Bug bounty vs pentest : choisir en 2026

Le bug bounty et le pentest sont deux modalités offensives complémentaires, pas substituables. Un pentest audite exhaustivement un périmètre défini sur 5-15 jours avec livrable structuré (rapport, narrative kill chain, recommandations priorisées), typiquement 10-80 k€. Un bug bounty expose une surface à une crowd de chercheurs indépendants en continu, paie au succès par vulnérabilité validée, budget annuel médian 60-250 k€ tous postes inclus. Les deux modèles couvrent des angles orthogonaux : le pentest garantit la couverture d'un périmètre, le bug bounty exploite la diversité cognitive de centaines de hunters pour trouver l'inattendu. Les exigences réglementaires distinguent strictement les deux : PCI DSS v4.0 11.3, DORA TLPT, PASSI LPM exigent du pentest manuel avec livrable formalisé, le bug bounty ne satisfait pas ces obligations. Les plateformes dominantes France 2026 sont YesWeHack (leader français), Yogosha, HackerOne, Bugcrowd et Intigriti. Cet article détaille les définitions précises, la comparaison méthodologique, les plateformes et leurs spécificités, les coûts réels, les cas d'usage, la conformité, et les pièges de chaque modèle. Sources : HackerOne Annual Hacker Report 2024, YesWeHack Stats 2024, Yogosha Benchmark 2024, PCI DSS v4.0, règlement DORA UE 2022/2554.

1. Définitions précises : bug bounty, pentest, VDP

Les trois termes désignent des approches distinctes du test offensif cybersécurité.

1.1 Pentest (test d'intrusion)

Démarche structurée et cadrée contractuellement où un prestataire qualifié audite un périmètre défini sur une durée fixée, applique une méthodologie (PTES, OWASP Testing Guide, OSSTMM, NIST SP 800-115), et livre un rapport formalisé.

• Durée : 5-15 jours typiquement.
• Livrable : rapport structuré avec executive summary, findings détaillés, kill chain, recommandations priorisées, re-test plan.
• Coût : forfait fixe 10-80 k€ selon périmètre.
• Prestataire : cabinet spécialisé (Synacktiv, Wavestone, Quarkslab, Orange Cyberdefense, Intrinsec, Advens) ou freelance senior.

1.2 Bug bounty

Programme permanent ou durable qui rémunère individuellement chaque chercheur (hunter) pour chaque vulnérabilité valide découverte, selon un barème public de rewards par sévérité.

• Durée : continue, programme permanent ou à fenêtre de plusieurs mois.
• Livrable : reports individuels par vulnérabilité via plateforme, pas de rapport global annuel structuré.
• Coût : plateforme (15-50 k€/an) + payouts (10-500 k€/an selon maturité) + triage interne.
• Hunters : population ouverte ou restreinte, inscrite sur une plateforme (HackerOne, YesWeHack, Yogosha, Bugcrowd, Intigriti).

1.3 VDP (Vulnerability Disclosure Program)

Canal légal d'acceptation de vulnérabilités rapportées par des chercheurs bénévoles, sans rémunération. Souvent la première étape avant un vrai bug bounty.

• Implémenté via fichier security.txt RFC 9116 (mai 2022) et page /security.
• Cadre légal : safe harbor clause pour protéger les chercheurs.
• Recommandé par l'ANSSI, CISA US et ENISA pour toute organisation publique ou critique.
• Coût : quasi-nul hors triage interne (0,1-0,3 ETP).

2. Comparaison méthodologique détaillée

Différences fondamentales à retenir

• Le pentest est une assurance de couverture par un effort cadré ; le bug bounty est un pari de découverte par l'exposition à une crowd.
• Le pentest trouve ce qui est cherché (méthodologie du prestataire sur le périmètre scoped) ; le bug bounty trouve ce qui est cherché par des dizaines de hunters différents avec des angles et outils variés.
• Le pentest est budget-prévisible ; le bug bounty est budget-variable avec un cap par politique programme.

3. Plateformes bug bounty : marché France 2026

Comparatif des cinq plateformes dominantes pour une entreprise française.

