitez le marché noir ou les exploitations sauvages

Même si personne ne pourra jamais vous le garantir à 100%, en proposant un programme de Bugs Bounty, vous cassez le marché noir et vous remettez dans le droit chemin, des gens qui auraient été tentés d’exploiter une faille découverte. Vous êtes proactif sur votre sécurité, et cela vous permet de vous protéger plus efficacement, en évitant un éventuel bad buzz.

gif-keyboard-6600518337831580757

7/ Vous gardez le contrôle

C’est vous qui définissez le périmètre. Ainsi, cela vous permet d’y aller progressivement en proposant aux hunters uniquement les sites, applications ou services que vous avez sélectionnés. C’est vous qui choisissez le montant et le type des récompenses. C’est vous qui décidez si votre programme de Bug Bounty doit être lancé en public ou en privé. Et vous pouvez mettre en pause ce programme à tout moment afin de prendre le temps de corriger les failles découvertes. Vous avez le contrôle à 100%.

gif-keyboard-14919646642362918608

8 / Vous montez en compétence

Que ce soit pour vous ou pour vos équipes sécurité ou développement, chacun trouvera de quoi monter en compétences grâce aux retours que vous feront les hunters. Ainsi, vos développeurs seront sensibilisés et leurs prochaines productions seront beaucoup plus résistantes en termes de sécurité.

gif-keyboard-7229330231984053878

9/ Ça permet de faire un bon coup de comm

Communiquer autour du fait que vous avez un programme de Bug Bounty permet de rassurer quant à la robustesse de vos systèmes et met en valeur votre état d’esprit proactif sur le sujet de la sécurité. Si en plus, vous donnez de jolies récompenses, votre image n’en sera que plus belle auprès de la communauté des experts en sécurité.

gif-keyboard-16316865389633782960

10/ C’est simple !

Contrairement à ce qu’on pense, lancer un programme de Bug Bounty n’est pas compliqué. Vous pouvez choisir de le faire par vous même ou opter pour une plateforme comme la mienne YesWeHack, qui vous guidera pas à pas. Attention toutefois, un programme de Bug Bounty, ça se prépare. Vous devez établir le bon périmètre, le bon montant des récompenses, et il faut pouvoir réagir vite pour répondre aux hunters, éviter les doublons, qualifier la criticité des failles, puis les corriger. Chez YesWeHack, on vous accompagne pour rédiger le meilleur périmètre possible et on propose même, si ça vous intéresse, une prise en charge totale de votre programme pour que vous puissiez vous concentrer sur autre chose que ça.

gif-keyboard-9708205989847002940

Voilà ! Si avec ça, vous n’êtes pas convaincu, c’est que je ne peux plus rien faire pour vous. Sachez enfin que YesWeHack est conçu et hébergé à 100% en France et que tous nos partenaires, qu’ils soient techniques (paiement, signature électronique…Etc) ou commerciaux (pour le Program Manager…etc), sont à minima localisés en Europe et respectent tous la législation Européenne.

Quant à ceux qui voudraient devenir hunters et s’essayer à quelques programmes de Bug Bounty, pour arrondir les fins de mois ou gagner en compétence, la plateforme YesWeHack est enfin ouverte à tous, donc inscrivez-vous et rejoignez la communauté ! Une fois votre compte créé, vous verrez les programmes publics et les entreprises qui ont opté pour un programme privé, comme OVH, pourront vous inviter à y participer.

Et si vous avez des questions, prenez contact via le formulaire de YesWeHack ou écrivez moi directement et je répondrai à toutes vos questions.


On fête la rentrée avec NordVPN ! [Bon plan] -68%

-68% 3,3€/mois durant 2 ans

Protection en un clic, fonctionnalité Kill Switch, masquage de votre adresse IP, prise en charge des partages de fichiers en p2p, protection contre les malwares et les pubs, streaming sans interruption, test de fuite DNS et même possibilité de coupler l’outil avec l’anonymat de The Onion Router … sont quelques-unes des autres options disponibles.

À noter que cet été l’outil a passé avec succès l’audit d’une société indépendante (PricewaterhouseCoopers) concernant leur politique de non-conservation de registre d’activité, validant que NordVPN ne conservait pas l’activité de ses utilisateurs sur le web.

De plus une licence NordVPN vous permet de protéger jusqu’à 6 appareils et cela, quelle que soit la plateforme sur laquelle ces derniers tournent (android où iOS, Windows, Linux ou macOS, android TV).

En Savoir +



Un korbenaute trouve son nouveau job via Laou et ça c’est cool

— Article sponsorisé par Laou (mais basé sur des faits réels) —

Salut les amis, vous vous souvenez de mes articles concernant le service Laou ? Et bien j’ai appris récemment qu’au moins un de mes lecteurs (les meilleurs lecteurs du monde à la base donc ils ont un bonus en charisme) a trouvé un nouveau travail grâce à ça. Et ça fait vraiment, mais alors vraiment, plaisir.

