CLUB CISO #6 & CLUB CTO #6 - Comment organiser et tirer profit des pentests et bug bountys ?

Républik IT donne rendez-vous aux décideurs IT le 16 décembre 2025 pour réaliser un tour d’horizon des nouvelles tendances !

CLUB CISO et CLUB CTO sont des événements élitistes et confidentiels qui permettent aux CISO, RSSI, CTO et directeurs techniques de grandes entreprises de pouvoir échanger librement, sans langue de bois et « off the record ». Ce qui se dit dans le club reste dans le club : il n’y a aucun compte-rendu.

Républik IT donne rendez-vous aux décideurs IT le 16 décembre 2025 pour échanger sur le sujet : « Comment organiser et tirer profit des pentests et bug bountys ? »

Pourquoi ce sujet ?

Pour tester son code ou sa cybersécurité, recourir à des “gentils hackers” est une méthode efficace. Chaque faille ou bug est rémunéré. Mais si les testeurs trouvent des foules de défauts, l’opération de pentest ou de bug bounty risque de devenir ruineuse.

Par ailleurs, il vaut mieux s’assurer que le “gentil hacker” est bien ce qu’il prétend être et qu’il ne va pas se transformer en pirate en dissimulant des failles découvertes. Payer des hackers n’est pas forcément une évidence pour des ComEx, des juristes ou des services achats.

Une fois la liste des défauts établie, il convient de corriger, bien évidemment.

• Quelles sont les définitions, les cas d’usage… ?
• Quelle différence/complémentarité avec les autres outils comme le recours à une red team ?
• Dans quels cas lancer ou ne pas lancer pentest et bug bounty ?
• Quel encadrement juridique aux pentests et bug bountys ?
• Quelle préparation avant de lancer un pentest ou un bug bounty ?
• Comment prévoir / budgéter le coût ?
• Avec quels partenaires travailler ?
• Les plateformes automatisées sont-elles pertinentes ?
• Comment exploiter au mieux les failles relevées ? Comment prioriser les résolutions compte tenu de ressources non-extensibles à merci ?
• Que faire si les failles relèvent de partenaires ou de sous-traitants, notamment SaaS ?
• Comment pentester les outils d’IAG ?

Grands témoins : Odile Duthil (CDC) et Alain Rogulski (Carrefour)

Odile Duthil, Directrice de la Cybersécurité du groupe Caisse des Dépôts et Consignations (CDC), est responsable de l’ensemble des risques TIC au sens DORA dont la stratégie SSI, les opérations techniques (Pentests, gestions d’habilitations, Red Team…), le pilotage DORA et les contrôles de niveau 2 sur l’IT.

Alain Rogulski a rejoint le distributeur Carrefour comme Global Chief Information Security Officer en juin 2025.

Carrefour est un groupe de distribution qui dispose de tous les formats de magasins, y compris l’e-commerce. Il génère un chiffre d’affaires de plus de 94 milliards d’euros grâce à ses 321 000 collaborateurs et ses 12 000 magasins dans le monde.

Les partenaires du club

Nos partenaires nous accompagnent sur tous nos clubs.

Un « Club », c’est quoi ?

Un format et un ton volontairement décalés. Les dîners-débats sont animés à la manière d’un plateau radio. Tous les invités prennent la parole. L’animateur sollicite notamment les plus timides et crée ainsi une atmosphère d’échange unique. Les Clubs sont confidentiels et sans langue de bois.

Qui est invité ?

Un panel de 20 à 30 décideurs de grands comptes (CTO, CIO, VP IT, etc.).Seuls les invités confirmés reçoivent l’adresse exacte du lieu du club.

Pour participer à ce Club, contactez Elodie Labbé ou Annabel Attali.

Agenda de la soirée

19h30 : Cocktail d’ouverture.

20h00 : Lancement du dîner-débat.

21h45 : Conclusion.

22h00 : Cocktail Networking.