La Tribune : Vous avez été parmi les premiers en France à populariser le bug bounty et le hacking éthique. A l'époque, vous étiez accueilli avec une certaine méfiance. Les mentalités ont-elles évolué ?

Guillaume Vassault-Houlière : Sans aucun doute, la question n'est plus de savoir en quoi consiste cette approche mais comment la mettre en place. Les organisations, qui font appel à la communauté des hackers éthiques, ont compris tout le bénéfice qu'elles pouvaient tirer du bug bounty qui s'est ménagé une place dans la panoplie des protections contre le risque cyber. J'irais jusqu'à dire que la sécurité crowdsourcée (ou collaborative ndlr) s'impose comme le nouveau standard dans les stratégies de sécurité des entreprises. J'en veux pour preuve le doublement de notre chiffre d'affaires et l'augmentation de 120% du nombre de programmes de détection de failles lancés sur notre plateforme l'an dernier. Avec l'accélération de la digitalisation suscitée par la pandémie, nous voyons, en outre, notre portefeuille de clients se diversifier. Si la tech et la bancassurance représentent encore plus de la moitié de notre activité, d'autres secteurs comme le commerce et la distribution, les médias ou les gouvernements se convertissent.

De votre point de vue, les entreprises sont-elles mieux ou moins bien protégées qu'il y a quelques années ?

Pour vous donner une idée, nous avons détecté deux fois plus de vulnérabilités en 2020 dont 30% ont été qualifiées de « hautes » ou de « critiques » ce qui signifie qu'elles auraient eu un impact désastreux si elles avaient été exploitées par des pirates. Ce que nous constatons, c'est un léger recul des failles dites techniques qui résulte d'un recours accru aux frameworks de développement. En revanche, les vulnérabilités provenant de défauts d'implémentation ou de conception continuent d'augmenter. Cela s'explique notamment par le fait que les entreprises ont empilé tant d'outils de défense que les responsables sécurité ne savent plus où donner de la tête. Il faut aller vers des outils plus agiles et plus inter-opérables.

Quels sont les nouveaux risques que vous voyez poindre ?

La multiplication des interactions avec des systèmes tiers, de fournisseurs, de clients ou de prestataires, démultiplie aussi la surface d'attaque d'une entreprise. Cela complique la sécurisation de ses actifs numériques. Ces nouvelles expositions peu voire mal maitrisées pourraient constituer la principale cible des cyberattaques à venir. Je note par ailleurs une montée de la défiance des usagers comme le montre l'engouement pour l'application Signal au détriment de WhatsApp. Pour regagner la confiance des utilisateurs, les entreprises ont donc tout intérêt à mettre en place des VDP (Politique de divulgation des vulnérabilités) afin de faire tester leurs produits par des hackers éthiques. L'Europe devrait d'ailleurs inscrire prochainement la sécurité crowdsourcée au cœur de ses recommandations en matière de cybersécurité.

Yes We Hack réalise la moitié de son chiffre d'affaires à l'international et revendique une augmentation de plus de 250% de ses activités dans la zone Asie Pacifique. Est-ce à dire que le bug bounty, made in France, a la cote ?

Le contexte géopolitique et les dissensions entre la Chine et les Etats-Unis nous aident mais il est vrai que le fait que nous soyons français rassure. Ce ne sont pas les seules raisons. Là où nos concurrents américains restent très orientés « produit », nous avons privilégié l'accompagnement de nos clients. Notre qualité de service, caractérisée par une très grande sélectivité des hackers en conformité avec toutes les normes européennes anti-terroristes ou anti-blanchiment, est reconnue par de très grands comptes dans cette zone. Les plus puissantes des banques asiatiques nous font confiance et elles contribuent à notre notoriété.

Quid de vos hackers justement ?

Notre communauté rassemble aujourd'hui 21.000 hackers répartis dans 170 pays mais elle croît rapidement au rythme de 400 à 500 par mois. Cela n'est pas le fruit du hasard. Comme nos programmes sont conduits efficacement, ils savent qu'ils seront récompensés rapidement pour leur travail. 87% des vulnérabilités qu'ils détectent sont payées moins d'une semaine après la soumission du rapport, sachant que la prime la plus haute que nous avons versée l'an dernier se monte à 10.000 euros.