Bug bounty : des récompenses de plus en plus élevées

Par
Le 07 juin 2018
 0
La plateforme de bug bounty Bugcrowd a délivré ses statistiques pour la dernière année. Les chiffres sont éloquents : la communauté des hackers « white hat » découvre de plus en plus de vulnérabilités. Par un juste retour des choses, les sociétés offrent aussi des primes plus importantes. Voici les chiffres clés du rapport.

Le crowdsourcing est un phénomène encore jeune, mais qui prend rapidement de l'ampleur dans le secteur de la sécurité informatique. Bugcrowd, une plateforme qui met en relation les entreprises et la communauté des hackers, a ainsi révélé des chiffres édifiants.

+21% de vulnérabilités identifiées en 2017


Du 1er avril 2017 au 31 mars 2018, le site a analysé plus de 700 programmes de bug bounty. La plateforme aura enregistré plus de 37 000 rapports de vulnérabilités, soit une augmentation de 21% par rapport à l'année précédente.
20% des vulnérabilités reportées par la communauté ont été classées P1 et P2 (les plus critiques). Sur ces 20%, 7% sont de niveau P1. Les vulnérabilités P3 représentent le plus gros morceau avec 31%, soit 10% de plus que l'année précédente. Les bugs classés P4 et P5 ont quant à eux un taux respectif de 26% et 16%. Les 7% restants sont des vulnérabilités mineures.

Plus intéressant, 91,1% des rapports concernent des bugs liés aux sites internet des entreprises. Les primes pour les bugs critiques P1 ont augmenté par conséquent, passant en moyenne de 926$ à 1 200$ d'une année à l'autre.

bug bounty
©Bugcrowd


Une communauté mondiale croissante


Ce n'est pas pour rien si le crowdsourcing a le vent en poupe : une entreprise faisant appel à des programmeurs indépendants découvre en moyenne 7 fois plus de vulnérabilités qu'en passant par des moyens classiques en interne.

De nouveaux marchés émergents, avec en tête de file l'Inde. 30% des bugs soumis l'an dernier sur Bugcrowd proviennent de ce pays. Quant aux récompenses, ce sont les Etats-Unis les plus généreux avec les chasseurs de bugs.

bug bounty
©Bugcrowd


Si la France reste absente sur la carte dévoilée par Bugcrowd, cela ne veut pas dire que notre pays ne possède pas de chasseurs de bugs. Ils n'utilisent tout simplement pas cette plateforme. L'Europe possède en effet sa propre plateforme nommée YesWeHack. Elle a réalisé ces derniers temps des programmes pour Intel, Toyota ou encore Microsoft pour ne citer que les plus connus.
Modifié le 07/06/2018 à 16h21
scroll top