Afin d’augmenter la sécurité des infrastructures informatiques et de réduire les cyberrisques de manière efficace et économe, l’Office fédéral de la cybersécurité (OFCS) exécute des programmes de primes aux bogues au sein de l’administration fédérale. Il collabore à cet égard avec la société Bug Bounty Switzerland SA et les unités administratives bénéficiaires.
Accroître la cyberrésilience de l'administration fédérale grâce à des programmes de primes aux bogues
Les programmes de primes aux bogues (bug bounty programms), qui s’ajoutent à d’autres mesures de sécurité, visent à identifier, à consigner et à corriger, avec l’aide de pirates éthiques, les éventuelles vulnérabilités des systèmes et applications informatiques. Les pirates éthiques, contrairement aux pirates à motivation criminelle, s’engagent à respecter la loi et agissent avec le consentement des acteurs concernés.
À l’issue d’un projet pilote mené en 2021 par ce qui était alors le NCSC, la Confédération a fait l’acquisition, en août 2022, d’une plateforme destinée aux programmes de primes aux bogues. Depuis, l’OFCS permet à des pirates éthiques de s’engager en faveur de la sécurité de la Confédération et à chercher régulièrement des vulnérabilités dans le cadre du programme de primes aux bogues.
Les pirates éthiques qui souhaitent participer au programme afin de tester les systèmes de l’administration fédérale peuvent s’inscrire en utilisant le lien suivant :
Résultats des programmes : chiffres actuels
L’OFCS fournit régulièrement des informations sur les résultats des programmes. Les expériences réalisées jusqu’à présent sont entièrement positives. Le nombre de signalements et leur contenu montrent clairement que les programmes permettent de découvrir des vulnérabilités qui ne seraient pas toujours identifiées dans le cadre de tests de sécurité classiques. Cela prouve que la prime aux bogues est une mesure utile et efficace qui complète avantageusement les concepts de sécurité informatique et les contrôles de sécurité conventionnels.
Remarques concernant les graphiques
- Total : statistiques depuis le début des programmes de primes aux bogues le 30 août 2022.
- Date : statistiques des douze derniers mois (base trimestrielle).
- Hackers : nombre de pirates éthiques qui ont découvert au moins une vulnérabilité.
- Reported Findings : nombre de vulnérabilités signalées. Ces dernières peuvent déjà avoir été évaluées et clôturées (acceptées ou rejetées) ou se trouver encore en phase de vérification.
- Rejected : nombre de vulnérabilités qui, après analyse et vérification, n’ont pas été retenues (doublons, assertions non valides, etc.).
- Low/Medium/High/Critical : nombre de vulnérabilités en fonction de leur gravité. La norme internationale CVSS-Standard sert de base à la classification. D’autres critères sont pris en considération pour l’évaluation finale du degré de gravité (p. ex. l’impact de la vulnérabilité sur l’administration fédérale).
- Reward : montant des primes versées aux pirates éthiques. La récompense dépend de la gravité de la vulnérabilité.
Graphique : vulnérabilités signalées au cours des douze derniers mois et leur classification
Remarque : les statistiques présentées constituent un instantané de la situation. La classification des vulnérabilités signalées peut varier selon les cas.
Tableau : vulnérabilités signalées au cours des douze derniers mois et leur classification
| Date | Reported Findings | Rejected | Low | Medium | High | Critical | Reward |
|---|---|---|---|---|---|---|---|
| 2024 Q1 | 3 | 3 | 0 | 0 | 0 | 0 | 0 |
| 2023 Q4 | 116 | 51 | 6 | 35 | 14 | 10 | 61'400 |
| 2023 Q3 | 76 | 24 | 4 | 26 | 6 | 16 | 68'000 |
| 2023 Q2 | 12 | 7 | 0 | 5 | 0 | 0 | 2'100 |
Total des signalements depuis le début du programme en août 2022
| Hackers | Reported Findings | Rejected | Low | Medium | High | Critical | Reward |
|---|---|---|---|---|---|---|---|
| 40 | 246 | 103 | 15 | 78 | 24 | 26 | 143'350 |
Informations complémentaires:
Dernière modification 01.01.2024