Lorsqu’un de mes tutos permet de débloquer une situation ou que je fais découvrir un nouveau site, ça fait zizir et j’ai l’impression d’avoir été utile de manière concrète. Mais si quelqu’un trouve un travail grâce à une de mes infos c’est forcément encore mieux. Parce que l’impact sur la vie de la personne en question est beaucoup plus grand. D’ailleurs, aider les gens à trouver un emploi a toujours été une de mes envies, raison pour laquelle j’ai lancé RemixJobs dès 2010 (longtemps site de référence pour le recrutement web et informatique). Et si ce dernier vient de mourir de sa belle mort, il est possible que je vous réserve l’une ou l’autre surprise sur le sujet bientôt.

Laou recherche d'emploi dans le numérique

Tout ça pour en revenir à Laou. Pour les nouveaux venus je rappelle qu’il s’agit d’une plateforme de recrutement spécialisée dans l’IT en région. Si vous voulez découvrir le travail en province et/ou quitter le stress de la capitale, Laou vous aidera non seulement à trouver un nouvel emploi sur mesure, mais prendra aussi un tas de « soucis » à sa charge : vous trouver un logement, trouver un boulot à votre conjoint, gérer le déménagement, vous faire découvrir votre ville d’adoption … Et cerise sur le gâteau tous les frais sont à la charge de votre futur employeur.

Maintenant la partie la plus cool de l’histoire. Elle concerne Steven, développeur fullstack de 25 ans.

Sans trop entrer dans des détails perso, Steven est originaire du sud de la France et était monté à Paris pour se faire une expérience pro. Il n’y arrive pas vraiment et a un peu de mal à s’y faire un cercle d’amis. Du coup il se dit que Laou pourrait être une option et qu’il va essayer de trouver son boulot rêvé : gameplay developper dans le secteur du jeu vidéo. Sans succès dans un premier temps, car sans expérience c’est tout de suite plus compliqué.

Quitter Paris en 2020 avec Laou

En discutant un peu avec Charlotte, la personne en charge de son dossier, il se rend compte qu’il est plus important pour lui de quitter Paris et d’avoir un cadre de vie adapté que de trouver l’intitulé de boulot exact qu’il recherche. Il est prêt à faire ses classes avant. Et là BAM tout décolle, il reçoit plusieurs propositions dans diverses régions de l’hexagone.

Après plusieurs échanges et un suivi, régulier Laou lui paie une nuit d’hôtel pour lui permettre de rencontrer ce qui sera son futur employeur, be-ys. En plus c’est situé à Clermont-Ferrand #AuvergneRepresent. Juste pour vous situer un peu le dévouement de Laou, le train de Steven est arrivé avec 3 heures de retard à Clermont, et pour s’assurer que tout se passerait bien pour lui, Charlotte était à la gare, de nuit, juste pour l’accueillir. C’est ça le service Laou, du sur mesure et de la flexibilité.

Service Settlesweet

Une fois le contrat signé c’est au tour de Settlesweet de prendre le relais. Settlesweet est le partenaire de Laou pour tout ce qui se touche à la recherche de logement, ce sont eux qui prennent en charge cet aspect de A à Z. Le principe est simple : leur algorithme va analyser une quinzaine de sites d’annonces selon vos critères personnalisés afin de vous trouver le logement le plus adapté à vos envies.

Ensuite, un Home Matcher dédié à votre recherche se chargera de prendre rendez-vous pour les visites et de déposer vos candidatures, le tout en vous tournant les pouces. Settlesweet est entièrement gratuit pour les déménagements dans le cadre d’un nouvel emploi ou d’une mutation. 

Au final il se sera passé quelques mois entre la lecture de mon article et son premier jour de travail. Ce qui est plutôt pas mal, surtout en considérant la pandémie qui a retardé beaucoup de choses. J’espère que Steven lira cet article et qu’il n’hésitera pas à nous partager avec ses mots la manière dont il a vécu tout le processus, ça ferait plaisir !


On fête la rentrée avec NordVPN ! [Bon plan] -68%

-68% 3,3€/mois durant 2 ans

Protection en un clic, fonctionnalité Kill Switch, masquage de votre adresse IP, prise en charge des partages de fichiers en p2p, protection contre les malwares et les pubs, streaming sans interruption, test de fuite DNS et même possibilité de coupler l’outil avec l’anonymat de The Onion Router … sont quelques-unes des autres options disponibles.

À noter que cet été l’outil a passé avec succès l’audit d’une société indépendante (PricewaterhouseCoopers) concernant leur politique de non-conservation de registre d’activité, validant que NordVPN ne conservait pas l’activité de ses utilisateurs sur le web.

De plus une licence NordVPN vous permet de protéger jusqu’à 6 appareils et cela, quelle que soit la plateforme sur laquelle ces derniers tournent (android où iOS, Windows, Linux ou macOS, android TV).

En Savoir +


Rejoindre la discussion sur Korben Communauté