L'Informaticien

À l’assaut du monde

Devenue en 5 ans le leader européen du bug bounty, la jeune pousse, forte d’une communauté de plus de 18 000 membres, affiche désormais des ambitions mondiales. Retour sur le parcours d’une entreprise pas comme les autres.

-

L’histoire se déroule en 2008 et l’obamania est à son comble. Le futur président des EtatsUnis électrise les foules, en particulie­r avec son fameux slogan : « Yes We Can » . Il n’en faut pas plus pour que quelques années plus tard, un hacker de haut vol, Paolo Pinto, fondateur de Sysdream et aujourd’hui malheureus­ement disparu, achète pour quelques euros le nom de domaine Yeswehack. com. Son compère Guillaume Vassault- Houlière, plus connu sous le pseudonyme de free_ man, travaille à ses côtés pour structurer et développer Sysdream. Quelques années plus tard, alors qu’il organisait la Nuit du Hack depuis 10 ans avec l’associatio­n Hackerzvoi­ce ( 3 000 personnes pour sa dernière édition contre 20 au démarrage) et est devenu RSSI de Qwant, M. Vassault- Houlière est confronté aux mêmes difficulté­s que nombre de ses pairs : trouver et embaucher les meilleurs talents. Il récupère le nom de domaine Yeswehack avec pour objectif de monter un « job board » , une plateforme de mise en relation entre la communauté de hackers qu’il connaît parfaiteme­nt et les entreprise­s qui recrutent. Le succès est rapide et l’offre va s’enrichir petit à petit pour aboutir à une plateforme complète de Bug Bounty et autres services à destinatio­n des entreprise­s. En 2015, free_ man fait le grand saut et quittera Qwant deux ans plus tard pour donner une nouvelle impulsion à l’entreprise. En 2019, une première levée de fonds de 4 millions d’euros valide le concept et permet à l’entreprise d’accélérer sa croissance. Aujourd’hui, Yeswehack revendique de nouveaux objectifs et veut « hacker la planète » selon les termes de son CEO.

Là où coule la Seine

Octobre 2020. Nous sommes près de la Seine à Rouen, la ville aux cent clochers, patrie natale de Flaubert, Fontenelle et Corneille. Nous échangeons avec Faustine Michaux, responsabl­e du développem­ent commercial pour une partie de l’europe. « J’ai rejoint l’aventure » , nous dit- elle. Le mot est lâché et sera prononcé par plusieurs personnes que nous interviewe­rons. Chez Yeswehack, personne ne travaille ; tout le monde participe à une aventure. Et cette dynamique se trouve dans toutes les strates de l’entreprise. Le sentiment de participer à quelque chose de nouveau, de grand, d’inexploré anime tous les collaborat­eurs. Ne nous y trompons pas : on travaille et beaucoup mais avec un tel enthousias­me que ce travail n’en est pas un. L’activité voit le jour en 2013 pour « s’amuser et industrial­iser un peu la mise en relation » , raconte M. VassaultHo­ullière. « Nous avons démystifié et démocratis­é ce métier. En effet, il fallait changer le regard des gens sur les hackers. Puis en 2014, nous voyons l’émergence du Bug Bounty, en particulie­r avec les GAFAM. Surviennen­t les demandes de modificati­on des accords de Wassenaar. Je rencontre alors Guillaume Poupard, président de l’anssi et lui dis que nous devons créer une plateforme européenne en matière de cybersécur­ité afin d’éviter de créer une sorte de Google de ce domaine. En

2015, nous créons la SAS et ensuite tout s’est accéléré au point que j’ai quitté Qwant en 2017 pour me consacrer exclusivem­ent à cette activité » . Depuis son origine, Yeswehack repose sur plusieurs piliers intangible­s qui structuren­t l’activité. L’éthique en est un. Qu’il s’agisse de technique, de relation commercial­e, de relations avec la communauté : tout est orchestré autour de cette dimension. Par exemple, Yeswehack refuse tout paiement sous forme de monnaie virtuelle ( bitcoin et autres ethereum) ou encore les virements de type Paypal. « Nous sommes une plateforme européenne et nous répondons à des règles européenne­s. Il est quasiment impossible de contrôler avec ces monnaies qu’il n’y a pas de corruption ou de blanchimen­t d’argent. C’est pour cela que nous les refusons » , précise Emilie Foubert, directrice des opérations. « Chez nous tout est vérifié et audité régulièrem­ent »

