Programme de bug bounty.

Initiative formelle par laquelle une organisation invite des chercheurs externes a signaler des vulnerabilites et verse des recompenses fondees sur l'impact. Cette notion relève de la catégorie Attaques et menaces en cybersécurité.

Initiative formelle par laquelle une organisation invite des chercheurs externes a signaler des vulnerabilites et verse des recompenses fondees sur l'impact.

Un programme de bug bounty transforme les tests de securite participatifs en processus maitrise. L'organisation publie le perimetre, les regles d'engagement, les exclusions et les paliers de recompense, puis recoit les rapports de chercheurs independants via sa propre plateforme ou un prestataire de triage comme HackerOne, Bugcrowd ou Intigriti. Les vulnerabilites sont validees, reproduites, priorisees et corrigees, avec des paiements lies a la severite (souvent CVSS). Les programmes peuvent etre publics ou prives (sur invitation) et completent, sans remplacer, l'equipe AppSec interne, les outils SAST/DAST et les tests d'intrusion. Une clause de safe harbour juridique est indispensable pour que les chercheurs de bonne foi ne soient pas poursuivis au titre des lois anti-piratage.

Les défenses contre Programme de bug bounty combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.

Noms alternatifs courants : VRP, Programme de primes a la faille.