FAQ

Qu'est-ce que le Bug Bounty ?

Le Bug Bounty applique le principe du crowdsourcing à la cybersécurité : il mobilise une communauté d’experts pour tester un périmètre et récompenser ces chercheurs pour chaque vulnérabilité découverte, généralement selon sa gravité et la qualité du rapport fourni. Initié par Netscape en 1995, le Bug Bounty transforme la stratégie défensive des organisations en réunissant efficacité, agilité et ROI.

Qu'est-ce qu'une plateforme de Bug Bounty ?

Une plateforme de Bug Bounty permet à une organisation de publier un programme de Bug Bounty auprès d’une communauté de chercheurs inscrits sur cette plateforme et à ces chercheurs de rapporter les vulnérabilités identifiées dans le cadre de ce programme.

Qu'est-ce qu'un programme de Bug Bounty ?

Le programme fixe le cadre et les règles selon lesquelles les vulnérabilités sont recherchées, rapportées et récompensées : périmètre(s), chercheurs mobilisés, type et profondeur des tests, catégories et gravité des vulnérabilités, contenu des rapports, modalités de récompenses et autres spécificités éventuelles.

Quelle différence entre un programme public et privé ?

Un programme privé s’adresse à un nombre pré-défini de chercheurs, choisis par l’organisation cliente, et ne fait pas l’objet d’une communication externe. Un programme public s’adresse à l’ensemble de la communauté de chercheurs inscrits sur la plateforme.

Qu'est-ce qu'un "chercheur" ?

Un chercheur (ou « hunter ») est une personne qui remonte des vulnérabilités de façon responsable, dans le cadre d’un programme de Bug Bounty.

Comment est née YesWeHack ?

YesWeHack a été créé en 2013 par des experts et passionnés en cybersécurité, issus de la communauté des chercheurs puis ayant occupé des fonctions de direction dans les cabinets d’audit ou comme RSSI. Leur double expérience comme chercheurs puis professionnels de la sécurité les a amenés aux conclusions suivantes: – Il n’existe pas assez de canaux, simples et sécurisés, de remontée des vulnérabilités pour les chercheurs de bonne volonté. – Les chercheurs ne sont pas encouragés dans leurs efforts et leur contribution à la cybersécurité globale. – Les organisations (entreprises et autres) ne trouvent pas satisfaction dans les solutions traditionnelles, qui ne répondent pas à leurs besoins croissants d’agilité, et dont le ROI est difficilement mesurable. – La pénurie chronique de compétences en cybersécurité constitue un défi majeur pour les organisations clientes comme pour les fournisseurs de services. Forts de ces constats, ils ont créé une plateforme de mise en relation entre organisations et chercheurs: YesWeHack.com. Cet outil garantit confidentialité et transparence des opérations pour les organisations clientes, comme pour les chercheurs.

Comment sélectionner les chercheurs participant à un programme privé ?

YesWeHack vous aide à choisir le nombre et les profils de chercheurs les mieux adaptés à vos besoins : environnement technique et fonctionnel du périmètre à tester, compétences spécifiques requises, maturité du périmètre et exigences en termes de sécurité, budget de votre programme, etc. L’objectif est de garantir : 1/ l’attractivité de votre programme : que les chercheurs sélectionnés soient les plus actifs possible; 2/ sa performance : que les chercheurs remontent le plus de vulnérabilités possibles, dans le cadre des règles du programme; 3/ le respect de votre budget de récompenses.

Comment sont récompensés les chercheurs ?

Pour chaque vulnérabilité, seul le chercheur ayant soumis en premier le rapport est récompensé. Les chercheurs sont généralement récompensés par une prime versée selon une grille prédéfinie dans le cadre de chaque programme : le niveau de gravité de la vulnérabilité, tel que (re)qualifié par le client, détermine ainsi le montant de cette prime. Le versement de la prime est réalisé par une plateforme de paiement tierce, répondant aux exigences de conformité européennes, et garantissant la traçabilité des flux financiers. Des points sont également attribués, notamment selon la qualité du rapport et de la remédiation proposée. Ces points permettent aux chercheurs de monter dans nos classements, et les encouragent donc à fournir un travail et une expérience de qualité au client.

