L’administration fédérale a temporairement suspendu un programme de bug bounty en raison de l’épuisement du budget pour les récompenses.
Depuis 2022, l’administration fédérale recherche régulièrement des vulnérabilités dans ses systèmes informatiques via dans le cadre des programmes de bug bounty. Dans le cadre d’un échange rapporté dans l’article ci-dessous, l’Office fédéral de la cybersécurité a indiqué avoir dû suspendre temporairement son bug bounty en raison d’un budget de récompense épuisé.
Afin de sécuriser davantage ses systèmes informatiques, l’administration fédérale s’appuie en effet, entre autres, sur des programmes de bug bounty. On apprend, selon les statistiques publiées par l’Office fédéral de la cybersécurité (BACS) que seuls trois bugs ont été signalés au premier trimestre 2024, tous enregistrés comme invalides. À titre de comparaison : au 4e trimestre 2023, le BACS a enregistré 65 vulnérabilités valides pour un montant de CHF 61’500.-.
![](https://i0.wp.com/www.ledecodeur.ch/wp-content/uploads/2024/06/image-17.png?resize=732%2C497&ssl=1)
Au total, selon la synthèse de l’article de SwissCybersecurity ci-dessous, la Confédération a versé des primes d’une valeur de 131’500 francs en 2023. En 2024, des primes d’une valeur de 280’000 francs sont budgétisées, poursuit la BACS. Par ailleurs, 600’000 francs ont été dépensés en 2023 pour l’utilisation de la « plateforme bug bounty » au cours des cinq prochaines années.
![](https://i0.wp.com/www.ledecodeur.ch/wp-content/uploads/2024/06/image-14.png?resize=1024%2C447&ssl=1)
Selon ce même article, il est indiqué que les tests ont dû être freinés car ils avaient épuisé le budget disponible pour les récompenses. Il est évident qu’un programme de bug bounty, selon la couverture choisie et la durée, peut amener à de nombreuses découvertes de vulnérabilités, qui vont certes permettre de réduire les risques d’une compromission mais aussi induire des coûts de récompenses potentiellement élevés.
En complément des bug bounties, il ne faut pas oublier la complémentarité des audits de sécurité, par mandat sur un périmètre plus fin ou encore les formulaires de divulgation de vulnérabilités comme ici pour le canton de Vaud.