Métier de bug bounty hunter
Chasseur de failles informatiques, le bug bounty hunter traque les vulnérabilités dans les systèmes, applications et sites web des entreprises en échange de primes financières. Ce hacker éthique joue un rôle clé dans la cybersécurité en identifiant les brèches de sécurité avant que des cybercriminels ne les exploitent.
Découvrez la profession en détail : missions, formation, recrutement, reconversion.
Qu'est-ce qu'un bug bounty hunter ?
Également appelé chasseur de primes numériques, chasseur de bugs ou chercheur en vulnérabilités, le bug bounty hunter est un expert en sécurité informatique qui participe à des programmes de récompenses mis en place par des entreprises ou des organisations. Son objectif : détecter des failles de sécurité dans un périmètre défini et les signaler de manière responsable, en échange d'une prime proportionnelle à la criticité de la vulnérabilité découverte.
Le bug bounty hunter s'inscrit dans une démarche de hacking éthique. Il utilise les mêmes techniques que les cybercriminels — tests d'injection, analyse de code, fuzzing, exploitation de failles logiques — mais dans un cadre strictement légal et encadré par les règles du programme auquel il participe. Les failles découvertes ne sont jamais exploitées à des fins malveillantes : elles sont documentées dans un rapport détaillé, transmis à l'entreprise pour correction.
Ce métier peut s'exercer à temps plein, en complément d'une activité salariée, ou comme spécialisation au sein d'un poste de consultant en cybersécurité. Certains hunters opèrent sur des plateformes spécialisées comme YesWeHack (leader européen, fondé en France) ou HackerOne, tandis que d'autres participent à des programmes internes mis en place directement par les entreprises.
En France, le bug bounty gagne en légitimité institutionnelle. Le ministère des Armées organise chaque année un programme de bug bounty via le Commandement de la cyberdéfense (COMCYBER), en partenariat avec YesWeHack. En 2024, près de 150 chasseurs — militaires, réservistes et civils de la défense — ont participé à cette édition, ciblant 17 applications du ministère (source : ministère des Armées, janvier 2025). De même, France Identité numérique a lancé un programme de bug bounty public en 2024 pour sécuriser ses services d'identité.
Bug bounty hunter vs pentester : quelles différences ?
Le bug bounty hunter et le pentester (testeur d'intrusion) partagent un socle de compétences techniques commun : tous deux recherchent des vulnérabilités dans des systèmes informatiques. Pourtant, leur cadre d'exercice, leur rémunération et leur approche diffèrent sensiblement.
Le cadre de la mission. Le pentester travaille sur commande, dans un cadre contractuel avec un client. Il intervient sur une durée définie (quelques jours à quelques semaines) et suit une méthodologie structurée (OWASP, PTES, OSSTMM). Le bug bounty hunter, lui, opère en continu sur des programmes ouverts, sans date de fin imposée. Il choisit librement ses cibles parmi les programmes disponibles et gère son temps de manière autonome.
La rémunération. Le pentester perçoit un salaire fixe ou un tarif journalier négocié en amont, indépendamment du nombre de failles trouvées. Le bug bounty hunter, à l'inverse, est rémunéré au résultat : pas de faille, pas de prime. Ce modèle « pay-per-bug » peut être très lucratif pour les meilleurs hunters, mais comporte aussi un risque financier car rien ne garantit qu'une session de recherche aboutira.
Le livrable. Le pentester produit un rapport d'audit complet comprenant un résumé exécutif, une cartographie des risques et des recommandations de remédiation. Le bug bounty hunter rédige un rapport centré sur une vulnérabilité spécifique, avec un scénario de reproduction et une évaluation de l'impact.
