Sécurité participative : 8 chiffres sur l'essor de YesWeHack

Communauté, financement… l’activité de YesWeHack, la plateforme européenne de référence du bug bounty, a fortement progressé en 2021. Infographie.

La multiplication des vulnérabilités découvertes en 2021 (SolarWind, Log4j…) a poussé davantage d’entreprises à intensifier leurs investissements dans la sécurité participative (crowdsourced security).

YesWeHack, plateforme européenne de référence du bug bounty, a largement bénéficié de ce mouvement.

L’essor de l’entreprise basée Paris peut être illutré par les données suivantes :

Communauté, financement, expansion internationale…

1. YesWeHack revendique une communauté de 35 000 spécialistes en cybersécurité (ou hackers éthiques) répartis dans le monde. Une communauté en croissance de 75% en 2021 par rapport à 2020.

2. Le nombre de programmes proposés sur la plateforme a progressé de 100% en 2021 par rapport à 2020. Le secteur des technologies (44% des programmes) devance celui des services financiers et des assurances (18%) au rang des secteurs les plus actifs dans ce domaine.

3. La proportion de vulnérabilités identifiées par la communauté a doublé en un an. Le niveau de dangerosité a été qualifié de « critique » ou « élevé » pour 35% des failles concernées (+5 points en un an).

4. Globalement, 78% des vulnérabilités identifiées ont été récompensées moins de 24 heures après avoir été acceptées. 60% des failles ont été corrigées dans les 28 jours qui ont suivi leur validation.

Lire aussi : Bug Bounty : Microsoft 365 majore ses primes

5. Les failles les plus souvent découvertes restent associées à des défauts de conception et de mise en oeuvre, et de contrôle des accès, pour la deuxième année consécutive.

6. Le gain le plus important reçu pour une faille identifiée a été multiplié par 4 à 40 000 euros en 2021. Les primes totales versées, quant à elles, ont bondi de 140% par rapport à 2020.

7. YesWeHack a levé 16 millions d’euros supplémentaires durant l’été 2021. Par ailleurs, l’entreprise a établi une présence dans la région Moyen Orient – Turquie – Afrique, et déclare avoir « aidé des entreprises dans plus de 40 pays à améliorer leur sécurité ».

8. En 2021, l’agrégateur en ligne FireBounty.com, créé par YesWeHack, a recensé un total de 24 000 politiques de divulgation de vulnérabilités.

« La sécurité crowdsourcée s’affirme non seulement comme le moyen le plus efficace de découvrir des vulnérabilités, dans le code, mais aussi pour rassurer les utilisateurs sur la sécurité d’un produit ou d’un service et sur la confidentialité de leurs données », explique Guillaume Vassault-Houlière, CEO et cofondateur de YesWeHack.

Pour la plateforme « Made in Europe », la dynamique devrait se poursuivre en 2022. 1300 chercheurs en cybersécurité, en moyenne, rejoignant la plateforme chaque mois.

Lire aussi : Bug bounty : Salesforce a versé 2,8 millions $ en 2021