Critères de choix

• Souveraineté des données : YesWeHack et Yogosha hébergent en France/Europe, conformité RGPD native, audits ANSSI. Critère fort pour administrations, OIV, banques.
• Diversité hunters : HackerOne offre la portée internationale la plus large, utile pour les programmes tech internationalisés.
• Langue du triage : YesWeHack et Yogosha supportent le FR en first-class, utile quand les reports nécessitent des échanges avec équipes dev FR.
• Modalité de hunters : Yogosha et Synack privés par nature (triés), YesWeHack et HackerOne proposent les deux modalités, Bugcrowd privilégie le public.
• Tarification managed services : Yogosha et Synack incluent beaucoup de managed triage ; HackerOne propose les tiers (Response, Assessments, Bounty) à la carte.

3.1 YesWeHack en détail (pertinent pour les entreprises françaises)

• Plateforme #1 en France et Europe francophone.
• Levée de fonds cumulées environ 30 M$, siège Paris.
• Nombre de hunters actifs en croissance, dont environ 30 pourcent basés en France.
• Formats supportés : bug bounty public ou privé, VDP, pentest as a service (nouveau depuis 2023).
• Intégrations natives : Jira, ServiceNow, GitHub, GitLab, SIEM.

3.2 Yogosha en détail

• Plateforme privée par défaut, approche qualitative.
• Hunters triés et notés, visibilité des classements.
• Forte pénétration banque et secteur public France.
• Offre « Continuous Pentest » combinant bug bounty et pentest dans une même plateforme.

4. Coûts réels d'un programme bug bounty

Trois postes distincts à budgétiser pour un programme sérieux 2026.

4.1 Frais plateforme

• Tier self-service (bug bounty simple, triage léger) : 10-25 k€ par an.
• Tier managed (triage fait par plateforme, dédoublement, qualification) : 25-50 k€ par an.
• Tier enterprise (SLA, compliance, intégrations avancées) : 40-80 k€ par an.

4.2 Budget payouts

Barème type pour une surface web classique, en euros :

Pour un périmètre web moyen (1-3 produits SaaS) avec maturité sécurité correcte :

• Année 1 (découverte) : 80-200 k€ de payouts, beaucoup de findings.
• Année 2-3 (maturité) : 40-100 k€ de payouts, surface durcie.
• Année 4+ (mature) : 20-60 k€ de payouts, surtout nouveautés et releases.

4.3 Coûts internes (souvent sous-estimés)

• Triage : 0,3 à 1 ETP équipe AppSec pour qualifier les reports, ouvrir les tickets dev, communiquer avec hunters.
• Remédiation : bande passante équipes dev pour corriger (typiquement 10-30 fixes par an dont 3-10 critiques).
• Legal et communication : safe harbor clause, gestion des disclosure publiques, coordination RSSI ou DPO si PII exposée.

Budget total médian pour une ETI française 2026 avec programme bug bounty actif : 60-250 k€ par an selon maturité et périmètre.

5. Cas d'usage : quand choisir quoi ?

Décision matrice simplifiée selon contexte opérationnel.

5.1 Cas appelant un pentest

• Mise en production d'une application critique : SaaS, API métier, refonte majeure.
• Conformité réglementaire stricte : PCI DSS 11.3, DORA TLPT, NIS 2 entité critique, PASSI LPM pour OIV.
• Logique métier complexe : workflows de paiement, règles tarifaires, gestion de droits sophistiquée.
• Post-incident : validation des correctifs appliqués.
• Périmètre interne non exposable : Active Directory, infra, applications internes non accessibles par des hunters externes.

5.2 Cas appelant un bug bounty

• Surface externe vaste : plateforme SaaS B2C/B2B avec nombreux endpoints publics.
• Releases fréquentes : monthly ou plus rapide, besoin de couverture continue.
• Recherche de l'inattendu : organisation qui veut exploiter la diversité cognitive d'une crowd.
• Budget variable souhaité : payer à la vulnérabilité trouvée plutôt que forfait.
• Organisation AppSec mature : capacité de triage et de remédiation rapide (moins de 48h pour les critiques).

5.3 Cas appelant un VDP uniquement

• Administrations publiques, OIV, entités régulées qui doivent offrir un canal légal d'acceptation.
• Entreprises matures mais budget contraint pour bug bounty.
• Transition : commencer par VDP avant d'ouvrir un bug bounty rémunéré.

