Yogosha tente d’inventer le Bug Bounty à l’européenne

Reynald Fléchaux,

Sur une logique différente des Bug Bounty publics popularisés par des plates-formes américaines, la start-up française Yogosha élabore un modèle de chasse aux bugs plus en adéquation avec les pratiques des RSSI européens.

Récent lauréat du grand prix de l’innovation de la ville de Paris, Yogosha, soit « défense » en japonais, tente de construire une approche française, voire européenne, du Bug Bounty, ces concours de chasse aux failles de sécurité qui ont séduit de nombreuses entreprises, en particulier américaines. « L’idée de départ remonte à une rencontre en 2014 avec Yassir Kazar et part du constat que les plates-formes américaines auront à affronter un écart culturel quand elles voudront s’étendre en Europe », explique Fabrice Epelboin, l’un des deux co-fondateurs. D’où le concept retenu d’entrée par la start-up, celui du Bug Bounty privé. « Nous connaissons tous les hackers présents sur notre plateforme, leurs antécédents, leurs coordonnées personnelles », assure l’entrepreneur. Une logique différente à la fois de celle d’une plate-forme comme YesWeHack (sur une logique de chasses aux bugs publiques) ou des offres de Wavestone (le cabinet mobilisant ses seuls experts).

epelboin
Fabrice Epelboin

Officiellement créé fin 2015, Yogosha a démarré avec une cinquantaine de chercheurs en sécurité, un total qui a grossi à environ 150 experts aujourd’hui, selon Fabrice Epelboin. Ce dernier précise que la start-up a aujourd’hui arrêté le recrutement de spécialistes. « Nous travaillons maintenant à structurer cette communauté, avec la nomination d’ambassadeurs par exemple », ajoute-t-il.

Déjà une vingtaine de Bug Bounty

Ce choix de Bug Bounty privatifs débouche sur une logique assez différente de celle qui prévaut sur les grandes plates-formes spécialisées américaines, comme HackerOne ou BugCrowd. « Toutes ces plates-formes sont pensées pour gérer une foule d’informations et en extraire un rapport. Là où Yogosha s’attache avant tout à gérer les interactions avec les hackers », assure le fondateur de la start-up, qui propose deux types de Bug Bounty (une option VIP permettant de réserver une chasse aux bugs à une sous-partie de la communauté).

yogosha1Appuyé par l’accélérateur Axeleo et intégré au programme de soutien aux start-ups de HPE, Yogosha a organisé pour l’heure une vingtaine de chasses aux failles, pour des acteurs de l’économie numérique ou de grandes entreprises françaises. Contrairement à nombre d’entreprises américaines qui font de l’organisation de ces Bug Bounty une affaire publique, tous les clients de Yogosha se retranchent derrière un prudent anonymat.

En complément de l’audit de sécurité

« L’organisation d’un Bug Bounty coûte entre 5 000 et 10 000 euros pour une première chasse (la fourchette est fixée par l’entreprise cliente, NDLR). Et, jusqu’à présent, tous les clients de la plate-forme ont renouvelé l’expérience. D’où notre idée de les faire entrer dans une logique d’abonnement », explique le fondateur pour qui le Bug Bounty pourrait bien peser, à terme, le même poids économique que l’audit de sécurité (pentest). « J’ai en tête le cas de clients qui sortaient d’un audit et qui ont pourtant vu arriver 5 failles critiques le jour de l’ouverture de leur chasse aux bugs », s’amuse l’entrepreneur. Les hackers sont, eux, rémunérés sur la base de l’importance de leur découverte ; plus la faille est critique, plus elle rapporte.

Pas encore passé par une levée de fonds – même si Fabrice Epelboin reconnaît que c’est un passage obligé -, Yogosha s’attache pour l’heure à finaliser son architecture technique. « Celle que nous avons choisie traduit le repli des pays sur la notion de souveraineté, après la publication d’éléments montrant que l’espionnage industriel est une pratique généralisée. C’est ce qui nous a éloignés d’une architecture Cloud centralisée, pour privilégier une architecture massivement distribuée. » Encore en R&D à ce jour, cette architecture s’appuie sur les conteneurs Docker, facilitant ainsi le déplacement des répertoires de bugs et des environnements de test, « afin de se placer dans la juridiction souhaitée par le client », ajoute Fabrice Eperlboin. Yogosha espère finaliser cette architecture dans le courant de l’année.

yogosha2L’autre chantier tient à l’interface de la plate-forme, vue comme un élément central par ses concepteurs. Un designer est d’ailleurs associé au capital de la start-up. « Nous sommes encore loin des schémas que nous voudrions mettre en place d’ici à six mois », dit Fabrice Epelboin, qui assure que la plate-forme sera pensée à terme pour améliorer la collaboration entre les hackers et les équipes de développement.

A lire aussi :

Une marketplace du Dark Web lance un bug bounty

Le Bug Bounty de l’US Army trouve une faiblesse du réseau interne

Sécurité : l’Europe inclut un bug bounty à son audit logiciel