La menace ne cessant jamais de progresser, la recherche de vulnérabilités pour prévenir des futures intrusions reste donc un point des plus sensibles. Le Bug Bounty permet aux entreprises d’organiser des ‘chasses aux vulnérabilités’ de manière publique, privée (accessibles sur invitation) ou directement sur site lors d’événements organisés. Ainsi, les chasseurs de vulnérabilités (hunters) vont chercher des vulnérabilités sur ce que l’entreprise met à leur disposition (site web, applications, …) et vont soumettre leurs découvertes afin de les faire valider et de leur faire attribuer un score. Le hunter se voit alors récompensé et l’entreprise peut désormais corriger la vulnérabilité. La récompense peut être de l’argent, des goodies, des produits de la marque de l’entreprise mais aussi la progression dans un leaderboard ou l’apparition de son nom dans un « Hall Of Fame ». Via ce cercle vertueux qu’est le bug bounty, il est donc possible de faire du « crowdsourcing de compétences » et d’avoir des tests de sécurité encadrés en permanence.