5.4 Cas appelant combinaison pentest + bug bounty

Organisations matures ETI et GE 2026 : la combinaison est la norme.

• Pentest annuel sur périmètres critiques internes et conformité.
• Bug bounty continu sur surfaces externes.
• Red team bi-annuel ou annuel si maturité blue team suffisante.

6. Conformité et réglementation

Les exigences légales distinguent strictement pentest et bug bounty.

6.1 Exigences imposant du pentest

• PCI DSS v4.0 exigence 11.3 : pentest annuel manuel par personne qualifiée, livrable formalisé. Le bug bounty ne satisfait pas cette obligation.
• DORA TLPT (règlement UE 2022/2554, applicable janvier 2025) : Threat-Led Penetration Testing tous les 3 ans pour entités financières critiques, red team obligatoire, encadré par ACPR et EBA.
• PASSI LPM (ANSSI) : audit de sécurité pour OIV, prestataire qualifié, livrable structuré.
• TIBER-EU : cadre BCE pour les institutions financières majeures, red team intelligence-led.

6.2 Exigences compatibles bug bounty

• ISO/IEC 27001:2022 contrôle 8.8 : management of technical vulnerabilities — un programme bug bounty peut contribuer au processus, non le remplacer intégralement.
• NIS 2 article 21 : tests réguliers — interprétation souple, bug bounty peut compléter mais l'ANSSI recommande le pentest sur périmètres critiques.
• RGS (Référentiel Général de Sécurité) : recommande un VDP minimum pour les services publics.

6.3 Programmes VDP obligatoires ou recommandés

• CISA Binding Operational Directive 20-01 (USA, 2020) : VDP obligatoire pour toutes les agences fédérales US.
• ENISA Good Practice Guide on Vulnerability Disclosure (2016, update 2024) : recommandations UE.
• ANSSI : recommande un VDP pour tous les OIV, OSE et administrations.
• RFC 9116 security.txt : standard de publication du canal VDP.

7. Limites et pièges de chaque modèle

Les deux modèles ont des angles morts qu'il est critique de comprendre avant de choisir.

7.1 Limites du pentest

• Snapshot temporel : vulnérabilités introduites après la fenêtre pentest restent invisibles jusqu'au prochain engagement.
• Biais prestataire : un même cabinet qui audite année après année développe des angles morts (techniques non testées par son équipe, outils non utilisés).
• Périmètre figé : ce qui n'est pas dans le scope n'est pas testé.
• Effet tunnel : pentester focalise sur les vulnérabilités qu'il maîtrise, moins sur les angles nouveaux.

7.2 Limites du bug bounty

• Non-exhaustivité : aucune garantie que toutes les vulnérabilités sont trouvées. Les hunters cherchent là où ils pensent trouver des rewards élevés.
• Biais surface attaquante : le bug bounty traque principalement les vulnérabilités externes web, mal adapté aux infrastructures internes, legacy, et aux architectures non exposées.
• Qualité hétérogène des reports : ratio signal/bruit variable selon plateforme et maturité programme.
• Risque de burn-out équipe AppSec sur un programme mal dimensionné.
• Tension légale : disclosures publiques négociées peuvent dérailler si le hunter est insatisfait.

7.3 Pièges commerciaux

def evaluer_maturite_pour_bug_bounty(
    etp_appsec: float,
    temps_remediation_moyen_jours: int,
    audits_pentest_effectues: int,
    vdp_actif_depuis_mois: int,
):
    """
    Évalue si une organisation est mature pour lancer un bug bounty public.
    Basé sur 4 critères observés chez les programmes réussis France 2024-2026.
    """
    score = 0
    if etp_appsec >= 1.0:
        score += 1
    if temps_remediation_moyen_jours <= 14:
        score += 1
    if audits_pentest_effectues >= 2:
        score += 1
    if vdp_actif_depuis_mois >= 6:
        score += 1
 
    if score >= 3:
        recommandation = "Prêt pour bug bounty public"
    elif score == 2:
        recommandation = "Démarrer par un bug bounty privé invitation-only"
    else:
        recommandation = "Commencer par un VDP, reprendre cette évaluation dans 6-12 mois"
 
    return {"score": score, "recommandation": recommandation}
 
exemple_pme_en_croissance = evaluer_maturite_pour_bug_bounty(
    etp_appsec=0.5,
    temps_remediation_moyen_jours=30,
    audits_pentest_effectues=1,
    vdp_actif_depuis_mois=0,
)
# Résultat : { score: 0, recommandation: "Commencer par un VDP..." }

