Bug Bounty : faites la chasse aux bugs !

Depuis 2019, le Commandement de la Cyberdéfense (COMCYBER) organise son « Bug Bounty » annuel pour sécuriser toujours plus les sites et applications du ministère des Armées. Volontaires passionné(e)s d’informatique, de sécurité ou de « hacking » éthique participent chaque année à cette grande chasse au bug logiciel.

Le Bug Bounty, késako ?

Le premier programme de Bug Bounty est apparu dans les années 90 aux États-Unis. A l’époque, le support technique d’une entreprise a constaté que des communautés d’utilisateurs corrigeaient eux-mêmes les bugs de leur solution, sans intervention de leur part.

Si les Bug Bounties sont devenus courants à l’international, ils ne sont arrivés que récemment en Europe et en France, suite à la montée en puissance de la cyberdéfense et à la sensibilisation aux enjeux de cybersécurité.

En 2019, en lien avec le Commandement de la Cyberdéfense (COMCYBER), le ministère des Armées a été le 2ème au monde et le 1er en Europe à lancer son propre programme Bug Bounty. Le principe est simple : chaque année, des chasseurs volontaires sélectionnés en interne se mobilisent pour déceler les vulnérabilités et dysfonctionnements des sites Internet et applications du ministère des Armées. Une nouvelle manière de contribuer à l’amélioration de l’environnement de Défense. Lors des premières éditions, les chasseurs de vulnérabilités s’engageaient volontairement sans l’appât du gain, l’édition 2023 promet bien des récompenses.

Une opération nécessaire, ouverte à tous au MINARM

En 2022, près de 21 sites et applications exposés sur Internet ont été soumis au regard aiguisé des chasseurs du Bug Bounty.

D’années en années, le niveau global de sécurité des cibles s’améliore – en partie grâce aux participants volontaires. Ouvert à toutes et tous au ministère et dans les Armées, ce programme rassemble militaires, et civils de la Défense, passionnés par le domaine cyber. Leurs compétences dans le domaine de la recherche de vulnérabilités sur le web sont ainsi mises à profit. L’occasion pour eux de se glisser dans la peau du hacker éthique....

Des rapports sont ensuite transmis aux équipes responsables des systèmes afin d’être corrigés rapidement. Grâce à cette collaboration entre experts de l’écosystème cyber, le Bug Bounty s’inscrit dans une démarche plus globale d’amélioration permanente de la sécurité de nos systèmes. Ce programme agit en complément des actions, telles que les audits ou les tests d’intrusion, menées par ailleurs au Commandement de la Cyberdéfense (COMCYBER).

La 5e édition du Bug Bounty a lieu en ce moment-même, elle se poursuivra jusqu'à fin décembre 2023. Souhaitons bon courage à nos participants qui, sur le principe de la prime aux bugs, recevront une récompense à la hauteur de leurs efforts !