Comment YesWeHack compte populariser le bug bounty dans les entreprises

 |   |  396  mots
(Crédits : Kacper Pempel)
La plateforme YesWeHack annonce une levée de fonds de 4 millions d'euros, afin d'étendre ses activités en Europe et en Asie. Elle propose aux entreprises d'organiser leur programme de bug bounty, lors desquelles des experts dénichent les vulnérabilités de sécurité.

Ce sont des chasseurs de primes des temps modernes. Leur cible : les failles de sécurité informatiques. La startup rouennaise YesWeHack s'est imposée comme une des plateformes majeures entre ces hackers éthiques, et les sociétés qui souhaitent tester la sécurité de leurs systèmes. Elle vient de lever 4 millions d'euros auprès du programme d'investissement de CNP Assurances et d'un fonds de la région Normandie. Objectif : développer leur activité en Europe et en Asie, en plus de populariser le bug bounty.

Des programmes de chasse à la faille informatique

YesWeHack.com revendique la plus grande communauté de chercheurs de bug d'Europe, avec 7.000 experts en cybersécurité. Grâce à cette masse de hackers, elle propose aux entreprises des programmes de bug bounty. Cet anglicisme pourrait se traduire par "chasse de bug contre prime". En pratique, une société qui souhaite tester la sécurité de ses programmes informatiques peut organiser un de ces bug bounty, en partenariat avec YesWeHack ou un de ses concurrents. La société cliente définit les paramètres de l'expérience, c'est-à-dire les règles du jeu : la durée du hack par exemple, ou encore son périmètre d'action. Les programmes peuvent porter sur un site web, une application mobile ou encore un objet connecté.

Ces conditions essentielles permettent de contenir l'éventuel zèle de certains hackers, qui pourrait dénicher des problèmes là où la société ne s'en inquiète pas. Ils franchiraient de sorte la frontière du hacking éthique, puisqu'il vise à s'inscrire dans un cadre légal et consenti. Ensuite, le client rémunère à la prime, c'est-à-dire uniquement si une faille ou une vulnérabilité a été décelée. Selon l'importance du bug rapporté, le montant de la rémunération est plus ou moins important.

Une alternative aux audits de cybersécurité

Le succès croissant des bugs bounty s'appuie en partie sur la raréfaction des ressources en cybersécurité. Les compétences dans ce domaine sont très recherchées. Que ce soit pour avoir des profils adaptés en interne ou pour commander un audit de cybersécurité, il faut faire face à une demande très importante. Les bug bounty, avec leur système de prime, offrent une alternative économique intéressante, en plus d'ouvrir l'accès à un grand nombre d'expert.

Réagir

Votre email ne sera pas affiché publiquement
Tous les champs sont obligatoires

Commentaires
a écrit le 16/02/2019 à 12:53 :
Du coup , ça sera une baisse de chiffre d’affaires pour les produits anti- virus et protection de sécurité informatique ?

Et de l’autre côté , si un jour un grand bug mondialisé se produit est ce que «  les 7000 experts » ne vont ils pas être montré du doigt « ?

Je trouve que le plus simple est d’inventer de l’informatique sans risque pour les utilisateurs et sans prise d’otage entre itech Security et failles...

Le dernier mot appartient aux utilisateurs, le choix à la connexion ou la non connexion.

Le grand défi des prochaines années...
a écrit le 16/02/2019 à 10:45 :
C'est un excellent business model.

Merci pour votre commentaire. Il sera visible prochainement sous réserve de validation.

 a le à :