À l’assaut du monde
Devenue en 5 ans le leader européen du bug bounty, la jeune pousse, forte d’une communauté de plus de 18 000 membres, affiche désormais des ambitions mondiales. Retour sur le parcours d’une entreprise pas comme les autres.
L’histoire se déroule en 2008 et l’obamania est à son comble. Le futur président des EtatsUnis électrise les foules, en particulier avec son fameux slogan : « Yes We Can » . Il n’en faut pas plus pour que quelques années plus tard, un hacker de haut vol, Paolo Pinto, fondateur de Sysdream et aujourd’hui malheureusement disparu, achète pour quelques euros le nom de domaine Yeswehack. com. Son compère Guillaume Vassault- Houlière, plus connu sous le pseudonyme de free_ man, travaille à ses côtés pour structurer et développer Sysdream. Quelques années plus tard, alors qu’il organisait la Nuit du Hack depuis 10 ans avec l’association Hackerzvoice ( 3 000 personnes pour sa dernière édition contre 20 au démarrage) et est devenu RSSI de Qwant, M. Vassault- Houlière est confronté aux mêmes difficultés que nombre de ses pairs : trouver et embaucher les meilleurs talents. Il récupère le nom de domaine Yeswehack avec pour objectif de monter un « job board » , une plateforme de mise en relation entre la communauté de hackers qu’il connaît parfaitement et les entreprises qui recrutent. Le succès est rapide et l’offre va s’enrichir petit à petit pour aboutir à une plateforme complète de Bug Bounty et autres services à destination des entreprises. En 2015, free_ man fait le grand saut et quittera Qwant deux ans plus tard pour donner une nouvelle impulsion à l’entreprise. En 2019, une première levée de fonds de 4 millions d’euros valide le concept et permet à l’entreprise d’accélérer sa croissance. Aujourd’hui, Yeswehack revendique de nouveaux objectifs et veut « hacker la planète » selon les termes de son CEO.
Là où coule la Seine
Octobre 2020. Nous sommes près de la Seine à Rouen, la ville aux cent clochers, patrie natale de Flaubert, Fontenelle et Corneille. Nous échangeons avec Faustine Michaux, responsable du développement commercial pour une partie de l’europe. « J’ai rejoint l’aventure » , nous dit- elle. Le mot est lâché et sera prononcé par plusieurs personnes que nous interviewerons. Chez Yeswehack, personne ne travaille ; tout le monde participe à une aventure. Et cette dynamique se trouve dans toutes les strates de l’entreprise. Le sentiment de participer à quelque chose de nouveau, de grand, d’inexploré anime tous les collaborateurs. Ne nous y trompons pas : on travaille et beaucoup mais avec un tel enthousiasme que ce travail n’en est pas un. L’activité voit le jour en 2013 pour « s’amuser et industrialiser un peu la mise en relation » , raconte M. VassaultHoullière. « Nous avons démystifié et démocratisé ce métier. En effet, il fallait changer le regard des gens sur les hackers. Puis en 2014, nous voyons l’émergence du Bug Bounty, en particulier avec les GAFAM. Surviennent les demandes de modification des accords de Wassenaar. Je rencontre alors Guillaume Poupard, président de l’anssi et lui dis que nous devons créer une plateforme européenne en matière de cybersécurité afin d’éviter de créer une sorte de Google de ce domaine. En
2015, nous créons la SAS et ensuite tout s’est accéléré au point que j’ai quitté Qwant en 2017 pour me consacrer exclusivement à cette activité » . Depuis son origine, Yeswehack repose sur plusieurs piliers intangibles qui structurent l’activité. L’éthique en est un. Qu’il s’agisse de technique, de relation commerciale, de relations avec la communauté : tout est orchestré autour de cette dimension. Par exemple, Yeswehack refuse tout paiement sous forme de monnaie virtuelle ( bitcoin et autres ethereum) ou encore les virements de type Paypal. « Nous sommes une plateforme européenne et nous répondons à des règles européennes. Il est quasiment impossible de contrôler avec ces monnaies qu’il n’y a pas de corruption ou de blanchiment d’argent. C’est pour cela que nous les refusons » , précise Emilie Foubert, directrice des opérations. « Chez nous tout est vérifié et audité régulièrement »
2 communautés radicalement différentes
Une autre caractéristique de ce type d’entreprises est de s’adresser à deux publics radicalement différents : d’une part la communauté de hackers et, d’autre part, les clients généralement représentés par leurs responsables de la sécurité. Ceci est résumé par les deux acronymes Htoh ( Hacker to Hacker) et Btob ( Business to Business). Pour cette première communauté, il convient de respecter scrupuleusement leur mode de vie et leur anonymat.
C’est pour cette ette raison que l’ensemble des relations y compris financières sont réglées au travers d’une plateforme Mongopay au sein de laquelle les hackers déposent leurs identifiants et leurs coordonnées bancaires. Ces données sont vérifiées et, ensuite, le hacker peut travailler en tout anonymat mais également en garantissant une relation de confiance avec le client. Cette relation de confiance associée à la connaissance du milieu par les fondateurs qui a permis de bâtir au fil des ans une communauté forte de 18 000 membres et qui continue à accueillir entre 600 et 900 nouveaux membres chaque mois sur toute la planète
Cette relation de confiance, cette éthique affirmée et revendiquée constitue tout l’enjeu du second volet : la relation client. En effet, au début de l’activité et encore aujourd’hui dans certains pays moins matures ou certains clients moins au fait de ces possibilités, l’activité de recherche de vulnérabilités confiée à des inconnus suscitait de la méfiance. « Certains clients ont parfois des craintes car ce métier est en rupture par rapport à leurs habitudes » , détaille Selim Jaafar, responsable de la satisfaction client. « Il ne s’agit pas de faire rentrer le loup dans la bergerie, bien au contraire. Au départ, il y a de la part des clients beaucoup de questions sur le mode de fonctionnement des hackers.
