On le cueille au siège de Yes We Hack à Rouen alors que l'un de ses chasseurs de bugs (lui préfère les appeler chercheurs de vulnérabilité) vient de recevoir une coquette prime de 12.000 euros pour avoir débusqué une faille à haut risque dans le système informatique d'un gros site d'e-commerce dont il taira le nom. Confidentialité oblige.

Lire aussi : La France réfléchit à se doter d'un hub dédié à la cybersécurité

Presque la routine pour Guillaume Vassault-Houlière. Ce jour-là, le PDG a laissé le costume du geek au vestiaire pour adopter le dress code de l'entrepreneur. « Cela fait partie des éléments qui donnent confiance », explique-t-il, presque à regret.

Pour l'avoir connu quelques années plus tôt du temps où il était directeur de la sécurité de Qwant, on comprend aisément pourquoi il a endossé le costume. Avant de devenir « Ambassador Security & Privacy » de la French Tech, ce pionnier français du hacking éthique a usé pas mal de salive pour convaincre ses interlocuteurs qu'il pouvait exister des bons samaritains « avec des valeurs » dans la communauté des hackers. Sa constance et son expertise ont fini par payer.

Pour s'en convaincre, il suffit de regarder les noms de quelques-uns des clients de la plateforme de recherche de bugs qu'il a fondée en 2013 sous le nom de Bounty Factory. Outre des grandes banques, compagnies d'assurances ou fintech qui préfèrent rester discrètes, elle sécurise le ministère des armées - excusez du peu ! mais aussi le groupe Aéroports de Paris et une belle brochette de licornes, de Deezer à Dailymotion en passant par Blablacar. « Plus du quart des startups du nouvel indice Next 40 font appel à nous », s'enorgueillit le PDG.

Lire aussi : Que font les startups du Next40, les fleurons de la French Tech ?

Colonel d'une armée

Pour traquer les bugs dans tous ces systèmes, le boss s'appuie sur une trentaine de salariés permanents et sur une armée de plus de dix mille mercenaires dont les deux tiers sont originaires d'Europe.

Pour chaque faille trouvée, ces hackers vertueux perçoivent une prime pouvant aller jusqu'à 15 000 euros en fonction de sa criticité. Dans le cadre de challenges qui leur valent des points de réputation, il leur arrive aussi de travailler gracieusement pour des ONG. L'éthique, toujours.

Avec une telle force de frappe, Yes We Hack, peut se flatter de rivaliser avec les plateformes créées antérieurement par Google, Facebook et consorts. Désormais nantie de trois bureaux en France et de deux autres en Suisse et à Singapour, elle est en capacité d'adresser le vieux continent et une partie de l'Asie où sa marque de fabrique européenne rassure. « Lancer un bug bounty, c'est comme confier les clefs de sa maison à un tiers. Les Asiatiques sont réticents à l'idée de les confier à des Américains », constate Guillaume Vassault-Houlière.

Moralité, sa société qui se présente comme un « tiers de confiance » revendique une croissance de plus de 200 % et quelque 15.000 bugs identifiés en l'espace de six ans.

Combien demain ? Difficile de le dire, mais la demande promet d'être exponentielle avec l'explosion du risque cyber.

Une profession sans chômage

De toute évidence, les « chercheurs de vulnérabilité » n'ont pas à craindre le chômage. D'autant, qu'a écouter le spécialiste rouennais, les entreprises demeurent très vulnérables. « Les plus grosses sociétés ne comptent pas plus de 90 experts en interne et on dénombre trois millions de postes non pourvus dans la cybersécurité. » De surcroît, la multiplication des objets connectés ou des voitures autonomes ouvre un nouveau champ de recherche quasi-infini pour les contributeurs de la Bounty Factory. « La surface d'attaque va devenir immense » pronostique son concepteur.

Un avertissement sans frais.

___

MINIBIO

2012 Contribue au rapport Bockel sur la cyberdéfense.

2012 Est élu président de la Nuit du Hack.

2013 Crée Yes We Hack.

2014 Devient responsable de la sécurité informatique chez Qwant.

2016 Lance la Bounty Factory, première plateforme de bug bounty de droit européen.