Bug Bounty
" Cette démarche nous paraît essentielle, car elle complète parfaitement les tests d’intrusion traditionnels comme les Pentests. Le Bug Bounty introduit une approche plus réaliste, collaborative et agile, qui reproduit la manière dont un attaquant pourrait s’y prendre. “
Pascal BARATOUX - RSSI de JAMESPOT
💡Lire le RETEX de Pascal BARATOUX - RSSI de JAMESPOT ?
L’événement Unlock Your Brain organise un Bug Bounty dédié uniquement aux étudiants en cybersécurité à Brest. Cet événement est possible grâce aux partenariats avec la plateforme YesWeHack et les triagers de BZHunt.
Le Bug Bounty d’Unlock Your Brain
Pour la deuxième édition, Unlock Your Brain accueil un Bug Bounty dédié aux étudiants. Initialement, une idée portée par YesWeHack et BZHunt, cet événement s’inscrit dans l’esprit d’UYBHYS.
L’objectif de cet événement est de promouvoir les questions, enjeux et métiers de la cybersécurité auprès des étudiants ainsi qu’une approche nouvelle de l’audit de sécurité/test d’intrusion auprès des éditeurs. La compétition de Bug Bounty offre ainsi à ces étudiants, intégrés dans des parcours numériques au sein de grandes écoles, la possibilité de se confronter à des cas réels de recherche de vulnérabilité, dans une ambiance dynamique et conviviale.
De nouveau, cette année, pendant plus de 9 heures, les étudiants vont être mis au défi de découvrir des failles de sécurité sur des sites Internet et des objets connectés professionnels, mis à disposition par nos partenaires.
Les écoles qui participent au Bug Bounty
Infos pratiques
Date : le vendredi 7 novembre 2025
Lieu : Scène nationale du Quartz, Brest
Horaires : de 9h30 à 18h30
Périmètres : Patience ! Ils seront dévoilés le jour J.
👉 Vous êtes une entreprises et vous souhaitez proposer une application ?
👉 Vous êtes une école et vous souhaitez inscrire une équipe au Bug Bounty ?
L’approche du Bug Bounty vue par les professionnels
Proposer une application
Nos entreprises partenaires du Bug Bounty propose des périmètres qui vont faire l’objet de tests d’intrusion par des étudiants en cybersécurité (105 l’année dernière). Chaque étudiant qui pense trouver une vulnérabilité la remonte dans une plateforme dédiée (YesWeHack) et une équipe de trieurs (BZHunt) atteste de la véracité de la vulnérabilité ou non. En fonction des résultats, un nombre de points est octroyé et l’équipe qui remporte le plus de points gagne l’événement.
Nous nous efforcerons d’offrir plusieurs types de périmètres aux étudiants. L’année dernière, nous avions des périmètres web et des objets connectés.
L’ensemble des programmes de Bug Bounty s’effectue dans un cadre strict, où les étudiants sont tenus de respecter des règles éthiques précises pour chaque produit testé.
Il est demandé une participation financière modeste qui permettent de couvrir les frais d’organisation de l’événements (location de la salle, nourriture etc.) ainsi que les lots pour les vainqueurs.
Inscrire une équipe étudiante
Toutes les écoles en cybersécurié peuvent proposer une équipe. Il n’y a pas de niveau requis. La participation au Bug Bounty, c’est aussi l’occasion de découvrir ce programme par la pratique sur des périmètres réels.
En guise de récompenses, les équipes et étudiants les plus habiles se verront remettre des lots au regard des points qu’ils auront accumulés. Ces points sont notamment basés sur l’importance de la vulnérabilité identifiée et sur la qualité du travail de recherche (méthode utilisée, clarté du rapport, recommandations…).
Chaque établissement d’enseignement supérieur est libre de constituer des équipes de la taille qu’il souhaite. Cependant, les places sur site seront limitées pour chaque école à 6 personnes (hors tuteur). ATTENTION, les personnes à distance ne pourront travailler que sur les périmètres web. Les objets connectés seront testables uniquement sur site.
Pour inscrire une équipe, il faudra transmettre une liste comprenant le pseudonyme et l’email de l’étudiant à inviter sur les programmes de Bug Bounty à l’adresse bugbounty@unlockyourbrain.bzh.
ATTENTION : l’inscription ne se fait qu’avec des adresses mail ayant un nom de domaine provenant d’une école et les profils seront vérifiés.
Les écoles devront valider leur participation avant le 10/10/2025.
Le Bug Bounty, de quoi s’agit-il ?
Un programme de Bug Bounty consiste à mobiliser une communauté de chercheurs éthiques en cybersécurité pour détecter des failles sur les systèmes d’information d’une entreprise ou d’un produit à travers une approche proactive.
Ces chercheurs ont pour mission d’identifier des vulnérabilités et de les signaler à l’entreprise afin d’améliorer la robustesse des systèmes par un processus d’amélioration continue.
Le dessein est de créer un cercle vertueux de cybersécurité, tout en permettant aux éditeurs de mettre à disposition de leurs clients des systèmes toujours mieux sécurisés.
Comment fonctionne un Bug Bounty ?
Plusieurs partenaires ont accepté de mettre au défi des étudiants pour rechercher des failles de cybersécurité sur des sites Internet et des équipements connectés. Les étudiants ont pour mission de mobiliser leurs connaissances et d’organiser leurs équipes pour détecter les failles. En cas de découverte de vulnérabilités, les étudiants déclarent leurs trouvailles sur la plateforme YesWeHack.
Les équipes de BZHunt, épaulées par quelques experts et les équipes des partenaires, sont ensuite chargées de qualifier les vulnérabilités identifiées. Si les vulnérabilités sont acceptées, elles sont qualifiées et font l’objet d’une correction de la part des éditeurs. Les étudiants, eux, accumulent des points pour chaque vulnérabilité qualifiée.
Bug Bounty 2024 témoignagne du RSSI de Jamespot
En tant que RSSI de Jamespot, j'ai eu l'opportunité de participer en novembre 2024 au Bug Bounty organisé par la Cantine Numérique de Brest, BZHunt et YesWeHack, en partenariat avec des étudiants en cybersécurité. Cet événement, auquel nous participions pour la deuxième année consécutive, a permis de tester en conditions réelles la résilience de notre plateforme SaaS.
Durant une journée, des étudiants motivés et créatifs ont cherché à identifier des vulnérabilités, parfois difficiles à détecter en interne. Certaines ont été découvertes, analysées avec eux, puis rapidement corrigées par nos équipes, ce qui a renforcé notre niveau de sécurité et amélioré nos processus.
Cette démarche nous paraît essentielle, car elle complète parfaitement les tests d'intrusion traditionnels comme les Pentests. Le Bug Bounty introduit une approche plus réaliste, collaborative et agile, qui reproduit la manière dont un attaquant pourrait s'y prendre.
Nous savons que de nombreuses entreprises hésitent à se lancer, estimant que leur plateforme n'est pas encore « assez mature » ou que ce type d'opération serait trop coûteux. Notre expérience démontre le contraire : un Bug Bounty étudiant, bien organisé, est à la fois abordable et extrêmement bénéfique, tant pour les entreprises que pour la formation des futurs experts en cybersécurité.
En participant à ce type d'initiative, Jamespot contribue à démocratiser l'accès au Bug Bounty et à montrer qu'il est possible, dès aujourd'hui, de renforcer la sécurité de son système d'information tout en valorisant les jeunes talents de la filière.