Sécurité IA

Mythos vs bug bounty : qui paie encore HackerOne quand Anthropic trouve les failles ?

Si Anthropic trouve des milliers de zero-days dans Chrome, Windows et iOS, à quoi sert encore votre programme HackerOne à 150 K€/an ? Réponse honnête en chiffres.

Aroua Biri 8 min

Un CTO m'a posé la question la semaine dernière : "Si Mythos trouve déjà des milliers de zero-days à grande échelle, est-ce qu'on garde notre programme HackerOne à 150 K€/an ?" La réponse honnête, c'est : oui, mais pas pour les raisons qu'on croit. Et la trajectoire à 24 mois n'est pas évidente.

Ce que Mythos fait (et ce qu'il ne fait pas) face au bug bounty

Anthropic a annoncé que Mythos Preview reproduit 83% des zero-days connus au premier essai. Mais cette statistique concerne les vulnérabilités déjà publiées dans des projets matures (OS, navigateurs). Sur votre SaaS B2B qui a 6 ans d'histoire et 300k LOC custom, Mythos n'a pas été entraîné dessus, ne le verra pas par défaut, et n'aura pas la connaissance du contexte métier qui fait qu'une faille théorique devient un exploit business.

Du coup, ce que Mythos remplace réellement :

  • La phase "recherche brute de patterns connus" sur des libs OSS — déjà industrialisée par GitHub Advanced Security et autres.
  • La découverte de vulnérabilités dans les composants standards très réutilisés.

Ce que Mythos ne remplace pas :

  • La connaissance de ton business logic. Un bug bounty hunter qui découvre qu'on peut passer une commande à 0€ via une race condition entre deux endpoints métier, c'est un humain avec du contexte.
  • L'imagination adversariale créative sur des scénarios qu'aucun modèle n'a vus en training (abus de fonctionnalités légitimes, social engineering combiné à des bugs techniques).
  • La conformité : certaines régulations (PCI DSS, certaines clauses contractuelles enterprise) exigent un programme de vulnerability disclosure documenté. Voir Vulnerability disclosure CRA.

Le calcul économique pour un SaaS B2B typique

Prenons un SaaS B2B série B, programme HackerOne public avec budget annuel 150 K€ (pool de rewards + frais HackerOne).

Avant Mythos :

  • 8-12 rapports valides / an, dont 2-3 Critical.
  • Coût par bug Critical trouvé : ~50 K€ (rewards + temps interne).
  • Comparé au coût d'un incident exploité : easy ROI.

Avec Mythos dans la nature (chez les attaquants et les défenseurs) :

  • La probabilité qu'un attaquant trouve une faille dans les 30 jours augmente.
  • Du coup, votre bug bounty doit trouver plus vite que l'attaquant — challenge réel.
  • En parallèle : vos outils défensifs intègrent progressivement des modèles type Daybreak qui captent une partie de ce que votre bug bounty captait.

Trajectoire probable à 24 mois :

  • Les Critical sur des libs OSS standards : attrapés par vos outils défensifs IA, plus besoin du bounty.
  • Les Critical sur votre business logic et vos intégrations custom : seul un humain les trouve. Le bounty garde sa valeur, peut-être avec un pool plus petit mais plus ciblé.

Trois scénarios concrets pour votre programme

Scénario 1 : Vous n'as pas encore de bug bounty

N'en lance pas en panique parce que Mythos existe. Commence par :

  • Un programme VDP (Vulnerability Disclosure Policy) simple : email security@, SLA de réponse, pas de récompense. Coût quasi nul.
  • Un SAST carré (Snyk + Semgrep). Voir Daybreak vs Snyk + Semgrep.
  • Un pentest annuel humain sur le périmètre critique. 20-40 K€.

Le bug bounty rémunéré, c'est quand ces fondamentaux tournent et que vous avez quelque chose à protéger (clients enterprise, données sensibles).

Scénario 2 : Vous as un bug bounty actif, budget 100-200 K€

Garde-le, mais recadre :

  • Réduis la portée publique : moins de scope, plus ciblé sur la business logic et les intégrations custom.
  • Augmente les rewards Critical sur ces périmètres-là : un Critical sur votre logique métier devrait valoir 15-30 K€, pas 3 K€.
  • Sors du scope ce que vos outils défensifs IA captent désormais (CVE classiques sur libs OSS).

Vous redéploies votre budget vers ce que les humains font mieux que les modèles.

Scénario 3 : Vous as un programme public à 300 K€+

Là la question est différente : votre ROI marginal sur les nouveaux bugs trouvés diminue. Vous peux probablement passer en programme privé sur invitation, avec moins de hunters mais plus seniors, et baisser le budget de 30-40% sans dégrader la qualité.

Ce qui ne change pas

Trois choses honnêtement :

  • Un programme de divulgation, même non rémunéré (VDP), reste une exigence quasi-contractuelle pour vendre en enterprise. CRA, NIS2, beaucoup de DDQ enterprise le demandent.
  • Les hunters humains restent les meilleurs sur la business logic complexe.
  • Le pentest annuel reste utile, surtout post-refonte d'archi ou avant une certif type SOC 2. Voir SOC 2 Type II.

Donc voilà : Mythos ne tue pas le bug bounty, il le recompose. Le hunter générique sur libs OSS connues a moins d'avenir. Le hunter senior qui comprend votre métier et trouve des chaînes d'abus business — il vaut plus cher qu'avant.

Un sujet connexe chez vous ?

20 minutes pour cadrer ensemble. Aucune offre commerciale envoyée à froid.

Réserver un échange Calendly

À lire aussi

Sécurité IAClaude Mythos zero-days Sécurité IAMythos vs Daybreak ConformitéVulnerability disclosure CRA

À propos de l'auteur

Aroua Biri

Aroua Biri

Fondatrice de WeeSec. Ingénieure docteure en cybersécurité (Télécom SudParis), MIT Applied AI certified. 15+ ans d'expérience auprès de BNP Paribas, Société Générale, ENEDIS, Engie, TOTAL, LVMH, Thales, AXA, EDF, L'Oréal, Allianz.

Profil complet · LinkedIn · Malt