Bug bounty : Salesforce a versé 2,8 millions $ en 2021

Le programme de bug bounty de Salesforce rapporte à certains.

Le spécialiste du CRM en mode cloud a rappelé cette semaine avoir lancé son propre programme dédié en 2015.

Le fournisseur de solutions dit exploiter un réseau de confiance de « hackers éthiques » pour mettre à l’épreuve ses produits, après tests internes. Via son programme, il verse des primes à ceux qui ont découvert et qualifié des failles de sécurité jugées valides.

Sur la seule année 2021, 2,8 millions de dollars de primes de chasse aux bugs informatiques ont ainsi été versés. 118 chercheurs en cybersécurité tiers et hackers éthiques se sont partagés ces sommes.

Le groupe américain précise avoir reçu des rapports portant sur plus de 4700 vulnérabilités présumées concernant ses solutions.

Les ingénieurs Salesforce ont évalué chaque rapport et résolu l’ensemble des vulnérabilités de sécurité valides. Pour ces dernières, les primes ont atteint jusqu’à 30 000 $ pour certaines découvertes.

Protéger Salesforce et Slack

Au total , Salesforce a distribué 12,2 millions de dollars de primes de chasse aux bugs depuis le lancement de son programme dédié en 2015. dont 9,5 millions de dollars depuis 2019.

Depuis 2021, l’entreprise organise des promotions mensuelles ciblées pour certains de ses produits, avec des montants plus élevés de primes. Par exemple, en août dernier pour l’application Trailhead Slack, avant sa sortie officielle chez Dreamforce le mois suivant.

« J’ai été attiré par l’idée de devenir un hacker éthique après avoir commencé ma carrière en tant que développeur », a expliqué Inhibitor181, un chercheur cité par Salesforce. « Non seulement il est plus stimulant et moins monotone d’utiliser mes compétences en programmation pour pirater légalement les produits d’entreprises mondiales, mais cela me permet également de faire ma part dans la prévention de la cybercriminalité. »

Salesforce n’est pas le seul à s’offrir, parfois à moindres frais, les services de chercheurs tiers en sécurité informatique.

Les grands groupes du secteur technologique, entre autres, ont tous ou presque leur propre programme de bug bounty. Les entreprises peuvent aussi s’appuyer sur les services de mise en relation avec des hackers éthiques comme la plateforme américaine HackerOne ou les françaises YesWeHack et Yogosha.