Le premier bugs Bounty program a été mis en place, il y a 27 ans de cela par Netscape (1).

Elle récompensait en numéraire les utilisateurs qui pouvaient trouver des failles de sécurité sur son navigateur 2.0 en version Beta. Depuis, le marché des bug Bounty programs a connu un réel essor. En effet, le marché du Bug Bounty programs représentait 223.x1 millions USD en 2020, il est prévu une augmentation à 5465.5 millions USD en 2027.
Des chiffres qui démontrent bien l’importance de ce service dans la sphère de l’industrie informatique.

Mais qu’est ce qu’un bug bounty program ?

Dans le cadre de ce programme, une organisation fait intervenir des chasseurs de bugs et leur verse des sommes d’argent lorsqu'ils trouvent des failles de sécurité dans leur logiciel ou sur ses sites, applications ou services.
Devant la croissance de ce marché et la diversité des secteurs qu’il l’on adoptés, de vraies opportunités de carrière se présentent pour ceux passionnés par la cyber sécurité ou bien le white hacking pour les plus anglophones.

En effet, il est devenu très commun de voir des personnes ayant participés dans les programmes bugs bounty, acquérir et exposer une expérience réelle en matière de sécurité et ainsi évoluer dans leur carrière et s’affirmer dans ce domaine.

Mais justement, comment s’affirmer dans ce domaine ?

Pour y parvenir, il faut tracer une vraie stratégie dont voici quelques actions :

•  Etablir une relation de confiance avec le propriétaire du programme. Plusieurs chasseurs de primes ont été embauché par des entreprises qui avaient noté leurs compétences. Ça nous rappelle le petit jeune de Tiaret qui a été recruté par Algérie Telecom à la suite de la faille trouvé sur les systèmes d’Apple. 
• Adopter un comportement professionnel avec son client. 
• Communiquer ses réussites sur les réseaux sociaux ou son blog pour se faire connaitre, se faire autoriser par el programme est impératif. 
• Mentionner cette expérience sur son CV et mettre en avant les vulnérabilités a fort impact qui ont été trouvés. 
• Penser à entretenir sa réputation parmi la communauté des bugs bounty. Les entreprises sont souvent à la recherche de grands talents et contactent même directement la plateforme Bugcrowd (3) pour obtenir des suggestions d'embauche
• Se faire former et se certifier.  

Maintenant, qu’en est-il des revenus ? 

La réponse à cette question se résume au temps que nous consacrons à cette activité mais aussi au degré de vulnérabilité de la faille trouvée. La plupart des personnes qui démarrent cette activité, commencent par trouver des vulnérabilités de faible gravité.
A partir de là, ils apprennent de nouvelles techniques pour découvrir des failles plus graves. Ils ont besoins pour se faire, d’apprendre à coder car cette compétence permet de comprendre comment les applications sont construites et donne une meilleure idée de ce qu’il faut rechercher (C’est ce qu’on appelle le pattern matching).
Cette évolution est aussi une question d’objectifs à se fixer, il est conseillé bien sûr de fixer des objectifs atteignables pour commencer. Ces objectifs peuvent concerner la rémunération qu’on souhaite atteindre, le nombre de bugs ou bien le degré de vulnérabilité qu’on souhaite trouver. Une fois l’objectif défini, il faut déterminer comment y parvenir.

Il existe de nombreuses ressources sur internet qui aide à se lancer. Cependant, nous conseillons, de mettre en avant le volet expertise avant celui de l’argent celui-ci viendra de lui-même par la suite.

Concrètement, les récompenses pour les bugs bounty varient de quelques centaines à plusieurs centaines de milliers de dollars américains. Une étude (4) de 2018 d’un leader américain des Bug Bounty programs, HackerOne, a soulevé qu’un chasseur de bug gagne 2.8 fois de plus en moyenne que peut gagner un profil de l’informatique dans son pays de résidence.

Voici des exemples tirés de cette études : En Inde, 16 fois de plus, au Maroc 3.7 et en Allemagne 1.8 fois.

Le site Glassdoor 5 , nous donne pour les Etats Unis une moyenne annuelle de 93 146 USD, tous niveaux d’expériences et industrie confondues.

Quelles sont les entreprises qui font appel aux bug bounty programs ?

Ce concept séduit les plus grands groupes et les entreprises du CAC 40, celles du secteur technologique sont au sommet de la liste, en premier les GAFAM qui organisent des programmes de bugs bounty en interne. Mais le principe se voit démocratiser dans d’autres secteurs comme les services financiers et assurances, le commerce et la distribution, media et divertissement via des plateformes dédiées au bug bounty.

A noter que les programmes provenant d’organisme gouvernementaux restent très minimes.

Concernant les plateformes des bug bounty les plus connues et reconnues au niveau mondial, nous retrouvons entre autres : HackerOne, BugCrowd, OpenBugBounty, SynAck, YesWeHack, Yogosha. Vivre des bug bounty est tout à fait possible mais il ne faut pas aspirer à des sommes de rémunérations importantes sauf si on est un hacker étique « star ». Ces derniers font partie de ce que les plateformes appellent le « hall of fame » et arrivent à rafler de grosses récompenses.   

Conclusion !

Ce type de programme peut contribuer à façonner un talent en cyber sécurité et de ce fait, ouvrir des portes vers une carrière dans le domaine qui est en plein flambée. Aujourd’hui, on estime qu’il n’y a un profil en cyber sécurité pour quatre offres d’emploi. Les bug bounty programs peuvent être un point d’amorçage pour un bon plan de carrière à conditions d’être passionné par le monde de l’informatique et en particulier de la cyber sécurité mais aussi avoir une appétence à apprendre et à s’investir.

1. Est un navigateur qui a dominé le marché dans les années 1990 (Précision pour les moins jeunes). 
2. Source : https://www.alltheresearch.com/sample-request/437 
3. https://forum.bugcrowd.com/
4 .Source : https://www.eweek.com/security/bug-bounty-hackers-make-more-money-than-average-salaries-report- finds/3/ 5 Source : https://www.glassdoor.com/Salaries/bounty-salary-SRCH_KO0,6.htm