Le crowdsourcing est un phénomène encore jeune, mais qui prend rapidement de l'ampleur dans le secteur de la sécurité informatique. Bugcrowd, une plateforme qui met en relation les entreprises et la communauté des hackers, a ainsi révélé des chiffres édifiants.
+21% de vulnérabilités identifiées en 2017
Du 1er avril 2017 au 31 mars 2018, le site a analysé plus de 700 programmes de bug bounty. La plateforme aura enregistré plus de 37 000 rapports de vulnérabilités, soit une augmentation de 21% par rapport à l'année précédente.20% des vulnérabilités reportées par la communauté ont été classées P1 et P2 (les plus critiques). Sur ces 20%, 7% sont de niveau P1. Les vulnérabilités P3 représentent le plus gros morceau avec 31%, soit 10% de plus que l'année précédente. Les bugs classés P4 et P5 ont quant à eux un taux respectif de 26% et 16%. Les 7% restants sont des vulnérabilités mineures.
Plus intéressant, 91,1% des rapports concernent des bugs liés aux sites internet des entreprises. Les primes pour les bugs critiques P1 ont augmenté par conséquent, passant en moyenne de 926$ à 1 200$ d'une année à l'autre.
Une communauté mondiale croissante
Ce n'est pas pour rien si le crowdsourcing a le vent en poupe : une entreprise faisant appel à des programmeurs indépendants découvre en moyenne 7 fois plus de vulnérabilités qu'en passant par des moyens classiques en interne.De nouveaux marchés émergents, avec en tête de file l'Inde. 30% des bugs soumis l'an dernier sur Bugcrowd proviennent de ce pays. Quant aux récompenses, ce sont les Etats-Unis les plus généreux avec les chasseurs de bugs.
Si la France reste absente sur la carte dévoilée par Bugcrowd, cela ne veut pas dire que notre pays ne possède pas de chasseurs de bugs. Ils n'utilisent tout simplement pas cette plateforme. L'Europe possède en effet sa propre plateforme nommée YesWeHack. Elle a réalisé ces derniers temps des programmes pour Intel, Toyota ou encore Microsoft pour ne citer que les plus connus.