Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Guillaume Vassault-Houlière, YesWeHack : le Bug Bounty est aujourd’hui une pratique mature et reconnue

février 2020 par Emmanuelle Lamandé

L’année 2019 a été particulièrement riche pour le spécialiste du Bug Bounty YesWeHack. Suite à sa levée de fonds de 4 millions d’euros il y a an, la société a ouvert un troisième bureau à Singapour, lancé une plateforme éducative de Bug Bounty, triplé sa communauté de hackers, mais aussi le nombre de ses collaborateurs… Retour sur les principaux évènements qui ont marqué cette année avec Guillaume Vassault-Houlière, CEO et cofondateur de YesWeHack, à l’occasion de la 12ème édition du FIC.

© Lise Sauvage

Global Security Mag : YesWeHack a effectué une levée de fonds de 4 millions d’euros en février 2019 auprès d’Open CNP et de Normandie Participations. Quelles étaient vos ambitions et votre stratégie ?

Guillaume Vassault-Houlière : Cette levée de fonds nous a permis de dérouler notre stratégie de développement en France, mais aussi d’accélérer notre présence à l’international, notamment en Europe et en Asie. Nous avons d’ailleurs ouvert un troisième bureau à Singapour en mai 2019, en plus de ceux de Lausanne et Paris. L’ouverture de ce bureau représente, pour nous, une implantation stratégique sur le marché asiatique.
De manière générale, les ventes de YesWeHack ont progressé de plus de 300% en 2019 pour représenter plusieurs millions d’euros. Cette croissance est notamment portée par l’arrivée de nouveaux clients du Top 500 dans plus de 15 pays.
Toutefois, l’obtention de nouveaux marchés ne doit pas se faire au détriment de la qualité du Bug Bounty, c’est pourquoi pour accompagner cette croissance nous avons aussi recruter de nouveaux collaborateurs et renforcer notre communauté de hackers éthiques. Notre équipe est ainsi passée de 9 à plus de 30 collaborateurs sur l’année écoulée. Le nombre de hackers référencés au sein de notre communauté a, quant à lui, progressé de 280%. Plus de 15 000 hackers, issus de 120 pays, recherchent à l’heure actuelle activement des failles sur notre plateforme de Bug Bounty. 60% d’entre eux sont européens. Près de 400 nouveaux chasseurs viennent en moyenne rejoindre notre communauté tous les mois.

Pour rappel, le principe du Bug Bounty consiste à mettre en relation une communauté de chercheurs en cybersécurité (hackers éthiques), répartis dans le monde entier, avec des entreprises souhaitant éprouver leur sécurité sur un périmètre défini : sites Web, applications mobiles, infrastructures, objets connectés… Chaque chercheur est rémunéré au résultat sous forme de primes, en fonction de la criticité du bug trouvé.

GS Mag : En moyenne, à combien s’élève le montant d’une prime ?

Guillaume Vassault-Houlière : Le montant total des primes proposées par YesWeHack a lui aussi connu une croissance exponentielle en 2019, puisqu’il a augmenté de 320%. Les récompenses oscillent généralement entre 50 et 20 000 euros en fonction des failles divulguées. En 2019, la plus grosse prime versée s’est élevée à 20 000 euros pour une faille d’infrastructure.

GS Mag : Quels ont été les principaux types de failles identifiées par votre communauté en 2019 ?

Guillaume Vassault-Houlière : En 2019, parmi les failles détectées via notre plateforme, 11% étaient critiques, 37% de niveau élevé, 44% de niveau médium et 7% de faible niveau. Les failles les plus représentées étaient celles liées au design des applications (35%), suivies de celles relatives au contrôle d’accès (32%), puis des failles input (30%), des failles de chiffrement (2%) et enfin des failles de corruption de mémoire (1%).

GS Mag : YesWeHack a également lancé YesWeHack EDU en novembre dernier. Pouvez-vous nous présenter cette plateforme éducative ?