La complémentarité. Ces deux approches ne s'opposent pas : elles se complètent. Le pentest offre une photographie complète de la sécurité à un instant T, tandis que le bug bounty assure une surveillance continue avec une diversité de regards. De nombreux professionnels exercent d'ailleurs les deux activités en parallèle, alternant missions de pentest en entreprise et chasse aux bugs sur les plateformes.
| Critère | Pentester | Bug bounty hunter |
|---|---|---|
| Cadre | Mission contractuelle, durée définie | Programme ouvert, durée libre |
| Méthodologie | Structurée (OWASP, PTES) | Libre, créative |
| Rémunération | Fixe (salaire ou TJM) | Variable (prime par faille) |
| Livrable | Rapport d'audit complet | Rapport de vulnérabilité ciblé |
| Statut | Salarié ou freelance | Indépendant (micro-entreprise) |
| Relation client | Directe, collaborative | Indirecte, via la plateforme |
Les missions du bug bounty hunter
Le quotidien d'un bug bounty hunter s'articule autour de plusieurs activités :
- Analyser le périmètre du programme. Avant de commencer, le hunter étudie les règles du programme de bug bounty : cibles autorisées, types de failles éligibles, niveaux de primes, exclusions. Cette phase de reconnaissance est cruciale pour cibler efficacement ses efforts.
- Cartographier la surface d'attaque. Le hunter recense les sous-domaines, les technologies utilisées, les points d'entrée potentiels (API, formulaires, portails d'authentification). Il s'appuie sur des outils d'OSINT (Open Source Intelligence) et d'analyse automatisée pour construire une vue d'ensemble du système ciblé.
- Rechercher et exploiter les vulnérabilités. C'est le cœur du métier. Le hunter teste manuellement et à l'aide d'outils spécialisés les différents vecteurs d'attaque : injections SQL, failles XSS (Cross-Site Scripting), contournement d'authentification, failles logiques métier, erreurs de configuration, exposition de données sensibles, vulnérabilités dans les API, etc.
- Documenter et signaler les failles. Chaque vulnérabilité découverte fait l'objet d'un rapport détaillé : description technique, scénario de reproduction pas à pas, évaluation de la criticité (score CVSS), impact potentiel et, si possible, recommandations de remédiation. La qualité du rapport est déterminante : un rapport mal rédigé peut être rejeté, même si la faille est réelle.
- Assurer une veille technique permanente. Les technologies évoluent, les attaques aussi. Le hunter consacre une partie significative de son temps à étudier de nouvelles techniques d'exploitation, suivre les publications de CVE (Common Vulnerabilities and Exposures), lire les write-ups d'autres chercheurs et participer à des CTF (Capture The Flag).
Où exerce le bug bounty hunter ?
Le bug bounty hunter exerce majoritairement en tant que travailleur indépendant (auto-entrepreneur ou micro-entreprise en France). C'est un métier qui se pratique à distance, sans contrainte géographique, depuis un simple ordinateur connecté à Internet.
Les principales plateformes de bug bounty sont :
- YesWeHack — plateforme française et leader européen, qui compte plus de 500 clients dans 40 pays (dont 70 % du CAC 40). La plateforme a levé 26 millions d'euros en 2024 pour accélérer son développement (source : L'Informaticien, juin 2024).
- HackerOne — leader mondial, historiquement basé aux États-Unis.
- Bugcrowd — autre acteur majeur du marché mondial.
- Intigriti — plateforme européenne basée en Belgique.
Certains hunters exercent également au sein d'équipes de sécurité d'entreprises (Red Teams) ou de cabinets de conseil en cybersécurité, où le bug bounty fait partie d'une offre plus large de tests de sécurité.
En termes de conditions de travail, le bug bounty hunter bénéficie d'une grande flexibilité : il travaille à son rythme, choisit ses cibles et organise son emploi du temps librement. En contrepartie, l'activité peut impliquer des horaires décalés, un certain isolement et une pression liée à l'incertitude des revenus.
Quelle formation pour devenir bug bounty hunter ?
La particularité du bug bounty est qu'aucun diplôme n'est formellement exigé. C'est un des rares métiers de la cybersécurité où le talent et les résultats comptent davantage que le parcours académique. Sur les plateformes, seul le classement (leaderboard) et l'historique de failles signalées font foi.
