Les Bugs Bounties : une manière de communiquer positivement sur la cybersécurité ?

Le Bug Bounty est un bon moyen de communiquer auprès de ses clients. Pour un e-commerçant, lancer son programme de Bug Bounty, c’est montrer publiquement qu’il est proactif et réactif sur la sécurité des données présentes sur son site. Cela peut contribuer à ajouter un degré supplémentaire de confiance côté client. Ça permet aussi de faire quelques “bons coups de communication” en proposant par exemple des sommes attrayantes ou des lots originaux qui font le succès de la marque. Par exemple, American Airlines propose des miles aux chercheurs en sécurité qui leur remontent des failles, ce qui lui a permis d’être dans tous les médias pendant plusieurs jours. Le programme de Bug Bounty de United Airlines est accessible depuis le site grand public : http://www. united.com/. Mais attention, si la personne en charge du Bug Bounty ne joue pas le jeu en modifiant par exemple son programme à la volée dans le but de ne pas rémunérer les chercheurs en sécurité (hunters) ou en marquant comme doublon des failles qui ne le sont pas, il prend le risque de se faire mal voir par la communauté des “bug hunters” et cela peut rejaillir négativement sur la marque. Il convient donc d’être très carré dans la gestion de son programme et de trouver des idées de récompenses originales pour créer de l’engouement et en faire profiter sa marque. Pour Ely de Travieso, pilote du projet “BugBountyZone”, il n’est pas exclu que certains e-commerçants français, une fois rompus à l’utilisation des Bug Bounties, puissent communiquer à la manière d’un Twitter qui a annoncé récemment avoir offert plus d’un million de dollars en récompense pour des failles de sécurité identifiées.