Guillaume Vassault-Houlière : YesWeHack EDU est une plateforme éducative de Bug Bounty dédiée à la formation en cybersécurité. Via cette plateforme, les utilisateurs peuvent s’entraîner à la recherche de failles de sécurité sur des scénarios réalistes, dans des contextes identiques à ce qui existe aujourd’hui en production au sein des entreprises et des organisations. YesWeHack EDU s’adresse notamment aux promotions cybersécurité des écoles et université et plus largement à l’ensemble des promotions européennes en IT (développement, Big Data, etc.) qui veulent accélérer le partage de datasets de qualité. L’approche pédagogique de YesWeHack EDU encourage d’abord l’émulation via la gamification et l’implication de chaque élève dans la sécurisation de son institution. Elle ouvre aussi des perspectives aux futurs développeurs vers des spécialisations porteuses, telles que DevSecOps, Data Scientist, Security Analyst, etc.

GS Mag : Quel état faites-vous aujourd’hui du marché du Bug Bounty ?

Guillaume Vassault-Houlière : Le Bug Bounty est aujourd’hui une pratique majeure en termes de cybersécurité, reconnue par les entreprises et les États. Il prend d’ailleurs de plus en plus d’importance dans les politiques de sécurité de tout type d’acteur, puisqu’il permet d’accélérer la détection de failles et donc la sécurisation de leurs Systèmes d’Information. Le Bug Bounty s’inscrit, de plus, dans le développement en Europe d’une approche agile de la sécurité (DevSecOps), visant à intégrer la sécurité des systèmes de façon plus proactive, dès la genèse des projets.

Le marché du Bug Bounty est aujourd’hui de plus en plus mature. Les périmètres de tests eux-mêmes deviennent de plus en plus matures. En effet, plus une entreprise teste en continu ses systèmes, plus les vulnérabilités se font rares, et plus le montant des primes augmente. C’est d’ailleurs en testant en continu ses systèmes qu’on maîtrise vraiment le risque. De plus en plus d’acteurs l’ont compris, et recourent désormais aux programmes de Bug Bounty. Ce dernier est même devenu un argument marketing pour beaucoup, dans la mesure où il représente un gage de confiance.

Des sociétés comme Apple proposent même à l’heure actuelle des primes allant jusqu’à 200 K€ pour la détection de failles sur ses systèmes. De nombreux acteurs, publics comme privés, font aujourd’hui appel aux programmes de Bug Bounty de YesWeHack, comme par exemple Deezer, BlaBlaCar, La Direction Interministérielle du Numérique (DINUM) ou encore le Ministère des Armées…

GS Mag : Vous organisez d’ailleurs un Live Bug Bounty pendant le FIC. Quelles sont les entreprises qui y participent ?

Guillaume Vassault-Houlière : YesWeHack organise effectivement un live Bug Bounty pendant le FIC, avec la participation cette année de Cybermalveillance.gouv.fr, Oui SNCF, La Croix-Rouge et Olvid.
- Cybermalveillance.gouv.fr a soumis aux hackers présents au FIC sa nouvelle plateforme d’assistance aux victimes de cyberattaques.
- Oui SNCF a, de son côté, mis à disposition des experts ses systèmes de réservations internationaux, d’authentification, d’abonnement et de gestion des comptes.
- Pour sa deuxième participation au Live Bug Bounty, La Croix-Rouge a soumis aux hackers ses applications de gestion des bénévoles, des fonds récoltés et des tâches. La Croix-Rouge étant une association, les primes sont payées par YesWeHack.
- Enfin, Olvid, Prix coup de cœur du FIC 2020, a soumis ses applications mobiles, ainsi que ses infrastructures serveur.
L’ensemble des failles détectées ont été qualifiées, traitées et payées au cours de l’événement.