Cela dit, une formation solide accélère considérablement la montée en compétences et crédibilise le profil pour les entreprises qui recrutent des hunters en interne.
Les formations initiales
- Bac+2 : BTS SIO option SISR (Solutions d'Infrastructure, Systèmes et Réseaux), BTS CIEL (Cybersécurité, Informatique et réseaux, Électronique). Ces formations fournissent les bases en administration réseau et systèmes, prérequis indispensable.
- Bac+3 : Licence pro cybersécurité, BUT Réseaux & Télécommunications parcours cybersécurité, Bachelor cybersécurité. Ce niveau permet d'acquérir des compétences opérationnelles en sécurité offensive.
- Bac+5 : Master en cybersécurité, diplôme d'ingénieur spécialisation sécurité informatique. Un niveau bac+5 est recommandé pour ceux qui souhaitent combiner bug bounty et poste salarié (consultant, pentester, expert en cybersécurité).
Se former en autodidacte
Le bug bounty est l'un des domaines de la cybersécurité les plus accessibles en autodidacte, à condition d'être méthodique et persévérant :
- Plateformes d'entraînement : HackTheBox, TryHackMe, PortSwigger Web Security Academy (gratuit), Root-Me. Ces plateformes proposent des environnements simulés pour s'exercer sans risque légal.
- CTF (Capture The Flag) : Compétitions de hacking éthique qui permettent de progresser rapidement en résolution de problèmes de sécurité. Des événements sont organisés régulièrement en France et en ligne.
- Write-ups et ressources communautaires : La communauté bug bounty est très active dans le partage de connaissances. Les write-ups (comptes rendus de failles résolues) publiés par d'autres hunters constituent une ressource d'apprentissage précieuse.
- Chaînes YouTube et blogs spécialisés : De nombreux hunters expérimentés partagent leurs méthodologies et découvertes en ligne.
Les certifications reconnues
Bien que non obligatoires, certaines certifications renforcent la crédibilité d'un bug bounty hunter, notamment auprès des entreprises qui proposent des programmes privés :
- CEH (Certified Ethical Hacker) — certification généraliste en hacking éthique, reconnue internationalement.
- OSCP (Offensive Security Certified Professional) — très prisée, axée sur les tests d'intrusion pratiques. Considérée comme un standard du marché.
- OSWE (Offensive Security Web Expert) — spécialisée dans la sécurité des applications web, directement applicable au bug bounty.
- eWPT / eWPTX (eLearnSecurity Web Penetration Tester) — certifications orientées web, pertinentes pour le bug bounty.
- CompTIA Security+ — certification d'entrée en cybersécurité, idéale pour les débutants.
Ces formations pourraient vous intéresser
Reconversion : par où commencer ?
Le bug bounty est un métier particulièrement adapté à la reconversion professionnelle, pour plusieurs raisons : pas de diplôme obligatoire, possibilité de démarrer en parallèle d'une activité existante, investissement initial limité (un ordinateur et une connexion Internet suffisent), et progression mesurable grâce au classement sur les plateformes.
Voici les étapes recommandées pour une reconversion réussie :
- Acquérir les fondamentaux. Si vous n'avez pas de bagage technique, commencez par les bases : réseaux (TCP/IP, DNS, HTTP), systèmes d'exploitation (Linux), programmation web (HTML, JavaScript, Python). Des formations en ligne gratuites ou éligibles CPF existent.
- Se former à la sécurité offensive. Suivez une formation en cybersécurité spécialisée en tests d'intrusion web, ou commencez par les modules gratuits de PortSwigger Web Security Academy.
- S'entraîner sur des environnements dédiés. Avant de vous lancer sur de vrais programmes, pratiquez sur HackTheBox, TryHackMe ou les labs DVWA (Damn Vulnerable Web Application).
- Créer son compte sur une plateforme. Inscrivez-vous sur YesWeHack ou HackerOne, commencez par des programmes publics à large périmètre, et visez d'abord des failles simples (erreurs de configuration, informations exposées).