Il faut démystifier l’image du hacker à capuche noire, tapi dans l’ombre et attendant avidement de dérober les informations les plus sensibles. Nous y arrivons très rapidement et c’est une partie de mon travail » , poursuit M. Jaafar. « Nous avons en permanence un grand travail de pédagogie à réaliser pour démystifier l’image du Hacker » , renchérit Marine Magnant, Responsable du marketing et de la communication.
400 programmes dans le monde
Après 5 ans d’activité, Yeswehack compte désormais plus de 400 programmes de Bug Bounty dans le monde. Si l’activité a démarré en France avec des clients comme Qwant, Orange ou OVH, elle s’est rapidement internationalisée et l’entreprise a donc ouvert plusieurs filiales, à Singapour et en Suisse, ainsi qu’un bureau à Munich. « Le réseau que nous avons consolidé durant toutes ces années s’est révélé déterminant dans l’internationalisation de l’entreprise. En effet, beaucoup de ces contacts sont partis exercer leurs talents à l’étranger. Mais ils ont conservé les liens avec notre communauté » , renchérit M. Vassault- Houlière. En France, l’entreprise est également localisée sur plusieurs sites : Rouen, Paris et Rennes où se tient la Recherche & Développement pilotée par Romain Lecoeuvre, co- fondateur. « Le fait d’être situé à plusieurs endroits et de recourir massivement au télétravail nous permet de recruter plus facilement des profils divers, sans forcer les collaborateurs à s’installer à Paris. C’est un autre atout de notre organisation décentralisée » . Depuis Rennes, Romain Lecoeuvre pilote une équipe de 17 personnes qui s’occupent de l’infrastructure technique, la Recherche & Développement et la satisfaction client. Les 3 pôles sont en interaction permanente sur 80% des projets. Dans le détail, la R& D s’occupe de réaliser des études de faisabilité pour améliorer en permanence les services autour du Bug Bounty. « Nous cherchons en permanence à rajouter de nouvelles fonctionnalités au sein de nos plateformes et de l’ecosystème » . La dimension communautaire est déterminante dans cette activité. Aucune entreprise, si grande soit elle,
n’est capable de mobiliser autant de hackers en si peu de temps. Désormais, le nombre d’entreprises pratiquant cette activité à un niveau mondial se compte sur les doigts d’une main et il sera très difficile de percer pour de nouveaux entrants car tout ceci est désormais très structuré, tant chez Yeswehack que chez certains concurrents américains.
En 2019, l’entreprise a enregistré plus de 300% de croissance et il en sera vraisemblablement de même en 2020 et ce malgré le contexte sanitaire. Yeswehack a d’ailleurs participé à un Bug Bounty autour de l’application Stopcovid. Selon des données fournies par le Gartner Group, seulement 2% des entreprises mondiales utilisaient le Bug Bounty en 2018 mais elles seront 60% à l’horizon 2022. « Même si ces chiffres sont exagérés, le terrain de jeu est gigantesque » , observe M. Vassault Houlière. Pour le moment, Yeswehack ne procède pas à la remédiation des vulnérabilités identifiées sur les plateformes ou applications testées. Toutefois, des conseils pour appliquer les correctifs sont indiqués dans les rapports très structurés qui sont délivrés au client. Interrogé sur une évolution vers la remédiation ou sur la création de nouveaux produits, CEO comme CTO restent très évasifs. « Ce sont des choses auxquelles nous réfléchissons mais je ne peux ni ne veux en dire plus pour le moment » . Tout juste concèdent- ils de nouvelles intégrations avec des logiciels tels que Slack ou Github Outre l’aspect technique, l’utilisation d’un Bug Bounty par une entreprise tend à devenir un argument marketing mis en avant par les clients qui y font appel. « Être audité en permanence sur la sécurité de ses applications est un gage de qualité pour les clients, particulièrement pour les entreprises qui souhaitent se développer à l’export. Cette activité qui était perçue comme marginale devient maintenant une garantie de sérieux et de respectabilité. »
Conscient que le marché est en pleine croissance, l’entreprise ne compte pas s’arrêter en si bon chemin et prévoit de réunir 150 personnes d’ici 2 ans. « Nous avons envie d’aller au bout de l’histoire » , poursuit le CEO. Né avec un ciseau à bois dans les mains ( son père est ébéniste), passé ensuite par le fer à souder puis le clavier, cet amoureux de la nature s’est transformé en chef d’entreprise pleinement conscient de ses responsabilités et de la nécessité de faire évoluer les mentalités.
« La pêche m’a appris la patience et la connaissance du terrain, le sens de l’observation. C’est un peu la même chose dans notre environnement. Il faut être au bon endroit au bon moment. C’est ce que nous nous efforçons de réaliser » . ✖