Comment YesWeHack compte populariser le bug bounty dans les entreprises
France: l'armee lance un "bug bounty" pour muscler sa cyberdefense
Kacper Pempel
France: l'armee lance un "bug bounty" pour muscler sa cyberdefense
Kacper Pempel
Ce sont des chasseurs de primes des temps modernes. Leur cible : les failles de sécurité informatiques. La startup rouennaise YesWeHack s'est imposée comme une des plateformes majeures entre ces hackers éthiques, et les sociétés qui souhaitent tester la sécurité de leurs systèmes. Elle vient de lever 4 millions d'euros auprès du programme d'investissement de CNP Assurances et d'un fonds de la région Normandie. Objectif : développer leur activité en Europe et en Asie, en plus de populariser le bug bounty.
YesWeHack.com revendique la plus grande communauté de chercheurs de bug d'Europe, avec 7.000 experts en cybersécurité. Grâce à cette masse de hackers, elle propose aux entreprises des programmes de bug bounty. Cet anglicisme pourrait se traduire par "chasse de bug contre prime". En pratique, une société qui souhaite tester la sécurité de ses programmes informatiques peut organiser un de ces bug bounty, en partenariat avec YesWeHack ou un de ses concurrents. La société cliente définit les paramètres de l'expérience, c'est-à-dire les règles du jeu : la durée du hack par exemple, ou encore son périmètre d'action. Les programmes peuvent porter sur un site web, une application mobile ou encore un objet connecté.
Ces conditions essentielles permettent de contenir l'éventuel zèle de certains hackers, qui pourrait dénicher des problèmes là où la société ne s'en inquiète pas. Ils franchiraient de sorte la frontière du hacking éthique, puisqu'il vise à s'inscrire dans un cadre légal et consenti. Ensuite, le client rémunère à la prime, c'est-à-dire uniquement si une faille ou une vulnérabilité a été décelée. Selon l'importance du bug rapporté, le montant de la rémunération est plus ou moins important.
À lire également
Le succès croissant des bugs bounty s'appuie en partie sur la raréfaction des ressources en cybersécurité. Les compétences dans ce domaine sont très recherchées. Que ce soit pour avoir des profils adaptés en interne ou pour commander un audit de cybersécurité, il faut faire face à une demande très importante. Les bug bounty, avec leur système de prime, offrent une alternative économique intéressante, en plus d'ouvrir l'accès à un grand nombre d'expert.
IA : OpenAI envisagerait de baisser « drastiquement » ses prix face à la concurrence d'Anthropic
En Chine, l’IA détruit déjà des emplois (mais Pékin traque les licenciements massifs)
1 765 milliards de dollars : SpaceX s'apprête à signer l'entrée en Bourse de tous les records
Positions irréconciliables entre Bruxelles et Apple, l'arrivée de Siri AI en Europe encore loin d'être acquise