Soulignant combien le Bug Bounty avait grandi depuis son lancement en 2019, le général de division aérienne Emmanuel Naëgelen, commandant de la cyberdéfense, a enjoint le Centre d’audits de la sécurité des systèmes d’information (CASSI), responsable de l’organisation, à aller encore plus loin. Reportage avec les différents acteurs (chasseurs, équipes métier et responsables SSI).

La remise des prix du Bug Bounty 2025 a permis de réunir une partie des chasseurs, des représentants des armées, direction et services (ADS) et de la société YesWeHack, plateforme française choisie par le Commandement de la cyberdéfense (COMCYBER) et soutien du Bug Bounty au ministère depuis plusieurs années.
« Le Bug Bounty, c’est un exercice de recherches de vulnérabilités sur un périmètre web pour améliorer et corriger des problèmes relevés par des chasseurs reconnus en lieu et place d’attaquants externes » explique Eric, directeur du programme Bug Bounty au CASSI. Cette année, près de 150 vulnérabilités ont été remontées sur plus d’une quinzaine de cibles :  sites et applications du ministère des Armées et des Anciens Combattants.
 

Intensifier le Bug Bounty

Face aux menaces de haute intensité, où toutes les vulnérabilités seront exploitées dans un futur proche et où les attaquants industrialisent l’exploitation des vulnérabilités, il faut aller encore plus loin. Le Bug Bounty est un vecteur de la cybersécurité ; il doit être vu comme un outil classique, normalisé. « Nous travaillons à intensifier le Bug Bounty et étudions de nouvelles perspectives pour 2026, » explique Eric. Augmenter le nombre de chasseurs notamment en se rapprochant d’un modèle plus ouvert, déjà suivi dans la sphère publique…. Telles ont été les conclusions du commandant de la cyberdéfense.

Le Bug Bounty : une chance pour les armées, directions et services

Un Bug Bounty doit être compris comme un outil à disposition des DSI et des équipes projets. Julien, responsable technique à la DSI cyber au Secrétariat général de l’administration (SGA), témoigne « nous étions en peine homologation. Au vu de la population du portail, il était de rigueur de proposer un système d’information garanti de toute vulnérabilité. On se doit d’être irréprochable. »

Grâce à sa participation au Bug Bounty, quatre vulnérabilités du portail ont été remontées et sont actuellement en train d’être corrigées. « Le Bug Bounty apporte un cadre. En 2026, nous allons repartir au vu des résultats obtenus » a poursuivi Julien.

Une communauté de chasseurs solide et fière

Le lieutenant Florian, auditeur dans le civil chez Thalès et réserviste opérationnel de cyberdéfense dans l’armée de l’Air et de l’Espace, témoigne de sa fierté d’être utile et servir la France. Habitué du Bug Bounty, Florian a trouvé cette année encore de nombreuses vulnérabilités.

Réserviste opérationnel de cyberdéfense au CASSI et au CIAE, l'aspirant Raphaël raconte "j'ai consacré un à deux week-ends par mois au Bug Bounty. Cette année, j'ai terminé premier, c'est une grande fierté »

Participer à un Bug Bounty demande de la curiosité avant tout, passer du temps à comprendre mais également de la rigueur. « Il faut être capable de restituer par écrit ce qu'on trouve. C'est une chose de trouver les failles techniques, c'est une autre compétence de rendre accessible son rapport aux développeurs » explique Raphaël.

Failles relatives au contrôle d'accès, à la fuite d'informations, des failles d'injection, en remontant toutes ces vulnérabilités, les chasseurs participent à l’amélioration permanente de la sécurité de nos systèmes.

Palmarès

• Les 3 meilleurs lauréats, qui par leur travail assidu et constant sur l’année, sont classés dans les 300 premiers chasseurs de YesWeHack ;

1^er : ASP Raphaël, réserviste opérationnel de cyberdéfense 

2^e : LTN Florian, réserviste opérationnel de cyberdéfense

3^e : Vincent, civil de la Défense au CASSI

• Prix spéciaux 

L’originalité technique, prix décerné à Guillaume, civil de la défense au Commissariat numérique de défense (CND) 

Le meilleur rapport d’un point de vue rédactionnel, prix décerné au CNE Charles, réserviste opérationnel de cyberdéfense

La vulnérabilité la plus critique, prix décerné au CNE Arnaud au CASSI

Chaque année à partir de février, les premières cibles sont ouvertes à la recherche de vulnérabilités. Tout au long de l'année, de nouvelles cibles sont ajoutées et la période de « chasse aux bugs » se termine fin novembre. 

Comme le promeuvent aujourd’hui tous les « chasseurs », le Bug Bounty est aussi une belle mission, accessible à tout passionné ayant à cœur de défendre les intérêts de la nation. Venez nous rejoindre.

« Per Aether Pugnamus ».