- Monter en compétences progressivement. Chaque faille trouvée et acceptée améliore votre classement et vous donne accès à des programmes privés mieux rémunérés.
- Créer sa micro-entreprise. Les primes de bug bounty constituent un revenu imposable. En France, le statut de micro-entrepreneur (activité BNC — bénéfices non commerciaux) est le plus adapté pour déclarer ses revenus de chasse aux bugs.
Quelles sont les compétences et qualités requises ?
Compétences techniques
- Maîtrise des technologies web : HTML, CSS, JavaScript, PHP, API REST/GraphQL
- Connaissance approfondie des vulnérabilités OWASP Top 10 (injection SQL, XSS, CSRF, SSRF, IDOR, etc.)
- Administration système et réseau : Linux, Windows, protocoles réseau (TCP/IP, DNS, HTTP/HTTPS)
- Scripting et automatisation : Python, Bash, Ruby
- Utilisation des outils de sécurité offensive : Burp Suite, OWASP ZAP, Nmap, ffuf, Nuclei, Subfinder, Amass
- Compétences en OSINT (Open Source Intelligence) et reconnaissance
- Compréhension des architectures cloud (AWS, Azure, GCP) et de leurs vulnérabilités spécifiques
- Lecture et analyse de code source (code review)
- Connaissance des standards de scoring de vulnérabilités (CVSS)
Qualités personnelles
- Curiosité insatiable : la capacité à creuser, explorer et tester des hypothèses inhabituelles est ce qui distingue les meilleurs hunters.
- Persévérance : trouver une faille critique peut nécessiter des dizaines d'heures de recherche infructueuse. La patience est une vertu cardinale dans ce métier.
- Rigueur et méthodologie : la qualité du rapport de vulnérabilité est aussi importante que la découverte elle-même. Un rapport mal structuré sera rejeté.
- Éthique irréprochable : le hunter a accès à des données sensibles et doit s'engager à ne jamais les exploiter, les divulguer ou les partager.
- Autonomie : le bug bounty hunter travaille seul, gère son emploi du temps et ses priorités sans supervision.
- Capacité de communication : savoir expliquer une vulnérabilité technique de manière claire et concise, à des interlocuteurs pas nécessairement techniques.
- Veille permanente : les techniques d'attaque évoluent en permanence. Un hunter qui ne se forme pas continuellement devient rapidement obsolète.
Pourquoi se reconvertir dans le bug bounty ?
Le métier de bug bounty hunter présente plusieurs atouts qui en font une option de reconversion séduisante, en particulier pour les personnes attirées par la cybersécurité offensive.
Un métier accessible sans diplôme obligatoire. Contrairement à la plupart des métiers de la cybersécurité qui recrutent, le bug bounty ne conditionne pas l'accès à un niveau d'études spécifique. Ce qui compte, ce sont les compétences démontrées et les résultats sur les plateformes. C'est une porte d'entrée unique dans le monde de la cybersécurité pour les profils autodidactes et les personnes en reconversion.
Une liberté totale d'organisation. Le bug bounty hunter choisit quand il travaille, sur quels programmes, depuis n'importe où. Cette flexibilité est un atout majeur pour les personnes souhaitant concilier reconversion et contraintes personnelles (vie familiale, activité actuelle, localisation géographique).
Un potentiel de rémunération élevé. Les meilleurs hunters peuvent gagner des revenus très confortables. Sur YesWeHack, certains chasseurs français figurent parmi les mieux classés au monde. Le modèle de rémunération à la prime permet théoriquement de dépasser les revenus d'un poste salarié classique en cybersécurité — à condition d'atteindre un très bon niveau technique.
Un secteur en pleine expansion. Le nombre de programmes de bug bounty ne cesse de croître, porté par la multiplication des cyberattaques et par les obligations réglementaires (NIS2, DORA). Les entreprises du CAC 40, les institutions publiques et les startups tech lancent de plus en plus de programmes, élargissant le terrain de jeu pour les hunters.
