L'effet surprise d'Accra
En septembre 2025, une edtech d'Accra ouvre un programme bug bounty privé sur HackerOne avec 25 chercheurs invités. En 6 mois, 47 vulnérabilités confirmées remontent, dont 4 critiques (RCE sur l'API mobile, IDOR sur les notes des élèves, take-over de compte parent via réinitialisation de mot de passe, exposition de tokens JWT dans les logs). Budget total dépensé en récompenses : 11 200 USD (6,8 M FCFA). Le CTO nous dit : "On avait prévu 18 000 USD pour notre premier pentest. On l'a reporté de 9 mois et on est meilleurs en sécurité qu'on l'aurait été après le pentest seul."
C'est la promesse réelle d'un programme bug bounty pour une startup africaine : convertir un budget sécurité en flux continu de findings, plutôt qu'en photo annuelle.
Bug bounty vs pentest, ce n'est pas la même chose
Beaucoup de fondateurs nous demandent "bug bounty ou pentest ?". La réponse est presque toujours les deux, à des moments différents.
Le pentest est une opération bornée : scope défini, durée fixe, rapport unique, livré par 1-2 personnes en 5-15 jours. Il vous donne une baseline et un document à montrer à un auditeur.
Le bug bounty est un flux continu : 5 à 300+ chercheurs cherchent quand ils veulent, vous payez à la découverte. Il attrape les régressions du quotidien, les nouvelles features, et les bugs que personne n'aurait trouvés en 10 jours de pentest concentrés.
Pour une startup en seed avec 200-2000 utilisateurs, commencer par un programme bug bounty privé est souvent plus malin que se précipiter sur un pentest cher.
Les plateformes et leurs prix
| Plateforme | Frais d'accès | Modèle | Public cible |
|---|---|---|---|
| HackerOne | 0 USD privé / commission ~20% | Le plus reconnu, scope strict | SaaS sérieux, levée Série A+ |
| Bugcrowd | 0 USD privé / commission ~20% | Triage interne fort | Entreprises avec gros volume |
| YesWeHack (FR) | 0 USD privé / commission ~20% | Communauté EU+Afrique francophone | SaaS UE / Afrique francophone |
| Intigriti (BE) | 0 USD privé / commission ~20% | Forte côté EU | SaaS européens |
| Programme self-hosted | 0 USD | Page security.txt + email | Pre-seed sans budget plateforme |
Le coût réel n'est pas l'accès à la plateforme — il est gratuit en privé — mais les récompenses que vous versez aux chercheurs. Grille typique 2026 :
- Low : 50-150 USD (30-90k FCFA)
- Medium : 250-500 USD (150-300k FCFA)
- High : 1 000-2 500 USD (600k-1,5M FCFA)
- Critical : 3 000-7 500 USD (1,8-4,6M FCFA)
Pour un SaaS en seed, prévoir un budget bounty mensuel de 1 500 à 3 500 USD (900k - 2,1M FCFA) la première année. Vous monterez ce budget quand vous passerez en public.
Privé d'abord, public ensuite
L'erreur classique : ouvrir un programme public trop tôt. Vous recevez 200 rapports en 48h, dont 180 doublons ou hors scope, votre tech submerge, vous payez 4 000 USD à un script kiddie pour un XSS sur un sous-domaine marketing oublié.
La séquence saine : programme privé invité (10-30 chercheurs sélectionnés sur leur signal de réputation sur la plateforme), scope serré, 3 à 6 mois de calibration, puis ouverture progressive à plus de chercheurs, puis enfin public si pertinent. Beaucoup de SaaS B2B excellents ne deviennent jamais publics — pas besoin.
Besoin d'un site web professionnel ?
Kolonell crée des sites web qui attirent des clients, optimisés pour le marché sénégalais. Devis gratuit en 2 minutes.
Le triage, vrai coût caché
Chaque rapport demande un triage : reproduire, qualifier, classifier CVSS, dialoguer avec le chercheur, valider la récompense. Comptez 30 minutes à 3 heures par rapport pour un programme bien tenu. Pour une edtech avec 50 rapports valides/an, c'est ~80 heures de tech, soit ~3 200 USD au coût interne.
Sur HackerOne et Bugcrowd, vous pouvez payer leur équipe triage (managed service) entre 1 500 et 4 000 USD/mois. À envisager quand vous dépassez 30 rapports/mois.
Erreur fatale : ne pas payer
Une fintech kényane que nous accompagnions a accepté 8 findings et "oublié" de payer pendant 3 mois. Résultat : les 3 meilleurs chercheurs mondiaux sur leur stack ont arrêté de regarder, et l'un d'eux a publié sur Twitter "X.io ghost les chercheurs". Le programme a mis 14 mois à se relancer. Payer dans les 7 jours après triage est non négociable.
FAQ
Combien de chercheurs inviter au lancement ?
10 à 25 chercheurs top-100 sur la plateforme, sélectionnés sur leur historique avec votre stack (Next.js, Node, Postgres, AWS, mobile React Native, etc.).
Faut-il un programme bounty avant SOC2/ISO ?
Pas obligatoire. Mais avoir un programme actif depuis 6+ mois rassure considérablement l'auditeur SOC2 sur le contrôle "vulnerability management".
Et si je n'ai pas de budget pour récompenser ?
Lancez une page '/.well-known/security.txt' avec votre email security@. Sans récompense, vous aurez quelques rapports amateurs uniquement, mais c'est mieux que rien.
Les chercheurs peuvent-ils faire fuiter ma vulnérabilité ?
En programme privé sur HackerOne/Bugcrowd, NDA implicite et historique de la plateforme rendent ça très rare. C'est l'avantage des plateformes payantes vs un programme self-hosted.
Lancez votre programme
Vous voulez un programme bug bounty privé prêt en 2 semaines, scope cadré, grille de récompenses calibrée pour votre runway ? On vous accompagne du choix de plateforme à la première récompense versée. WhatsApp +221 77 596 93 33 ou /fr/devis-gratuit.
Mohamed Bah
Fondateur, Kolonell
Passionné par le digital et l'entrepreneuriat en Afrique, Mohamed accompagne les entreprises sénégalaises dans leur transformation digitale depuis 2020. Fondateur de Kolonell, il croit que chaque PME mérite une présence en ligne professionnelle et accessible.