Trois pièges commerciaux classiques

1. Bug bounty public ouvert trop tôt sans VDP ni pentest préalable : explosion du volume de reports, équipe AppSec submergée, programme abandonné en moins de 12 mois.
2. Plateforme choisie pour la marque sans analyse des hunters actifs : HackerOne peut avoir 1 M d'inscrits et seulement 50 hunters actifs sur votre programme si le positionnement ne correspond pas au marché.
3. Payouts trop faibles : un programme avec max reward 500 € attirera peu de hunters sérieux, recevra surtout du bruit bas niveau. Payouts cohérents avec le marché (1k-5k€ max pour critique sur web standard, 10-20 k€+ pour programmes tech et fintech).

8. Combinaison optimale pour une organisation mature 2026

Mix type pour une ETI ou grande entreprise française 2026.

Étapes de maturité recommandées

1. Année 0 : publier un VDP, lancer un premier pentest sur le périmètre critique.
2. Année 1 : pentest annuel sur 2-3 périmètres, bug bounty privé invitation-only (20-50 hunters triés).
3. Année 2 : ouvrir le bug bounty en public, ajouter pentest cloud, audit code review ciblé.
4. Année 3 : red team annuel si maturité blue team suffisante, bug bounty continu sur tout le périmètre externe.

9. Cas spécifiques France 2026

Quelques configurations fréquemment rencontrées.

PME SaaS BtoB en croissance (10-50 M€ CA)

• VDP + pentest annuel (20-40 k€) + bug bounty privé 40-80 k€/an. Total 60-120 k€/an.
• Pas de red team sauf si levée de fonds Series B+ avec exigences investisseurs.

ETI finance/assurance

• Pentest semestriel sur périmètres critiques + bug bounty externe mature + red team annuel + TLPT DORA tous les 3 ans. Total 300-600 k€/an.

OIV énergie/défense

• Audit PASSI LPM annuel obligatoire + pentest infra interne + bug bounty privé ciblé (hunters habilités) + red team. Total 400-800 k€/an.

Administration publique

• VDP obligatoire (ANSSI) + pentest annuel sur téléservices critiques + accord-cadre ANSSI. Budget typique 50-200 k€/an selon taille.

Points clés à retenir

• Pentest et bug bounty sont complémentaires, pas substituables : angles orthogonaux, objectifs distincts.
• Pentest = couverture exhaustive d'un périmètre cadré sur 5-15 j avec livrable structuré.
• Bug bounty = couverture continue d'une surface externe via crowd de chercheurs payés à la vulnérabilité.
• Conformité : PCI DSS 11.3, DORA TLPT, PASSI LPM exigent pentest, bug bounty ne remplace pas.
• Plateformes France 2026 : YesWeHack (leader FR), Yogosha (premium), HackerOne (international), Bugcrowd, Intigriti.
• Coût bug bounty : 60-250 k€/an tout inclus (plateforme + payouts + triage interne).
• Payouts cohérents : 3-20 k€ critical, 1-5 k€ high, 300-1,5 k€ medium, 50-400 € low.
• Trajectoire recommandée : VDP → bug bounty privé → public, jamais l'inverse sans maturité.
• Mix mature : pentest annuel sur périmètres critiques + bug bounty continu sur surface externe + red team bi-annuel si maturité blue team.

Pour aller plus loin

• Roadmap bug bounty — parcours chercheur pour lancer une carrière bug hunting.
• VAPT vs pentest — comparaison vulnerability assessment et pentest.
• Méthodologie pentest Active Directory — approfondissement technique AD.
• Devenir pentester sans expérience — pillar pentest et prérequis.
• Roadmap pentest — skill tree pentest généraliste.
• TJM pentester freelance — tarification côté prestataire.