Projet pilote de primes aux bogues mené avec succès au sein de l'administration fédérale

01.07.2021 - Du 10 au 21 mai 2021, le NCSC a mené un projet pilote de primes aux bogues, en collaboration avec la société Bug Bounty Switzerland, le Département fédéral des affaires étrangères (DFAE) et les Services du Parlement. Ce projet a donné de très bons résultats, et les enseignements qu'il a livrés permettront d'éclairer la réalisation de futurs programmes du même genre au sein de l'administration fédérale.

Icon: Melden Sie Sicherheitslücken beim Covid-Zertifikat

Les programmes de primes aux bogues visent à repérer, à consigner et à corriger les éventuelles vulnérabilités de systèmes et applications informatiques avec l'aide de pirates éthiques. En tout, quinze pirates ont participé au projet, sur mandat de la Confédération.

Dix failles de sécurité découvertes

Dans le cadre du projet, les pirates éthiques ont exploré six systèmes informatiques du DFAE et des Services du Parlement à la recherche d'éventuelles failles de sécurité. Dix failles ont été signalées au NCSC: une était de gravité «critique», sept de gravité «modérée» et deux de «faible» gravité. Elles ont immédiatement été comblées par les fournisseurs de prestations concernés. Les pirates ont ensuite procédé à des vérifications pour confirmer que l'opération avait bien fonctionné.

Bilan positif

Comme l'a montré le projet, les programmes de primes aux bogues sont efficaces pour détecter et corriger les failles présentes dans les systèmes et applications informatiques. Le retour sur investissement a été estimé comme étant élevé. Le programme de primes aux bogues que le NCSC met en œuvre au sein de l'administration fédérale contribue grandement à réduire les cyberrisques auxquels la Confédération est exposée.

Compte tenu des enseignements et données d'expérience qu'il a retirés du projet, le NCSC compte étendre continuellement et aussi largement que possible le programme de primes à d'autres systèmes informatiques de l'administration fédérale.

C'est pourquoi il faut que la procédure de passation de marché démarre au plus tôt. Outre Bug Bounty Switzerland, d'autres entreprises proposent des programmes de primes aux bogues en Suisse. Afin que la neutralité de la procédure soit garantie, Florian Schütz, délégué fédéral à la cybersécurité, entend se retirer du conseil consultatif de Bug Bounty Switzerland.

Dernière modification 01.07.2021

Début de la page

https://www.ncsc.admin.ch/content/ncsc/fr/home/aktuell/im-fokus/abschlussbericht-bb.html