Sélectionnez avec notre aide :
– Le périmètre des tests : application Web ou mobile, infrastructure, objet connecté, etc.
– Le type de tests autorisés et les catégories de vulnérabilités recherchées.
– La grille de primes des chercheurs.
– Les éventuelles règles spécifiques à votre contexte.
YesWeHack vous assiste à chaque étape en s’appuyant sur son retour d’expérience unique, acquis à travers plusieurs centaines de programmes.
– Programme de Bug Bounty privé : A une sélection de chercheurs soigneusement choisis avec notre aide, selon les besoins spécifiques de chaque programme.
– Programme de Bug Bounty public : A l’ensemble de la communauté YesWeHack.
YesWeHack vous aide à choisir ou choisit pour vous les chercheurs les mieux adaptés à vos besoins, afin de garantir la performance de votre Bug Bounty.
– Les chercheurs soumettent les rapports de vulnérabilités.
– Qualifiez la vulnérabilité en fonction de sa gravité selon vos critères.
– Récompensez les chercheurs selon la gravité de la vulnérabilité et de la qualité du rapport.
YesWeHack vous aide à gérer les relations avec les chercheurs.
– Une fois la correction appliquée, demandez au chercheur que celle-ci est bien efficace.
Les tableaux de bord de YesWeHack vous permettent de piloter efficacement vos programmes de Bug Bounty dans la durée.
Fort de son expérience acquise depuis son lancement en 2013, YesWeHack vous aide à toutes étapes de la construction, du lancement et du suivi de vos programmes de Bug Bounty. Vous êtes ainsi assuré de la performance de votre programme, en ligne avec vos attentes, et de la maîtrise de vos coûts.
Démarrez sur un périmètre maîtrisé, avec une équipe restreinte, pour vous préparer, à votre rythme, à une montée en puissance progressive.
Pour lancer votre premier programme, nous vous conseillons de commencer par un périmètre restreint et maîtrisé, que vous connaissez bien et qui a été préalablement durci. Lorsque vous avez pris vos marques à travers ce premier programme, le support YesWeHack vous aide à l’étendre progressivement, en élargissant et/ou ajoutant des périmètres, assouplissant les règles, et/ou augmentant le nombre de chercheurs.
YesWeHack vous aide à choisir le nombre et les profils de chercheurs les mieux adaptés à vos besoins : environnement technique et fonctionnel du périmètre à tester, compétences spécifiques requises, maturité du périmètre et exigences en termes de sécurité, budget de votre programme, etc. L’objectif est de garantir : 1/ l’attractivité de votre programme : que les chercheurs sélectionnés soient les plus actifs possible. 2/ sa performance : qu’ils remontent le plus de vulnérabilités possibles, avec les règles fixées. 3/ le respect de votre budget de récompenses.
Les chercheurs sont généralement récompensés par une prime versée selon une grille prédéfinie dans le cadre de chaque programme : le niveau de criticité de la vulnérabilité, tel que qualifié par le client, détermine ainsi le montant de cette prime. Des points sont également attribués, notamment selon la qualité du rapport et de la remédiation proposée. Ces points permettent aux chercheurs de monter dans nos classements, et les encouragent donc à fournir un travail et une expérience de qualité au client. Pour chaque vulnérabilité, le chercheur ayant soumis en premier le rapport est récompensé.
YesWeHack vous accompagne à chaque étape de la construction, du lancement et du suivi de votre programme pour que les règles de votre programme (périmètres, règles, grilles de récompenses, nombre et profils de chercheurs) restent cohérentes avec votre budget prévu.
Si YesWeHack détecte un manque d’attractivité ou une diminution des performances d’un programme, le support vous préconise un ajustement des règles en conséquence. Cet ajustement porte généralement : – sur le périmètre du programme : peut-être trop restrictif, ou déjà très durci. – le nombre et le profil des chercheurs : en programme privé, il convient de renouveler ou d’ouvrir régulièrement les équipes. – leur grille de récompenses : qui doit être parfois être réévaluée en fonction de la complexité des vulnérabilités à découvrir.