Un tremplin vers d'autres métiers cyber. L'expérience acquise en bug bounty est directement valorisable pour évoluer vers des postes de pentester, de consultant en cybersécurité, d'administrateur cybersécurité ou de responsable de la sécurité des systèmes d'information (RSSI). Les recruteurs en cybersécurité valorisent fortement un profil actif sur les plateformes de bug bounty, car il démontre des compétences concrètes et une motivation intrinsèque.
Quel est le salaire d'un bug bounty hunter ?
La rémunération d'un bug bounty hunter est atypique par rapport aux autres métiers de la cybersécurité, car elle repose principalement sur les primes perçues. Les revenus varient considérablement selon le niveau technique, le temps investi et le type de programmes ciblés.
En activité indépendante (primes de bug bounty)
Les primes versées dépendent de la criticité de la faille découverte. À titre indicatif :
| Criticité de la faille | Prime moyenne |
|---|---|
| Faible (informative) | 50 – 200 € |
| Moyenne | 200 – 1 000 € |
| Élevée | 1 000 – 5 000 € |
| Critique | 5 000 – 50 000 € (et plus) |
Note : ces fourchettes sont indicatives et varient fortement selon les entreprises et les plateformes. Les géants tech (Google, Microsoft, Apple) proposent les primes les plus élevées, pouvant atteindre 100 000 $ et plus pour des failles critiques.
La grande majorité des bug bounty hunters perçoivent des revenus modestes. Seule une minorité de hunters très expérimentés parvient à en vivre confortablement. C'est un métier où la courbe de revenus est très inégalitaire : les 10 % les plus performants captent l'essentiel des primes.
En poste salarié (hybride)
De nombreux professionnels combinent le bug bounty avec un poste salarié en cybersécurité. Dans ce cadre :
| Niveau d'expérience | Salaire brut annuel (France) |
|---|---|
| Junior (0-2 ans) | 30 000 – 42 000 € |
| Confirmé (3-5 ans) | 45 000 – 65 000 € |
| Senior / Expert (5+ ans) | 65 000 – 120 000 € |
Sources : Guardia School (décembre 2024), Nexa Digital School, estimations basées sur des postes combinant pentest et bug bounty. Les fourchettes de salaire sont indicatives et varient selon la région, l'entreprise et la spécialisation.
Statut juridique en France
Les primes de bug bounty perçues par un résident français constituent des revenus imposables. Le statut le plus courant est celui de micro-entrepreneur en activité de prestations de services (BNC). Au-delà d'un certain seuil de chiffre d'affaires (~77 000 €/an), il faudra envisager le régime réel ou la création d'une EURL. La franchise de TVA s'applique en dessous du seuil en vigueur. Il est fortement recommandé de se rapprocher d'un expert-comptable ou de son centre des impôts pour s'assurer de la conformité de sa situation.
Quelles évolutions de carrière ?
Le bug bounty constitue un excellent tremplin vers des fonctions à plus haute responsabilité dans la cybersécurité. Parmi les évolutions les plus fréquentes :
- Pentester / Auditeur sécurité : la transition la plus naturelle. Les compétences techniques sont très proches, et l'expérience en bug bounty est un atout différenciant.
- Consultant en cybersécurité : pour les profils qui souhaitent élargir leur périmètre d'intervention au-delà de la recherche de failles (audit organisationnel, conseil stratégique, accompagnement à la conformité).
- Expert en cybersécurité : spécialisation poussée sur un domaine technique (sécurité cloud, sécurité mobile, sécurité IoT, analyse forensique).
- Responsable Red Team : pilotage d'une équipe de sécurité offensive au sein d'une entreprise, simulant des scénarios d'attaque avancés.
- RSSI : pour les profils qui développent une vision stratégique de la sécurité, le poste de responsable de la sécurité des systèmes d'information est un aboutissement de carrière.
- Formateur / Créateur de contenu : certains hunters expérimentés se tournent vers le mentorat, la formation professionnelle ou la création de contenu éducatif (cours en ligne, conférences, blog technique).