Bug Bounty : les hackers éthiques invités à participer au renforcement de la sécurité des services numériques de l’État

Dans le cadre de sa politique de sécurité des systèmes d’information (SSI), l’État a mis en place des mesures renforcées pour faire face aux menaces numériques grandissantes. Cette politique s’accompagne d’une augmentation significative des primes offertes dans le cadre des programmes de Bug Bounty de Tchap, FranceConnect, FranceConnect+, et ProConnect, afin de favoriser la détection et la correction rapide des vulnérabilités. L’objectif, à travers l’augmentation des primes, est également d’encourager une participation toujours plus active de la communauté des hackers d’intérêt général.

Le plafond des récompenses pour les vulnérabilités critiques est porté à 20 000€ pour Tchap (contre 8 000€) et à 30 000€ pour FranceConnect, FranceConnect+ et ProConnect (contre 20 000€). La détection porte principalement sur des vulnérabilités liées à de l’exfiltration de données et de l’usurpation d’identité.

Les règles de contribution exigent d’être le premier à signaler une faille, de proposer une solution constructive, de ne pas endommager les systèmes, de respecter la confidentialité des données et d’être totalement indépendant du projet. Chaque faille ne sera rémunérée qu’une fois : le premier hacker qui l’aura signalée touchera la prime associée.

Pour participer au programme de Bug Bounty de FranceConnect, FranceConnect+, et ProConnect, les hackers éthiques doivent directement s’inscrire ici et ici pour le programme Tchap. L’inscription est obligatoire sur la plateforme YesWeHack. Après vérification de leur profil, ils pourront ensuite signaler les failles de sécurité qu’ils identifient en suivant les instructions fournies sur la plateforme.

Pour l’État, ces programmes combinent l’intérêt de détecter des vulnérabilités avant qu’elles ne causent des dommages, de renforcer sa posture de défense en se confrontant aux méthodes des attaquants, tout en favorisant une démarche collaborative et transparente grâce à l’ouverture du code source. Ces programmes existent depuis 2019 sur Tchap et depuis 2021 pour FranceConnect.

À propos de YesWeHack : YesWeHack est une plateforme globale de Bug Bounty et de gestion des vulnérabilités qui connecte des organisations à des dizaines de milliers de chercheurs en cybersécurité à travers le monde. Leur objectif est de découvrir les vulnérabilités potentielles au sein de sites web, applications mobiles, appareils connectés et infrastructures numériques, afin que les organisations puissent les corriger. Pour en savoir plus : yeswehack.com

Contact presse : Mathilde BESNARD, Senior Marketing & Communication Manager Mél : m.besnard@yeswehack.com / Tél : 06 37 83 77 96

À propos de la direction interministérielle du numérique (DINUM) : Service du Premier ministre, la direction interministérielle du numérique (DINUM) a pour mission d’élaborer la stratégie numérique de l’État et de piloter sa mise en œuvre. Elle exerce aussi les missions de « chief data officer » et de DRH du numérique de l’État. En tant que cheffe de file du numérique de l’État, elle a pour objectif de rendre l’État plus efficace, plus simple et plus souverain grâce au numérique et collabore à cet effet avec l’ensemble des directions numériques des ministères et ses partenaires.

Elle intervient également sous l’égide du ministère de la Fonction publique, de la Simplification et de la Transformation de l’action publique et est à la disposition du secrétariat d’État chargé de l’intelligence artificielle et du numérique. Pour en savoir plus : numerique.gouv.fr