Bien que Gartner n’ait pas encore de Magic Quadrant dédié pour les Bug Bounties ou les Crowd Security Testing, Gartner Peer Insights répertorie déjà 24 fournisseurs dans la catégorie « Application Crowdtesting Services ».
Nous avons compilé les 5 plates-formes de primes de bogues les plus prometteuses pour ceux d’entre vous qui cherchent à améliorer votre arsenal de test de logiciels existant avec les connaissances et l’expertise de chercheurs internationaux en sécurité:
1. HackerOne
Être une licorne soutenue par de nombreux investisseurs en capital-risque réputés, HackerOne est probablement la marque Bug Bounty la plus connue et la plus reconnue au monde.
Selon leur dernier rapport annuel, plus de 1 700 entreprises font confiance à la plate-forme HackerOne pour augmenter leurs capacités de test de sécurité des applications en interne. Le rapport indique également que leurs chercheurs en sécurité ont gagné environ 40 millions de dollars de primes rien qu’en 2019 et 82 millions de dollars cumulés.
HackerOne est également célèbre pour avoir hébergé des programmes de Bug Bounty du gouvernement américain, y compris les programmes de divulgation des vulnérabilités du département américain de la Défense et de l’armée américaine. Comme certains autres fournisseurs commerciaux de Bug Bounties et de programmes de divulgation de vulnérabilités (VDP), HackerOne propose désormais également des services de test d’intrusion remplis de chercheurs en sécurité agréés du monde entier. HackerOne dispose d’un solide portefeuille de certifications de sécurité, notamment ISO 27001 et l’autorisation FedRAMP.
2. BugCrowd
Fondé par l’expert en cybersécurité Casey Ellis, BugCrowd est probablement la plate-forme Bug Bounty la plus créative et la plus inventive. BugCrowd promeut activement non seulement les services de test de sécurité de foule traditionnels, mais également la gestion de la surface d’attaque et un large éventail de services de test de pénétration pour l’IoT, l’API et même le réseau, en devançant leurs concurrents sur le marché du travail de foule en croissance rapide.
BugCrowd annonce également à juste titre de nombreuses capacités d’intégration du cycle de vie du développement logiciel (SDLC), rendant le flux de travail DevSecOps plus rapide et plus facile pour leurs clients fortunés.
BugCrowd est célèbre pour avoir hébergé des programmes Bug Bounty pour des géants de l’industrie comme Amazon, VISA et eBay, ainsi que pour la vénérée association d’éducation à la cybersécurité (ISC )². De nombreux débutants dans la recherche sur la sécurité connaissent bien BugCrowd grâce à l’Université BugCrowd, aux webinaires sur la sécurité en cours et à la formation que BugCrowd organise intelligemment pour ses clients et ses chercheurs.
3. OpenBugBounty
La montée en flèche OpenBugBounty project est la seule plateforme de divulgation de vulnérabilités à but non lucratif et Bug Bounty de notre liste. Son classement Alexa indique qu’OpenBugBounty est sur le point de surpasser la plupart de ses concurrents commerciaux avec succès.
Avec plus de 1200 programmes Bug Bounty actifs, OpenBugBounty permet également la divulgation coordonnée des problèmes de sécurité sur n’importe quel site Web si le problème a été détecté par des moyens non intrusifs. La création du programme Bug Bounty est totalement gratuite et les propriétaires de sites Web ne sont pas tenus d’effectuer des paiements monétaires aux chercheurs – mais sont encouragés au moins à remercier les chercheurs et à fournir une recommandation publique pour leurs efforts.
OpenBugBounty héberge des programmes Bug Bounty pour des entreprises telles que A1 Telekom Austria et Drupal, avec plus de 20 000 chercheurs en sécurité et près de 800 000 vulnérabilités de sécurité soumises à ce jour. La plateforme affirme que ses politiques et processus de divulgation sont basés sur la norme ISO 29147.
OpenBugBounty coopère également avec les CERT nationaux et les agences d’application de la loi en leur fournissant une API gratuite pour la plate-forme tout en gardant les détails de vulnérabilité confidentiels à moins qu’un chercheur ne divulgue ses découvertes au public.
4. SynAck
Soutenu par de nombreux fonds de capital-risque renommés, notamment Intel Capital et Kleiner Perkins, SynAck a été nommée société «CNBC Disruptor» quatre fois de suite, de 2015 à 2019. SynAck se dresse au sommet des plates-formes commerciales Bug Bounty, également nommées dans les 25 meilleures startups de logiciels d’entreprise de Gartner.
Fondée par Jay Kaplan et Mark Kuhr, visionnaires de la sécurité et vétérans réputés des agences de sécurité nationale américaines, SynAck propose une équipe d’élite de chercheurs en cybersécurité soigneusement approuvés, connue sous le nom de «Red Team» (SRT). Selon SynAck, le groupe SRT est composé d’experts en sécurité avec des antécédents vérifiés et une expérience crédible dans l’industrie.
SynAck se positionne avec succès en tant que leader des services de test de sécurité des foules de confiance en effectuant une vérification diligente complète de leur équipe rouge et en enregistrant toutes leurs activités pour une analyse ou un examen futur. Enfin, SynAck a développé avec succès des partenariats et des alliances technologiques avec les leaders du secteur, notamment Microsoft, AWS et HPE, démontrant un fort potentiel de croissance future.
5. YesWeHack
OuiWeHack est l’étoile montante de notre classement pour 2021. La seule société européenne de bugs bounty et de divulgation de vulnérabilités, YesWeHack attire efficacement les entreprises basées dans l’UE dont la principale préoccupation est la stricte confidentialité et la protection des données. Récemment, YesWeHack a annoncé une croissance record de 250% en 2020 en Asie, démontrant que les startups européennes sont capables d’évoluer à l’échelle mondiale.
Semblable à BugCrowd, YesWeHack est bien préparé à investir dans son capital humain. L’année dernière, il a lancé un programme de formation pour aider les chasseurs de Bug Bounty à perfectionner leurs compétences en piratage avec la plate-forme YesWeHack DOJO. Il propose des cours d’introduction et des défis de formation axés sur des vulnérabilités de sécurité et des terrains de jeu spécifiques.
Avec DOJO, les chercheurs en sécurité du monde entier peuvent améliorer leurs compétences en matière de test de sécurité logicielle. Enfin, YesWeHack démontre de manière convaincante sa capacité à attirer des clients européens de renom comme le conglomérat français OVH.
Les Bug Bounties ont commencé leur transformation des tests de sécurité de foule purs à des plates-formes de cybersécurité tout-en-un, offrant des tests de pénétration classiques et une myriade d’autres services. Aujourd’hui, il est difficile de prédire le succès de leur offre par rapport aux MSSP traditionnels et aux fournisseurs de cybersécurité; cependant, Bug Bounties a certainement créé une nouvelle niche de marché avec un potentiel puissant.
Alors que l’ouvert et le libre OpenBugBounty Le projet apporte de la maturité à l’entreprise, comme l’a fait Linux open source contre Microsoft il y a des décennies, donnant plus tard naissance à une entreprise Red Hat de plusieurs milliards.
C’est un indicateur que le marché de Bug Bounty devient plus grand et plus compétitif alors que les nouveaux arrivants rejoignent toujours le jeu. Nous pouvons probablement nous attendre à davantage d’accords de capital-risque et de fusions-acquisitions favorisant l’expansion du marché de la sécurité des foules.
