En mai 2020, La Poste Suisse a décidé de lancer avec la plateforme de crowdsourcing en cybersécurité YesWeHack un programme privé de bug bounty. Le succès de celui-ci et les résultats obtenus ont conduit l'entreprise à ouvrir en 2021 son programme à toute la communauté de la plateforme, soit 23 000 hackers éthiques.

En 2020, La Poste Suisse a démarré cette chasse aux vulnérabilités avec 20 chercheurs sélectionnés au préalable, qui accédaient au programme sur invitation. L'entreprise avait pour objectif de renforcer la sécurité de ses produits numériques, grâce à cette approche communautaire, complémentaire des tests de sécurité existants. Progressivement, son programme privé a été étendu à une centaine de hackers éthiques, avec des résultats concluants. « Depuis le début du programme, nous avons identifié 500 vulnérabilités et versé environ 226 000€ de récompenses », témoigne en effet Marcel Zumbühl, responsable de la sécurité des systèmes d'information de La Poste Suisse.

Jusqu'à 10 000 € pour une faille critique

Désormais, avec le programme public, La Poste Suisse donne aux 23 000 hackers de YesWeHack la possibilité de participer à la traque de vulnérabilités, les participants pouvant recevoir jusqu'à 10 000 € de récompense pour une faille critique. Le programme public de Bug Bounty commencera initialement avec onze périmètres, qui ont d'ores et déjà été améliorés dans le cadre du programme de bug bounty privé. Il est prévu d'ajouter d'autres services au programme. La Poste Suisse dispose également d'une politique de divulgation de vulnérabilités (VDP), un canal permettant de signaler de manière légale et sécurisée des vulnérabilités sur des services ne figurant pas dans le programme public.