Bug Bounty 2024 : les meilleurs chasseurs cyber récompensés
Le 18 décembre 2024, les meilleurs chasseurs (ou hunters) du Bug Bounty ont été récompensés. Organisé par le Commandement de la cyberdéfense, le Bug Bounty permet chaque année d’améliorer le niveau de cybersécurité de sites Internet et applications du ministère des Armées et des Anciens Combattants. Rencontre avec l’équipe d’organisation et les lauréats.
Le Bug Bounty est désormais pris en charge par le service Test d'Intrusion du CASSI, avec l’appui du pôle cybersécurité de l’état-major du COMCYBER. Le capitaine de frégate Damien, chef du Centre d’audits de la sécurité des systèmes d’information (CASSI), a remercié « au nom du COMCYBER, l’ensemble des chasseurs pour leur implication et aux armées, directions et services d’avoir fait confiance au COMCYBER et aux chasseurs. Cette démarche vous honore ».
« Lors d’un Bug Bounty, on ne casse pas les systèmes qui sont derrière », rassure Eric, civil de la défense et directeur du programme. Au contraire, c’est extrêmement bénéfique pour toutes les armées, directions ou services qui se prêtent à ce programme ». Grâce aux chasseurs, ils reçoivent des rapports sur des failles de sécurité avant que des attaquants malveillants ne les exploitent.
Cet évènement a permis de réunir une partie des chasseurs, des représentants des Armées, direction et services (ADS) et de la société YesWeHack, plateforme française choisi par le COMCYBER et soutien du Bug Bounty au ministère depuis plusieurs années.
« Le bug bounty est une évaluation de sécurité complémentaire à 100% des audits, des tests d'intrusion. Il demande une certaine humilité dans la conduite de projets car il nécessite de se remettre en question, de s'engager à résoudre les vulnérabilités »
- Officier sécurité des systèmes d’information OSSI-Central à l’état-major de l’armée de Terre
Détecter des failles de sécurité sur des sites Internet et des applications : 17 cibles, près de 150 chasseurs
Près de 150 chasseurs issus des différentes armées, directions et services ont participé à cette nouvelle édition, qui comportait 17 cibles. Qu’ils soient militaires, réservistes ou civils, une passion commune les anime : tester, fouiller, traquer les failles et les vulnérabilités des systèmes.
Durant le Bug Bounty, ces « hackers éthiques » ont ainsi cherché les failles de sécurité sur 17 sites internet et applications du ministère des Armées. Des rapports sont ensuite transmis aux équipes responsables des systèmes afin d’être corrigés rapidement.
Palmarès
- Les 3 meilleurs lauréats
1er : Enseigne de vaisseau de 1ere classe Nicolas, CASSI
2e : Raphaël, civil de la Défense, CIAE
3e : Lieutenant Hubert, CASSI
Récompensés selon le nombre de points acquis, nos trois chasseurs ont pris beaucoup de plaisir à participer et à monter en compétences. « Ça ouvre aussi des portes, témoigne le LTN Hubert, c’est grâce à ma participation en 2023 que j’ai été remarqué par le CASSI ».
Le meilleur rapport d’un point de vue rédactionnel, prix décerné à Raphaël, civil de la Défense au CIAE
« C’est important de montrer par A + B, d’expliquer et de détailler pour que les vulnérabilités puissent être corrigées. Notre travail doit servir à améliorer, bien rédiger son rapport de production c’est permettre de rendre son travail utile. » Raphaël, civil de la Défense au Centre interarmées des actions sur l’environnement (CIAE)
Avec déjà une 2e place sur le podium, Raphaël truste les récompenses cette année.
- La vulnérabilité la plus critique, prix décerné au capitaine Arnault, CASSI
« On contribue au soutien aux personnes et aux opérations. C’est extrêmement enrichissant, on cherche, on creuse, on finit par dérouler toute la bobine. On comprend alors comment a été développé le site et on trouve les chemins détournés pour avoir les accès complets. » CNE Arnault, Centre d’audits de la sécurité des systèmes d’information.
-
Le prix du meilleur rapport originalité technique a été décerné à Guillaume, civil de la Défense à la DIRISI.
Pour Eric, le directeur de programme, « le Bug Bounty est aussi très intéressant, car on découvre ainsi de nouveaux talents ». Alors, en 2025, pourquoi pas vous ?
Le Bug Bounty
Depuis 2019, le Commandement de la cyberdéfense organise annuellement son Bug Bounty et renforce chaque année la sécurité de l’écosystème numérique du ministère des Armées. Cette chasse aux vulnérabilités est ouverte aux militaires d'active, de réserve et civils de la défense.
En savoir plusContenus associés
La guerre dans le champ électromagnétique (GCEM)
De la tour Eiffel pendant la Grande guerre aux drones modernes, la guerre dans le champ électromagnétique (GCEM) occupe aujourd’hui une place centrale dans les conflits. Une table-ronde organisée par le Commandement de la cyberdéfense (COMCYBER) a exploré l'histoire et les enjeux actuels de la guerre électronique, tout mettant en lumière son rôle décisif dans le conflit ukrainien et les leçons à en tirer.
12 août 2025
Rencontre avec trois unités de la Communauté cyber des armées (CCA) : synergies, opérationnalité et innovation
Étendue à 22 unités opérationnelles depuis le 26 juin 2025, la Communauté cyber des armées (CCA) a été créée par le chef d'état-major des Armées, le général Thierry Burkhard en 2023. Son objectif ? Mettre en œuvre des capacités cyber au plus près des opérations militaires sur tout le territoire et avec un commandement interarmées dédié à la cyberdéfense (COMCYBER). Rencontre avec trois unités composant cette communauté.
07 août 2025
La cyberdéfense à l’épreuve des ruptures technologiques
Intelligence artificielle, quantique, réalité immersive… ces ruptures technologiques redéfinissent les contours de la cyberdéfense. Véritables opportunités pour faire face aux défis du futurs, ces nouvelles technologies peuvent devenir aussi des menaces si elles ne sont pas anticipées. Le Commandement de la cyberdéfense a réuni, lors d’un séminaire, des experts civils et militaires pour décrypter les défis inédits que posent les nouvelles technologies émergentes à la cyberdéfense française.
24 juillet 2025
