2. Technos & Medias

  3. Innovation et Start-up

Comment YesWeHack compte populariser le bug bounty dans les entreprises

La plateforme YesWeHack annonce une levée de fonds de 4 millions d'euros, afin d'étendre ses activités en Europe et en Asie. Elle propose aux entreprises d'organiser leur programme de bug bounty, lors desquelles des experts dénichent les vulnérabilités de sécurité.
François Manens
(Crédits : Kacper Pempel)

Ce sont des chasseurs de primes des temps modernes. Leur cible : les failles de sécurité informatiques. La startup rouennaise YesWeHack s'est imposée comme une des plateformes majeures entre ces hackers éthiques, et les sociétés qui souhaitent tester la sécurité de leurs systèmes. Elle vient de lever 4 millions d'euros auprès du programme d'investissement de CNP Assurances et d'un fonds de la région Normandie. Objectif : développer leur activité en Europe et en Asie, en plus de populariser le bug bounty.

Des programmes de chasse à la faille informatique

YesWeHack.com revendique la plus grande communauté de chercheurs de bug d'Europe, avec 7.000 experts en cybersécurité. Grâce à cette masse de hackers, elle propose aux entreprises des programmes de bug bounty. Cet anglicisme pourrait se traduire par "chasse de bug contre prime". En pratique, une société qui souhaite tester la sécurité de ses programmes informatiques peut organiser un de ces bug bounty, en partenariat avec YesWeHack ou un de ses concurrents. La société cliente définit les paramètres de l'expérience, c'est-à-dire les règles du jeu : la durée du hack par exemple, ou encore son périmètre d'action. Les programmes peuvent porter sur un site web, une application mobile ou encore un objet connecté.

Ces conditions essentielles permettent de contenir l'éventuel zèle de certains hackers, qui pourrait dénicher des problèmes là où la société ne s'en inquiète pas. Ils franchiraient de sorte la frontière du hacking éthique, puisqu'il vise à s'inscrire dans un cadre légal et consenti. Ensuite, le client rémunère à la prime, c'est-à-dire uniquement si une faille ou une vulnérabilité a été décelée. Selon l'importance du bug rapporté, le montant de la rémunération est plus ou moins important.

Une alternative aux audits de cybersécurité

Le succès croissant des bugs bounty s'appuie en partie sur la raréfaction des ressources en cybersécurité. Les compétences dans ce domaine sont très recherchées. Que ce soit pour avoir des profils adaptés en interne ou pour commander un audit de cybersécurité, il faut faire face à une demande très importante. Les bug bounty, avec leur système de prime, offrent une alternative économique intéressante, en plus d'ouvrir l'accès à un grand nombre d'expert.

François Manens

Sujets les + lus

|

Sujets les + commentés

Commentaires 2
à écrit le 16/02/2019 à 12:53
Signaler
Du coup , ça sera une baisse de chiffre d’affaires pour les produits anti- virus et protection de sécurité informatique ? Et de l’autre côté , si un jour un grand bug mondialisé se produit est ce que «  les 7000 experts » ne vont ils pas être montr...
à écrit le 16/02/2019 à 10:45
Signaler
C'est un excellent business model.

Votre email ne sera pas affiché publiquement.
Tous les champs sont obligatoires.

-

Merci pour votre commentaire. Il sera visible prochainement sous réserve de validation.