Le programme de bug bounty de Salesforce rapporte à certains.
Le spécialiste du CRM en mode cloud a rappelé cette semaine avoir lancé son propre programme dédié en 2015.
Le fournisseur de solutions dit exploiter un réseau de confiance de « hackers éthiques » pour mettre à l’épreuve ses produits, après tests internes. Via son programme, il verse des primes à ceux qui ont découvert et qualifié des failles de sécurité jugées valides.
Sur la seule année 2021, 2,8 millions de dollars de primes de chasse aux bugs informatiques ont ainsi été versés. 118 chercheurs en cybersécurité tiers et hackers éthiques se sont partagés ces sommes.
Le groupe américain précise avoir reçu des rapports portant sur plus de 4700 vulnérabilités présumées concernant ses solutions.
Les ingénieurs Salesforce ont évalué chaque rapport et résolu l’ensemble des vulnérabilités de sécurité valides. Pour ces dernières, les primes ont atteint jusqu’à 30 000 $ pour certaines découvertes.
Au total , Salesforce a distribué 12,2 millions de dollars de primes de chasse aux bugs depuis le lancement de son programme dédié en 2015. dont 9,5 millions de dollars depuis 2019.
Depuis 2021, l’entreprise organise des promotions mensuelles ciblées pour certains de ses produits, avec des montants plus élevés de primes. Par exemple, en août dernier pour l’application Trailhead Slack, avant sa sortie officielle chez Dreamforce le mois suivant.
« J’ai été attiré par l’idée de devenir un hacker éthique après avoir commencé ma carrière en tant que développeur », a expliqué Inhibitor181, un chercheur cité par Salesforce. « Non seulement il est plus stimulant et moins monotone d’utiliser mes compétences en programmation pour pirater légalement les produits d’entreprises mondiales, mais cela me permet également de faire ma part dans la prévention de la cybercriminalité. »
Salesforce n’est pas le seul à s’offrir, parfois à moindres frais, les services de chercheurs tiers en sécurité informatique.
Les grands groupes du secteur technologique, entre autres, ont tous ou presque leur propre programme de bug bounty. Les entreprises peuvent aussi s’appuyer sur les services de mise en relation avec des hackers éthiques comme la plateforme américaine HackerOne ou les françaises YesWeHack et Yogosha.
Microsoft expérimente, sous la marque ZTDNS, une implémentation des principes zero trust pour le trafic…
Accord de principe entre créanciers, propositions de reprise, discussions avec l'État... Le point sur le…
Un temps pressenti pour constituer le socle d'une suite bureautique AWS, Amazon WorkDocs arrivera en…
Eviden regroupe cinq familles de serveurs sous la marque BullSequana AI. Et affiche le supercalculateur…
Le dernier Magic Quadrant du SSE (Secure Service Edge) dénote des tarifications et des modèles…
Formats de paramètres, méthodes d'apprentissage, mutualisation GPU... Voici quelques-unes des recommandations de l'ANSSI sur l'IA…