YesWeHack organise aussi un Live Car Hacking pendant le FIC, durant lequel Gaël Musquet, Hacker de YesWeHack démontre en live comment hacker un véhicule connecté et en prendre le contrôle à distance.

GS Mag : Vous dévoilez également un livre blanc dédié à la Divulgation Coordonnée de Vulnérabilités (CVD) à l’occasion du FIC. Quel message souhaitez-vous faire passer par ce biais ?

Guillaume Vassault-Houlière : Ce livre blanc « Divulgation Coordonnée de Vulnérabilités : Fédérer pour réduire le risque » appelle à intensifier la collaboration des différents acteurs internationaux autour de la Divulgation Coordonnée de Vulnérabilités (CVD). Il aborde à la fois les obstacles, tant culturels que législatifs, à la mise en place d’une collaboration productive entre hackers éthiques et organisations, et rappelle aussi que la CVD est aujourd’hui un moyen de choix pour réduire les risques numériques. Ainsi, le document propose des axes d’amélioration :
- Harmoniser la législation nationale et européenne : la mise en place d’une stratégie de CVD gagnerait en efficacité avec une clarté juridique au niveau du cadre législatif national, et d’une harmonisation de celui-ci au niveau européen.
- Mobiliser l’intelligence collective : les organisations doivent gagner en maturité et surtout consolider la collaboration autour de la divulgation de vulnérabilités. Cette démarche doit également s’accompagner d’une valorisation des talents en interne et d’une utilisation plus pertinente des outils, tels que le Bug Bounty.

La divulgation de vulnérabilités est un processus et non un événement. La mise place de stratégie de Divulgation Coordonnées des Vulnérabilités répond aujourd’hui aux problèmes croissants de risque numérique. Pour être encore plus efficace, elle doit cependant s’accompagner d’évolutions notables tant au niveau législatif que culturel. Pour garantir la sécurité du cyberespace européen, il est essentiel de renforcer la coopération internationale autour de la CVD et entre les entreprises et les organisations européennes. C’est cette nouvelle collaboration qui permettra l’émergence d’une responsabilité de cybersécurité collective.

GS Mag : Quelle sera votre stratégie pour 2020 ?

Guillaume Vassault-Houlière : Nous comptons continuer sur notre lancée en 2020 et poursuivre notre développement. Nous souhaitons capitaliser sur la marque à travers le globe, et espérons faire 60 à 70% de notre chiffre à l’export cette année.
Nous allons également continuer à améliorer en permanence la qualité de notre communauté et de nos chercheurs, tout en gardant un pull diversifié. Nous préférons avoir moins de chercheurs, tant qu’ils sont de qualité et disposent des bonnes valeurs.
L’équipe de YesWeHack aussi évolue. Nous recrutons toujours de nouveaux collaborateurs et recherchons tous types de profils : R&D, experts, juristes, RH, marketing…

Depuis sa création, YesWeHack fait changer les mentalités, et fait évoluer la communauté à ses côtés. L’objectif sera également de parvenir à se fédérer autour d’une politique de CVD européenne de manière à pouvoir protéger l’ensemble des acteurs de l’écosystème. La CVD s’avère fondamentale pour protéger nos intérêts, et les vulnérabilités identifiées.

Notre entreprise témoigne également du fait qu’un modèle français et européen peut s’exporter avec succès à l’international. YesWeHack est aujourd’hui clairement identifié comme une alternative européenne aux services proposés par les États-Unis. Notre ambition aujourd’hui est de faire partie du Top 100 dans l’écosystème mondial.

GS Mag : Enfin, quel message souhaitez-vous faire passer à nos lecteurs ?

Guillaume Vassault-Houlière : Les entreprises prennent plus de risques aujourd’hui à ne pas travailler avec un acteur du Bug Bounty tel que YesWeHack. Leurs risques seront mieux maîtrisés si elles font appel à notre communauté de chercheurs.


Articles connexes:


Voir les articles précédents

    

Voir les articles suivants