Cybersécurité : un premier Bug Bounty prometteur sur le territoire !

Le 6 mai 2025, au Campus Cyber, s’est tenue la cérémonie de clôture du tout premier Bug Bounty pédagogique organisé par l’établissement public territorial Paris Ouest La Défense (POLD). Ce projet innovant, inscrit dans le cadre du projet de territoire 2021-2026, visait à renforcer la cybersécurité des collectivités locales en impliquant directement les futurs experts du domaine.

Cybersécurité : un Bug Bounty inédit pour traquer les failles

Piloté par POLD en partenariat avec l’ESILV, l’association DaVinciCode, Yogosha et Cybiah, ce programme a permis à une vingtaine d’étudiants de participer à un véritable exercice de cybersécurité grandeur nature. Sélectionnés via un concours de hack éthique, les étudiants ont eu deux mois pour explorer les failles potentielles de six applications – trois appartenant à des collectivités locales de POLD, et trois à des PME du territoire.

Et les résultats sont parlants :

17 failles identifiées, dont : 2 critiques, 9 de niveau élevé et 6 de niveau moyen
140 heures de tests cumulées
Applications testées non endommagées, preuve de la rigueur et du professionnalisme des participants.

Un apprentissage concret, un impact immédiat

Grâce à l’agilité de certains prestataires, la quasi-totalité des failles critiques et élevées ont déjà été corrigées. Les collectivités ont également montré une réactivité notable, accompagnées par leurs éditeurs désormais plus conscients des enjeux.

Soutenue par l’ANSSI et Coter Numérique, ce genre de démarche s’inscrit dans une ambition nationale : élever la maturité cyber des acteurs publics et privés, en s’appuyant sur la collaboration entre écoles, territoires et éditeurs de solutions.

Trois étudiants distingués pour leur excellence

La cérémonie a également été l’occasion féliciter et de récompenser les meilleurs chercheurs de vulnérabilités :

Mathys R. a détecté 8 failles et a reçu 240 kudos*

« Au-delà de l’enrichissement technique, c’est surtout la fierté d’avoir contribué à la protection d’infrastructures essentielles à la vie citoyenne que je retiens de cette expérience » – (Source : LinkedIn Mathys)

Noah B. a découvert 4 failles. Les bénéficiaires du Bug Bounty lui ont attribué 140 kudos.

« Une opportunité unique de renforcer mes compétences dans le domaine de la cybersécurité qui restait auparavant assez flou pour moi » – (Source : LinkedIn Noah)

Nathaniel S. a repéré quant à lui 2 failles et a obtenu 60 kudos.

« Ce projet a été une vraie occasion pour moi de renforcer mes compétences en reconnaissance et en pentest web. Mieux structurer ma méthodologie » – (Source : LinkedIn Nathaniel).

Un palmarès salué par l’ensemble des partenaires et une reconnaissance méritée pour leur expertise et leur engagement.

Le saviez-vous ?

*Kudos (du grec ancien signifiant « gloire » ou « reconnaissance ») désigne, dans un contexte numérique ou collaboratif, une marque de reconnaissance ou de félicitations.

Dans un Bug Bounty ou un projet collaboratif comme celui mené avec Paris Ouest La Défense, les kudos sont des points attribués aux participants pour saluer la qualité, la pertinence ou le nombre de failles détectées. C’est un système de valorisation qui récompense les contributions les plus utiles ou remarquables.

Une deuxième édition déjà en préparation !

Fort du succès de cette première édition, une autre grande école en cybersécurité du territoire a d’ores et déjà confirmé sa participation à la seconde édition, prévue pour l’automne prochain. L’enthousiasme est au rendez-vous et les perspectives de collaboration à long terme se renforcent.

Ce projet démontre qu’en conjuguant innovation, pédagogie et service public, il est possible de faire progresser concrètement la sécurité numérique des territoires. Une initiative à suivre de près.