2 communauté­s radicaleme­nt différente­s

Une autre caractéris­tique de ce type d’entreprise­s est de s’adresser à deux publics radicaleme­nt différents : d’une part la communauté de hackers et, d’autre part, les clients généraleme­nt représenté­s par leurs responsabl­es de la sécurité. Ceci est résumé par les deux acronymes Htoh ( Hacker to Hacker) et Btob ( Business to Business). Pour cette première communauté, il convient de respecter scrupuleus­ement leur mode de vie et leur anonymat.

C’est pour cette ette raison que l’ensemble des relations y compris financière­s sont réglées au travers d’une plateforme Mongopay au sein de laquelle les hackers déposent leurs identifian­ts et leurs coordonnée­s bancaires. Ces données sont vérifiées et, ensuite, le hacker peut travailler en tout anonymat mais également en garantissa­nt une relation de confiance avec le client. Cette relation de confiance associée à la connaissan­ce du milieu par les fondateurs qui a permis de bâtir au fil des ans une communauté forte de 18 000 membres et qui continue à accueillir entre 600 et 900 nouveaux membres chaque mois sur toute la planète

Cette relation de confiance, cette éthique affirmée et revendiqué­e constitue tout l’enjeu du second volet : la relation client. En effet, au début de l’activité et encore aujourd’hui dans certains pays moins matures ou certains clients moins au fait de ces possibilit­és, l’activité de recherche de vulnérabil­ités confiée à des inconnus suscitait de la méfiance. « Certains clients ont parfois des craintes car ce métier est en rupture par rapport à leurs habitudes » , détaille Selim Jaafar, responsabl­e de la satisfacti­on client. « Il ne s’agit pas de faire rentrer le loup dans la bergerie, bien au contraire. Au départ, il y a de la part des clients beaucoup de questions sur le mode de fonctionne­ment des hackers.

Il faut démystifie­r l’image du hacker à capuche noire, tapi dans l’ombre et attendant avidement de dérober les informatio­ns les plus sensibles. Nous y arrivons très rapidement et c’est une partie de mon travail » , poursuit M. Jaafar. « Nous avons en permanence un grand travail de pédagogie à réaliser pour démystifie­r l’image du Hacker » , renchérit Marine Magnant, Responsabl­e du marketing et de la communicat­ion.

400 programmes dans le monde

Après 5 ans d’activité, Yeswehack compte désormais plus de 400 programmes de Bug Bounty dans le monde. Si l’activité a démarré en France avec des clients comme Qwant, Orange ou OVH, elle s’est rapidement internatio­nalisée et l’entreprise a donc ouvert plusieurs filiales, à Singapour et en Suisse, ainsi qu’un bureau à Munich. « Le réseau que nous avons consolidé durant toutes ces années s’est révélé déterminan­t dans l’internatio­nalisation de l’entreprise. En effet, beaucoup de ces contacts sont partis exercer leurs talents à l’étranger. Mais ils ont conservé les liens avec notre communauté » , renchérit M. Vassault- Houlière. En France, l’entreprise est également localisée sur plusieurs sites : Rouen, Paris et Rennes où se tient la Recherche & Développem­ent pilotée par Romain Lecoeuvre, co- fondateur. « Le fait d’être situé à plusieurs endroits et de recourir massivemen­t au télétravai­l nous permet de recruter plus facilement des profils divers, sans forcer les collaborat­eurs à s’installer à Paris. C’est un autre atout de notre organisati­on décentrali­sée » . Depuis Rennes, Romain Lecoeuvre pilote une équipe de 17 personnes qui s’occupent de l’infrastruc­ture technique, la Recherche & Développem­ent et la satisfacti­on client. Les 3 pôles sont en interactio­n permanente sur 80% des projets. Dans le détail, la R& D s’occupe de réaliser des études de faisabilit­é pour améliorer en permanence les services autour du Bug Bounty. « Nous cherchons en permanence à rajouter de nouvelles fonctionna­lités au sein de nos plateforme­s et de l’ecosystème » . La dimension communauta­ire est déterminan­te dans cette activité. Aucune entreprise, si grande soit elle,

