Pentest vs. Bug bounty : Que choisir pour des tests de sécurité ?

Un pentest (ou test d’intrusion) permet de mettre à l’épreuve la sécurité d’une plateforme en faisant conduire des tests par une entreprise spécialisée en cybersécurité. Les plateformes de bug bounties, apparues aux Etats-Unis il y a quelques années puis à présent en Europe, permettent de faire conduire des tests de sécurité par des hackers indépendants qui s’inscrivent sur une plateforme en ligne. Quelles sont les différences entre ces 2 types d’approches ? Laquelle choisir pour tester son niveau de vulnérabilité ?

Pentest vs Bug Bounty : quelle différence?

Faire conduire un pentest revient à opter pour une approche structurée : la recherche systématique de vulnérabilités avec une méthodologie bien établie permet de couvrir tous les pans du système exposé. L’audit a un début et une fin, avec des dates planifiées. Il peut ensuite être renouvelé sur une base régulière. La société cliente a un interlocuteur avec lequel échanger, sur les failles, les corrections à mettre en place, et les risques spécifiques liés à son activité.
Exposer une application web sur un site de bug bounty revient à autoriser les chasseurs de bugs à être récompensés pour leurs exploits. Cela permet d’ouvrir la recherche de failles à un nombre potentiellement important de personnes intéressées par la démarche. Ces personnes conduisent des recherches quand elles en ont l’envie et le temps, et déclarent leurs trouvailles au fur et à mesure, par l’intermédiaire d’une plateforme en ligne.

pentest-vs-bug-bounty

Les avantages du pentest

Pour conduire un pentest, il faut établir un contrat avec une société spécialisée en cybersécurité. Le prestataire a des obligations, et se porte garant du travail effectué par son équipe : que ce soit sur le niveau de qualité ainsi que sur la confidentialité et la responsabilité en cas d’incident. La réputation de l’entreprise, et même son existence sur le marché, est en jeu.
Le client est informé des dates de tests, des IPs utilisées par les attaquants, des différentes phases de l’audit. Il peut demander des restrictions, ou au contraire un focus spécifique sur certains pans de son application web. Il est donc rassurant de faire appel à une société experte en pentest. Si l’on recherche un accompagnement personnalisé, adapté au contexte de l’entreprise, c’est un service efficace.

Les avantages du bug bounty

Le principal avantage du programme de bug bounty consiste à permettre des tests en continu, par un grand nombre de personnes. Il s’agit de la démarche de crowdsourcing adaptée au pentest.
Il peut se révéler intéressant, pour une entreprise sûre de son niveau de sécurité face aux hackers, d’exposer un site web sur une plateforme de bug bounty afin de bénéficier de feedback sécurité complémentaire.

Choisir selon ses besoins et ses enjeux de sécurité

Le pentest est un MUST dans plusieurs cas de figure :

  • pour effectuer un premier test de sécurité : si la plateforme est potentiellement vulnérable, alors mieux vaut faire appel à un expert qui s’engagera à maîtriser ses tests (ne pas faire de tests risqués sans prévenir le client) et qui sera disponible pour des explications pédagogiques.
  • pour un audit approfondi sur des pans sensibles : dans le cas d’un logiciel métier « fermé » (accessible uniquement avec des identifiants de connexion), il est possible de faire conduire des tests « greybox » à l’intérieur des fonctionnalités de l’application. Pour cela, il est nécessaire de faire appel à un expert afin d’éviter de fournir des identifiants à un nombre élevés de personnes (n’agissant pas pour le compte d’une seule entreprise).
  • pour un audit comprenant des tests d’ingénierie sociale : ces tests comprenant également du phishing et des attaques téléphoniques doivent nécessairement être menées par un seul prestataire, pour des raisons essentielles de cohérence et de sécurité.
  • pour un audit dont la finalité est de pouvoir se justifier auprès de ses client : le livrable remis à la fin de l’audit pourra en effet être communiqué à des clients qui le demandent (cela est souvent le cas pour les éditeurs de logiciels commercialisés en BtoB)

Le bug bounty est complémentaire dans les cas suivants :

  • pour élargir les tests de sécurité sur une plateforme déjà bien sécurisée : cela pourra permettre de varier les regards et de faire éventuellement remonter des éléments oubliés.
  • pour des tests de sécurité sur des sites exposés au grand public, sans risque de sécurité majeur : par exemple pour un site à fort traffic, de consultation de contenu, sans données confidentielles

Dans les deux cas, cela revient à dépénaliser le signalement de failles de sécurité, sans pour autant remplacer le fait de faire un pentest de temps en temps pour une approche complète et méthodique.

Alors, pentest ou bug bounty? Le plus important est de bien choisir selon ses besoins !