Comment fonctionne un bug bounty ?
L'entreprise définit un périmètre (scope) et des règles d'engagement sur une plateforme (HackerOne, YesWeHack, Bugcrowd). Les chercheurs soumettent des rapports de vulnérabilités validés par un triage, et l'entreprise verse une prime proportionnelle à la sévérité.
Bug bounty vs pentest : les différences
- Pentest : mission cadrée, livrables structurés (rapport + re-test), couverture exhaustive du périmètre.
- Bug bounty : couverture opportuniste, pas de garantie d'exhaustivité, résultats aléatoires.
- Le pentest convient aux PME qui ont besoin d'un rapport exploitable pour un client, un assureur ou un auditeur.
- Le bug bounty convient aux entreprises matures qui ont déjà fait plusieurs pentests et veulent une veille continue.
Quand choisir quoi ?
Pour une PME qui démarre en sécurité offensive, le pentest est le point de départ. Le bug bounty intervient en complément une fois le socle de sécurité consolidé.
Barèmes de récompenses : ce qu'une PME doit budgéter
Sur YesWeHack (leader européen, siège France) et HackerOne, les fourchettes 2026 pour une PME SaaS sont :
- Low (info disclosure mineur) : 50–150 €
- Medium (XSS stocké, IDOR limité) : 250–800 €
- High (SSRF, privilege escalation) : 1 000–3 500 €
- Critical (RCE, auth bypass, data breach) : 3 500–15 000 €
Budget annuel pour un programme public raisonnable : 15 000–40 000 €/an (plateforme + primes + temps de triage interne). Plus les frais de plateforme (~8 000–15 000 €/an YesWeHack Pro, Bugcrowd Business). Un programme privé (invitations de chercheurs sélectionnés) est souvent plus cost-efficient pour démarrer.
FAQ Bug Bounty
Une PME de 20 personnes peut-elle lancer un bug bounty ?
Oui, mais pas en premier. Il faut avoir déjà fait 1-2 pentests pour éliminer les low-hanging fruits, structuré un process de remontée de vuln (RVDP), et avoir la capacité technique de corriger sous 30-60j. Sinon vous payez des primes pour des bugs que vous n'arrivez pas à patcher, ce qui démotive les chercheurs et dégrade votre réputation sur la plateforme.
HackerOne, YesWeHack ou Bugcrowd : quelle plateforme pour une PME FR ?
YesWeHack (siège Paris, conforme RGPD, pool de chercheurs FR/EU) est souvent le meilleur choix pour une PME française, surtout si vous traitez des données sensibles ou si vous visez des contrats publics. HackerOne a le plus gros pool mondial mais juridiction US (attention CLOUD Act). Bugcrowd pour les PME avec grosse présence US.
Un bug bounty remplace-t-il un pentest pour mon assureur cyber ?
Non. Les assureurs (Axa, Hiscox, Stoïk, Beazley) demandent un rapport de pentest daté et exhaustif, pas une collection de rapports de bug bounty épars. Un bug bounty est un plus, mais pas un substitut. Idem pour ISO 27001 A.8.29 et SOC 2 CC7.1 qui exigent des tests cadrés. Voir pentest et assurance cyber.
Peut-on faire un bug bounty sans plateforme (programme self-hosted) ?
Techniquement oui, via une page /security.txt (RFC 9116) + une boîte email dédiée (security@...). Mais vous perdez le triage professionnel, la gestion des paiements internationaux (TVA, freelance, crypto), la médiation en cas de litige sur la sévérité, et le pool de chercheurs qualifiés. Coût caché du self-hosted = 0.3-0.5 ETP.