Le bug bounty consiste, pour une entreprise, à proposer une rémunération aux experts en sécurité qui découvrent des vulnérabilités dans leurs logiciels ou infrastructures connectés à Internet. Cette approche débarque en France avec le chasseur de bugs Yogosha, qui « entend devenir le partenaire clé des grandes entreprises de la zone EMEA ».
Yogosha est une plateforme qui sert d’intermédiaire de confiance entre des entreprises qui cherchent à identifier les failles de sécurité présentes dans leurs technologies et une communauté de chercheurs en sécurité informatique, qu’elles rémunèrent à la faille découverte. Yogosha accompagne ses clients dans la conception de leurs bug bounties privés, réservés à un pool d’experts sélectionnés.
Co-fondée fin 2015 par Yassir Kazar et Fabrice Epelboin, la startup repose sur une équipe de cinq collaborateurs basés à Paris et un réseau d’ambassadeurs, qui structurent et développent une communauté d’experts en sécurité informatique implantée aux quatre coins de l’Europe ainsi qu’en Afrique et au Moyen Orient. Elle compte déjà une douzaine de clients : grands groupes et startups de croissance. Soutenue par le programme startup de Hewlett Packard Enterprise (HPE), elle vient également de rejoindre Axeleo. Cet « accélérateur » accompagne les startups dans leur structuration organisationnelle, financière, managériale et commerciale au sein d’un écosystème regroupant les acteurs majeurs du numérique et de la transformation digitale : investisseurs, corporates, éditeurs, intégrateurs et conseils.
Pour Eric Burdier, CEO d’Axeleo, pas de doute, « Yogosha a tout pour devenir un acteur incontournable du secteur : une équipe de talents reconnue par la communauté des whitehats, une approche innovante qui va faire passer le marché du Pentest [test d’intrusion, NDLR] d’une logique de moyens à une logique de résultats dans un contexte où les besoins en matière de cybersécurité connaissent une croissance exponentielle ».
Pratique assez courante aux Etats-Unis, le Bug Bounty a été initié par Netscape dès 1995. Depuis Yahoo, Microsoft, Google, Facebook, Paypal, IBM ou encore eBay le pratiquent. Les géants des technologies sont aujourd’hui rejoints par des entreprises hors technologie à l’instar d’un United Airlines ou d’un Général Motors.