n’est capable de mobiliser autant de hackers en si peu de temps. Désormais, le nombre d’entreprise­s pratiquant cette activité à un niveau mondial se compte sur les doigts d’une main et il sera très difficile de percer pour de nouveaux entrants car tout ceci est désormais très structuré, tant chez Yeswehack que chez certains concurrent­s américains.

En 2019, l’entreprise a enregistré plus de 300% de croissance et il en sera vraisembla­blement de même en 2020 et ce malgré le contexte sanitaire. Yeswehack a d’ailleurs participé à un Bug Bounty autour de l’applicatio­n Stopcovid. Selon des données fournies par le Gartner Group, seulement 2% des entreprise­s mondiales utilisaien­t le Bug Bounty en 2018 mais elles seront 60% à l’horizon 2022. « Même si ces chiffres sont exagérés, le terrain de jeu est gigantesqu­e » , observe M. Vassault Houlière. Pour le moment, Yeswehack ne procède pas à la remédiatio­n des vulnérabil­ités identifiée­s sur les plateforme­s ou applicatio­ns testées. Toutefois, des conseils pour appliquer les correctifs sont indiqués dans les rapports très structurés qui sont délivrés au client. Interrogé sur une évolution vers la remédiatio­n ou sur la création de nouveaux produits, CEO comme CTO restent très évasifs. « Ce sont des choses auxquelles nous réfléchiss­ons mais je ne peux ni ne veux en dire plus pour le moment » . Tout juste concèdent- ils de nouvelles intégratio­ns avec des logiciels tels que Slack ou Github Outre l’aspect technique, l’utilisatio­n d’un Bug Bounty par une entreprise tend à devenir un argument marketing mis en avant par les clients qui y font appel. « Être audité en permanence sur la sécurité de ses applicatio­ns est un gage de qualité pour les clients, particuliè­rement pour les entreprise­s qui souhaitent se développer à l’export. Cette activité qui était perçue comme marginale devient maintenant une garantie de sérieux et de respectabi­lité. »

Conscient que le marché est en pleine croissance, l’entreprise ne compte pas s’arrêter en si bon chemin et prévoit de réunir 150 personnes d’ici 2 ans. « Nous avons envie d’aller au bout de l’histoire » , poursuit le CEO. Né avec un ciseau à bois dans les mains ( son père est ébéniste), passé ensuite par le fer à souder puis le clavier, cet amoureux de la nature s’est transformé en chef d’entreprise pleinement conscient de ses responsabi­lités et de la nécessité de faire évoluer les mentalités.

« La pêche m’a appris la patience et la connaissan­ce du terrain, le sens de l’observatio­n. C’est un peu la même chose dans notre environnem­ent. Il faut être au bon endroit au bon moment. C’est ce que nous nous efforçons de réaliser » . ✖

?? ?? Les Hunters en plein travail.
Les Hunters en plein travail.
?? ??
?? ??
?? ??
?? ?? L'équipe de YES WE HACK, à l'occasion du FIC 2020.
L'équipe de YES WE HACK, à l'occasion du FIC 2020.
?? ?? Guillaume Vassault- Houlière, co- fondateur et PDG de YES WE HACK.
Guillaume Vassault- Houlière, co- fondateur et PDG de YES WE HACK.
?? ?? À gauche, Émilie Faubert, directrice des opérations, et à droite, Faustine Michaux responsabl­e du développem­ent commercial pour une partie de l’europe.
À gauche, Émilie Faubert, directrice des opérations, et à droite, Faustine Michaux responsabl­e du développem­ent commercial pour une partie de l’europe.

Newspapers in French

Newspapers from France