Les programmes de primes aux bogues visent à repérer, à consigner et à corriger les éventuelles vulnérabilités de systèmes et applications informatiques avec l'aide de pirates éthiques. En tout, quinze pirates ont participé au projet, sur mandat de la Confédération.
Dix failles de sécurité découvertes
Dans le cadre du projet, les pirates éthiques ont exploré six systèmes informatiques du DFAE et des Services du Parlement à la recherche d'éventuelles failles de sécurité. Dix failles ont été signalées au NCSC: une était de gravité «critique», sept de gravité «modérée» et deux de «faible» gravité. Elles ont immédiatement été comblées par les fournisseurs de prestations concernés. Les pirates ont ensuite procédé à des vérifications pour confirmer que l'opération avait bien fonctionné.
Bilan positif
Comme l'a montré le projet, les programmes de primes aux bogues sont efficaces pour détecter et corriger les failles présentes dans les systèmes et applications informatiques. Le retour sur investissement a été estimé comme étant élevé. Le programme de primes aux bogues que le NCSC met en œuvre au sein de l'administration fédérale contribue grandement à réduire les cyberrisques auxquels la Confédération est exposée.
Compte tenu des enseignements et données d'expérience qu'il a retirés du projet, le NCSC compte étendre continuellement et aussi largement que possible le programme de primes à d'autres systèmes informatiques de l'administration fédérale.
C'est pourquoi il faut que la procédure de passation de marché démarre au plus tôt. Outre Bug Bounty Switzerland, d'autres entreprises proposent des programmes de primes aux bogues en Suisse. Afin que la neutralité de la procédure soit garantie, Florian Schütz, délégué fédéral à la cybersécurité, entend se retirer du conseil consultatif de Bug Bounty Switzerland.
Contact
Communication NCSC
ncsc-media@gs-efd.admin.ch
no tél. 058 46 50 464
Editeur:
Département fédéral des finances
Département fédéral des affaires étrangères