Récent lauréat du grand prix de l’innovation de la ville de Paris, Yogosha, soit « défense » en japonais, tente de construire une approche française, voire européenne, du Bug Bounty, ces concours de chasse aux failles de sécurité qui ont séduit de nombreuses entreprises, en particulier américaines. « L’idée de départ remonte à une rencontre en 2014 avec Yassir Kazar et part du constat que les plates-formes américaines auront à affronter un écart culturel quand elles voudront s’étendre en Europe », explique Fabrice Epelboin, l’un des deux co-fondateurs. D’où le concept retenu d’entrée par la start-up, celui du Bug Bounty privé. « Nous connaissons tous les hackers présents sur notre plateforme, leurs antécédents, leurs coordonnées personnelles », assure l’entrepreneur. Une logique différente à la fois de celle d’une plate-forme comme YesWeHack (sur une logique de chasses aux bugs publiques) ou des offres de Wavestone (le cabinet mobilisant ses seuls experts).
Officiellement créé fin 2015, Yogosha a démarré avec une cinquantaine de chercheurs en sécurité, un total qui a grossi à environ 150 experts aujourd’hui, selon Fabrice Epelboin. Ce dernier précise que la start-up a aujourd’hui arrêté le recrutement de spécialistes. « Nous travaillons maintenant à structurer cette communauté, avec la nomination d’ambassadeurs par exemple », ajoute-t-il.
Ce choix de Bug Bounty privatifs débouche sur une logique assez différente de celle qui prévaut sur les grandes plates-formes spécialisées américaines, comme HackerOne ou BugCrowd. « Toutes ces plates-formes sont pensées pour gérer une foule d’informations et en extraire un rapport. Là où Yogosha s’attache avant tout à gérer les interactions avec les hackers », assure le fondateur de la start-up, qui propose deux types de Bug Bounty (une option VIP permettant de réserver une chasse aux bugs à une sous-partie de la communauté).
« L’organisation d’un Bug Bounty coûte entre 5 000 et 10 000 euros pour une première chasse (la fourchette est fixée par l’entreprise cliente, NDLR). Et, jusqu’à présent, tous les clients de la plate-forme ont renouvelé l’expérience. D’où notre idée de les faire entrer dans une logique d’abonnement », explique le fondateur pour qui le Bug Bounty pourrait bien peser, à terme, le même poids économique que l’audit de sécurité (pentest). « J’ai en tête le cas de clients qui sortaient d’un audit et qui ont pourtant vu arriver 5 failles critiques le jour de l’ouverture de leur chasse aux bugs », s’amuse l’entrepreneur. Les hackers sont, eux, rémunérés sur la base de l’importance de leur découverte ; plus la faille est critique, plus elle rapporte.
Pas encore passé par une levée de fonds – même si Fabrice Epelboin reconnaît que c’est un passage obligé -, Yogosha s’attache pour l’heure à finaliser son architecture technique. « Celle que nous avons choisie traduit le repli des pays sur la notion de souveraineté, après la publication d’éléments montrant que l’espionnage industriel est une pratique généralisée. C’est ce qui nous a éloignés d’une architecture Cloud centralisée, pour privilégier une architecture massivement distribuée. » Encore en R&D à ce jour, cette architecture s’appuie sur les conteneurs Docker, facilitant ainsi le déplacement des répertoires de bugs et des environnements de test, « afin de se placer dans la juridiction souhaitée par le client », ajoute Fabrice Eperlboin. Yogosha espère finaliser cette architecture dans le courant de l’année.
A lire aussi :
Une marketplace du Dark Web lance un bug bounty
Le Bug Bounty de l’US Army trouve une faiblesse du réseau interne
Sécurité : l’Europe inclut un bug bounty à son audit logiciel
L'Autorité de la concurrence et des marchés (CMA) a lancé la phase de recherche de…
Broadcom remplace pas moins de 168 logiciels VMware par deux grandes licences de location correspondant…
La banque d’investissement de BNP Paribas utilise l'IA pour proposer des stratégies d’investissement individualisées, en…
OVHCloud partage ses efforts environnementaux au sommet de l’Open Compute Project qui se tient à…
Avec Phi-3-mini, Microsoft lance un SLM conçu pour attirer une clientèle disposant de ressources financières…
La Commission européenne serait sur le point d'approuver la proposition d'Apple visant à fournir à…