Même si les clichés ont encore de beaux jours devant eux, le hacker n’est pas forcément un pirate de l’internet ou autre délinquant du web. En atteste la plateforme Yogosha qui en a fait un véritable docteur ès cybersécurité auprès des entreprises. Le site est d’ailleurs l’un des premiers à avoir importé le concept de Bug Bounty en France.
Ses cofondateurs ont choisi le japonais pour parler de hacking en douceur. Impulsée par Fabrice Epelboin et Yassir Kazar en 2015, la plateforme Yogosha signifie en effet « défense » au Pays du Soleil Levant. Derrière ce nom qui revêt un caractère plus cajoleur qu’anxiogène, se cache le Bug Bounty. Ce concept que la plateforme a importé en France, a vu le jour aux États-Unis dans les années 90. Il consiste à connecter des hackers à des entreprises souhaitant mettre à jour leurs potentielles vulnérabilités informatiques. Malwares, ransomwares, bug et autres virus, … tout est passé au crible..
Quand le hack se fait dans la légalité
Celui qui préfère pratiquer le whitehacking ou ethicalhacking (autrement dit le hack bienveillant) au côté obscur de la force numérique, procède en toute légalité. Il est rétribué selon les problèmes de sécurité qu’il réussit à détecter et leur gravité. Ainsi, plus le client est exposé et la menace est grande, plus le hacker est payé. Ce dernier n’est pas rémunéré au temps passé, mais part véritablement à la chasse aux failles et donc à la prime.
Pour constituer un vivier de hackers bienveillants et ultra performants, Yogosha procède à un casting poussé. Les white hats sont recrutés sur leur capacité à débusquer des failles, puis sont évalués par la plateforme au fil de leur collaboration. Les tests ne sont pas que techniques. Ils incluent aussi une bonne dose de pédagogie, car les hackers retenus doivent être capables de rapporter ce qu’ils ont observé et déjoué aux clients. L’idée est d’abord de détecter et ensuite d’assurer une forme de formation continue aux équipes techniques et tout particulièrement aux développeurs.
Un business exponentiel et stratégique
ETI, grands comptes, scale up, sociétés du CAC40, etc. Les clients sont toujours plus nombreux à veiller sur leur sécurité digitale à l’heure du RGPD.
Entrée en vigueur en mai 2018, cette loi ne plaisante pas : en cas de négligence, les entreprises encourent une amende pouvant atteindre jusqu’à 4% de leur chiffre d’affaires ou 20 millions d’euros. Elle a également établi la notion de coresponsabilité. De quoi étendre là encore le spectre des sanctions.
Il s’agit donc bien, au-delà de simples problèmes informatiques, de véritables enjeux d’ordre économique et stratégique voire d’avantages concurrentiels.
Le hack bienveillant, une démarche saluée par les pros
La démarche de Yogosha ne cesse d’ailleurs de séduire les professionnels. Incubée à Station F, la plateforme cumule les distinctions. Parmi elles, le Grand Prix de l’innovation de la ville de Paris dans la catégorie Service aux entreprises et Startup Promo de Hewlett-Packard en 2016, la bourse Frenchtech ou encore le soutien Scientipole Initiative. Le site vient par ailleurs de remporter la 6esaison du concours Start Up You.
Pour soutenir sa croissance, Yogosha a levé 1,2 million d’euros en septembre 2017. Mais il n’est pas le seul acteur sur ce créneau de la cybersécurité en France. Il faut aussi compter sur YesWeHack qui vient à son tour d’obtenir 4 millions d’euros en février 2019 auprès de plusieurs investisseurs convaincus par le Bug Bounty.
