L’opinion de Corinne Noël sur les Bug Bounties est, pour l’instant assez catégorique : “le recours éventuel aux Bug Bounty n’est pas d’actualité chez fnac.com. Les enjeux de confidentialité sur les sujets de sécurité apparaissant incompatibles avec ce modèle”. Alexandre Cognard (vestiairecollective.com) semble partager cette réticence. Il déclare : “la relation qui lie une entreprise avec un “Ethical Hackers” qui lui a signalé spontanément une faille est par essence ambiguë”. Pour lui, il existe forcement “une asymétrie de compétence” entre une équipe de professionnels en charge de la sécurité d’un site de e-commerce et n’importe quel “hacker en herbe”. Cela peut conduire à une appréciation très différente des deux parties sur la criticité d’une faille de sécurité. Alexandre a déjà expérimenté cette situation. Un hacker avait signalé une faille de sécurité. Après analyse, les équipes de sécurité avaient déterminé que l’impact de cette faille était très limité. Vestiaire Collective s’est alors trouvée confrontée au dilemme de récompenser le hacker, au risque de susciter des vocations, ou de ne pas le récompenser et de s’exposer à des formes de représailles dont les répercussions sont toujours difficiles à prévoir. Le hacker a même proposé à Vestiaire Collective de “contractualiser” en passant par une plate-forme de Bug Bounty… Pas forcément la meilleure manière pour un site de e-commerce de se laisser convaincre par les bénéfices de ce type de plate-forme ! Alexandre Cognard (vestiairecollective.com) en reconnaît l’intérêt mais pour les sites de e-commerce qui ont déjà atteint un stade élevé de maturité dans la maîtrise de leurs risques cyber. Pour lui, les Bug Bounties sont un “moyen incrémental” de s’assurer de la fiabilité d’un site, une fois que l’ensemble des méthodes traditionnelles de détection et de corrections des failles ont été mises en œuvre. Arnaud Treps (accorhotels.com) est du même avis qu’Alexandre Cognard : recourir au Bug Bounty nécessite d’avoir atteint la “maturité absolue” sur la gestion du risque cyber. Selon lui, cela nécessite en effet d’avoir préalablement mis en place une organisation capable de traiter les “bugs” de sécurité, de façon très réactive pour ne pas créer de frustration et de déception auprès de la communauté. L’internalisation de la détection des failles de sécurité permet à l’entreprise de garder le contrôle surle rythme de correction des failles. Néanmoins, Arnaud Treps (accorhotels.com) perçoit bien les avantages offerts par les Bug Bounties. Il n’est pas exclu qu’AccorHotels puisse un jour y recourir. Pour Emmanuel Cordente (voyages-sncf.com), recourir aux Bug Bounties est indéniablement intéressant : “ce que l’on constate avec les démarches d’audit traditionnelles, c’est que, au bout d’un moment, on ne trouve plus rien ! D’une part, parce qu’on corrige nos erreurs, et que notre niveau s’améliore sans cesse. D’autre part, parce qu’en cherchant toujours de la même manière, on ne trouve logiquement plus rien”. Voyages-sncf.com cherche donc maintenant à diversifier ses méthodes. Le but est de se rapprocher au maximum de la démarche qu’utiliserait un hacker malveillant. Un intérêt non négligeable que voit Emmanuel Cordente (voyages-sncf.com) dans les Bug Bounties est leur durée. Un Bug Bounty peut s’échelonner sur plusieurs années. C’est une différence fondamentale avec les audits dont la durée est forcément limitée. Emmanuel Cordente fait également le constat qu’un certain nombre de failles peut provenir des composants utilisés par voyages-sncf.com. Or, un composant peut demeurer intègre pendant une très longue période avant qu’une faille ne soit finalement repérée. Une fois la faille publiée, les attaques peuvent se multiplier très rapidement. Damien Cazenave (vente-privee.com) considère qu’il peut faire sens de lancer un Bug Bounty sur un périmètre sur lequel l’entreprise considère avoir atteint un certain niveau de maturité. Incontestablement pour Damien Cazenave (vente-privee.com), les Bug Bounties peuvent faire passer un “palier supplémentaire” à une entreprise. Pas trop d’illusions à avoir pour autant sur la baisse des coûts que pourrait représenter le recours au Bug Bounty. Pour attirer les meilleures “pointures”, un programme de Bug Bounty doit être bien doté. On n’attire pas les mouches avec du vinaigre ! Damien Cazenave (vente-privee.com) émet une alerte avec le dispositif contractuel proposé par les Bug Bounties. Comment l’entreprise peut-elle avoir la garantie qu’un hacker ne sera pas tenté de monnayer la découverte de sa faille “ailleurs”, si l’entreprise n’est pas suffisamment réactive pour la corriger rapidement ? À l’opposé du spectre, les Bug Bounties peuvent présenter un réel intérêt pour les start-ups qui ne disposent pas encore d’équipe sécurité interne.