Quelles sont les obligations légales, fiscales et sociales d’un hunter ?

Si son activité auprès de la plateforme ou de plusieurs plateformes est professionnelle (exercice régulier et lucratif), le Hunter doit disposer d’un statut légal pour son activité, qui peut s’exercer de manière individuelle (Autoentrepreneur) ou en société (EURL, SARL). A défaut d’inscription à un régime juridique adéquat, le Hunter risque d’être poursuivi pour dissimulation d’activité.

Le Hunter doit se rapprocher des autorités administratives compétentes (URSSAF, administration fiscale) afin de connaitre les obligations relatives à son activité et procéder à son inscription et aux diverses formalités administratives. Pour plus d’information, voir le site de l’URSSAF rubrique « Indépendant » : https://www.urssaf.fr/portail/home/independant.html

Au-delà d’un certain niveau de revenu tiré de son activité sur la plateforme ou de plusieurs plateformes, le Hunter pourra être assujetti à la TVA et en conséquence devra facturer, collecter et reverser à l’administration fiscale la TVA afférente à chaque opération. L’administration fiscale applique une franchise de TVA suivant le Chiffre d’affaires annuel du Hunter (33.200 euros Franchise en base applicable en 2019).

Dès lors qu’il est assujetti, le Hunter doit obligatoirement émettre une facture conforme à la réglementation fiscale notamment en y mentionnant son N° de TVA. Le N° de TVA est par principe attribué automatiquement au moment où le hunter adopte un statut professionnel.

Les mentions légales obligatoires sur la facture sont prévues à l’article 441-3 du code de commerce et aux articles article 242 nonies et 242 nonies A du code général des impôts – annexe 2.

De plus, toute source de revenu doit faire l’objet d’une déclaration fiscale au titre de l’impôt sur le revenu et le cas échéant, au titre de l’impôt sur les sociétés en fonction du statut légal adopté.

Afin de connaitre ses obligations, le Hunter devra se rapprocher de son centre des impôts pour connaitre les formalités applicables à sa situation et au statut qu’il aura choisi.

Qu'est-ce qu'un rapport de vulnérabilité "en doublon" ?

Il s’agit des rapports remis par différents chercheurs portant sur la même vulnérabilité. Seul le chercheur ayant remonté le premier une vulnérabilité donnée est récompensée, ce qui les encourage à la réactivité.

Comment définir le périmètre de mon premier programme de Bug Bounty ?

Pour lancer votre premier programme, nous vous conseillons de commencer par un périmètre restreint et maîtrisé, que vous connaissez bien et qui a été préalablement durci. Lorsque vous avez pris vos marques à travers ce premier programme, le support YesWeHack vous aide à l’étendre progressivement, en élargissant et/ou ajoutant des périmètres, assouplissant les règles, et/ou augmentant le nombre de chercheurs.

Comment prévoir le coût d'un programme de Bug Bounty ?

Le coût total d’un programme de Bug Bounty s’établit en fonction de trois principaux critères : les périmètres soumis dans le cadre du programme, le nombre et profil de chercheurs sollicités, et la grille de rémunération des chercheurs. YesWeHack vous aide à définir et affiner ces critères, ainsi que tous les aspects de votre programme, pour optimiser et tenir votre budget selon vos contraintes budgétaires et objectifs sécuritaires.

Comment contrôler votre budget de Bug Bounty ?

YesWeHack vous accompagne à chaque étape de la construction, du lancement et du suivi de votre programme pour que les règles de votre programme (périmètres, règles, grilles de récompenses, nombre et profil de chercheurs) restent cohérentes avec votre budget prévu.

Qu'est-ce que l'eWallet ?

L’eWallet est le compte utilisé pour verser leurs primes aux chercheurs. Pour cette raison, il doit être approvisionné avant le démarrage effectif du programme.

Comment vous assurer de l'attractivité et de la performance de votre programme dans la durée?

Si YesWeHack détecte un manque d’attractivité ou une diminution des performances d’un programme, le support vous préconise un ajustement des règles en conséquence. Cet ajustement porte généralement : – sur le périmètre du programme : peut-être trop restrictif, ou déjà très durci; – le nombre et le profil des chercheurs : en programme privé, il convient de renouveler ou d’ouvrir régulièrement les équipes; – leur grille de récompenses : qui doit être parfois être réévaluée en fonction de la complexité des vulnérabilités à découvrir.

Quels sont les risques induits par le Bug Bounty ?

Les risques opérationnels ne sont pas différents de ceux d’un test d’intrusion. Par ailleurs, les périmètres sous Bug Bounty sont généralement exposés sur Internet, et peuvent faire l’objet d’attaques externes, quelle qu’en soit l’origine. Les cas de chercheurs ayant détourné un programme pour leur usage personnel malveillant sont rarissimes, et inexistants à ce jour sur notre plateforme.

Comment YesWeHack garantit l'intégrité et l'éthique de ses chercheurs ?

Chaque chercheur éligible à une prime financière se voit appliqué les contrôles KYC par notre plateforme tierce de paiement, qui prend en charge la vérification de son identité et la déclare auprès des autorités bancaires, en respect des régulations européennes. En s’inscrivant sur notre plateforme, nos chercheurs signent nos CGUs par lesquelles ils s’engagent notamment à respecter strictement les règles de chaque programme auquel il est inscrit, ainsi que la confidentialité des données auxquelles il est susceptible d’accéder. Nos chercheurs sont également tenus d’effectuer toutes les déclarations requises par l’administration fiscale et les organismes de sécurité sociale dont il dépend, en fonction de son statut et de son pays de résidence. Par ailleurs, la récompense financière des chercheurs les soumet à un contrôle préalable (KYC) par notre plateforme de paiement. Enfin, les chercheurs sont notés pour la qualité des rapports de vulnérabilités produits. Cette notation, qui prend en compte la qualité de leurs interactions avec les clients, détermine leur classement sur la plateforme et les encourage à offrir la meilleure expérience possible.

Comment savoir si mon organisation est "prête" pour un Bug Bounty ? Comment "tester" le Bug Bounty avec mon organisation ?

Les principaux prérequis au lancement d’un programme de Bug Bounty sont: – Une capacité minimum à corriger les vulnérabilités; – Une capacité minimum à répondre aux chercheurs qui soumettent leurs rapports. Pourquoi « minimum » ? Parce qu’il n’est pas nécessaire de disposer de moyens importants pour gérer un programme de Bug Bounty : il suffit d’ajuster le programme à vos moyens techniques, humains et budgétaires. Des entreprises de tous secteurs et de toutes tailles utilisent le Bug Bounty et s’appuient sur YesWeHack : notre support s’assure que votre programme est adapté à vos ressources et vous suggère les ajustements nécessaires en phase de lancement, et dans la durée.

Comment YesWeHack s’assure de la confidentialité de vos données ?

Les échanges entre YesWeHack et nos clients sont chiffrés de bout en bout. YesWeHack n’accède pas à vos rapports de vulnérabilités. Notre infrastructure est hébergée sur un Cloud souverain répondant aux exigences de sécurité les plus strictes (certifiée ISO 27001, CSA STAR, SOC I/II type 2 & PCI DSS), et notre plateforme est sous Bug Bounty public permanent, gage de sécurité et de transparence maximales vis-à-vis de nos clients.

Puis-je interrompre ou modifier mon programme du Bug Bounty ?

Vous pouvez suspendre puis relancer, ou ajuster, à tout moment votre programme, selon vos contraintes de production. Les chercheurs en seront immédiatement informés.

Autre sites