Depuis son lancement en 2015, la plateforme de bug bounty, YesWeHack a connu une croissance fulgurante. Aujourd'hui, la start-up annonce une levée de fonds de 16 millions d'euros, avec pour principaux investisseurs La Banque des Territoires et Eiffel Investment Group, tandis que Normandie Participations et CNP Assurances, renouvellent leur participation. Basée en France, elle emploie un peu plus de 50 personnes à travers le monde, avec des bureaux à Rouen, Rennes, Paris ainsi que deux filiales, à Lausanne (Suisse) et à Singapour. « Nous avons des clients dans plus de 40 pays dans le monde avec une communauté de 25 000 hackers éparpillés sur le globe » explique Guillaume Vassault-Houlière, président et co-fondateur de la start-up, aux côtés de Manuel Dorne (alias Korben). Pour ces deux passionnés, l’idée était de monter une plateforme, la première d’Europe, qui puisse fédérer une communauté de hackers éthiques chassant des bugs informatiques ou des vulnérabilités présents dans les systèmes d’information d’entreprises.

Un business model confirmé

« Le premier qui trouve un bug de sécurité, une vulnérabilité sur les périmètres définis avec le client, remporte une prime définie en fonction de plusieurs critères, notamment la criticité, l’impact qu’elle aurait pu avoir », détaille le dirigeant. Les primes oscillent généralement entre 50 euros et 100 000 euros avec une moyenne de 400 euros. « Notre produit phare c’est la remontée coordonnée de vulnérabilités, on va pouvoir chercher des failles grâce à une large communauté, agile » précise-t-il. Cette solution présente de nombreux avantages face à la problématique d’emploi que rencontre le milieu de la cybersécurité. « Il y a à peu près quatre millions de postes non pourvus dans le monde » ajoute le président de YesWeHack. Aujourd’hui, grâce à la dispersion de ses experts en cybersécurité, la plateforme est en mesure de proposer des prestations à n’importe quel pays et dans des langues très variées.

L'équipe YesWeHack présentait conjointement avec le Forum international de la cybersécurité un live bug bounty en janvier 2020 avec au programme, des rencontres entre acheteurs et fournisseurs de solutions de cybersécurité. (Crédit : YesWeHack)

Lorsque YesWeHack clôture sa première levée de fonds en série A (4 millions d’euros) en 2019, il a été intégré à la première promotion de Platform58, l’incubateur de start-ups de la Banque Postale (présente à VivaTech). « Nous étions plus matures que les autres, ça nous a permis d’avoir un lieu bien situé avec un accompagnement, des équipes hyper mobilisées mais aussi une facilité dans les mises en relation » explique son fondateur. Cet accompagnement, complet et supervisé par des équipes, a été l’occasion de valider le business de YesWeHack ainsi que sa restructuration. « Nous avons organisé plein d’événements, on a fait venir nos clients. On a une appétence pour transmettre notre savoir,nous avons apporté une expertise en cybersécurité aux autres start-ups et on a fait venir des personnes de notre réseau, qui font de la sensibilisation à la cybersécurité ». Cette démocratisation de la cybersécurité est aussi « un levier marketing pour certaines jeunes entreprises, surtout en cette période où l’on parle de souveraineté et de cyberattaques à répétition » glisse Guillaume Vassault-Houlière.

Des clients issus de tous secteurs

Les secteurs d’activité clients de la plateforme de bug bounty sont tous aussi variés. « Nous avons aussi bien des start-ups, des entreprises issues du Next40 ou du CAC40 ». La plus grande part de marché de la société comprend les assurances et les banques, qui ont une adhérence historique aux risques. « Nous sommes également sur le e-commerce, qui s’est beaucoup développé avec la crise sanitaire et la fermeture des boutiques » assure le co-fondateur. La crise a accéléré la transformation numérique globale dans les entreprises. Face à l’explosion des ventes en ligne, la start-up a dû répondre à un besoin, celui de les sécuriser le plus rapidement possible. « Il s’agit de garantir une continuité dans le service et la vente ». Les acteurs de l'e-santé sont également devenus rapidement clients, « certains produits devaient sortir très vite, être testés et robustes dès leur démarrage, notamment pour la téléconsultation ».

Les hackers de la plateforme ont par ailleurs été sollicités sur l’application TousAntiCovid, présentée par le gouvernement. La défiance préexistante envers les outils proposés par l’Etat a été une problématique supplémentaire au-delà de la fiabilité et de l’aspect « privacy » de l’application. « L’idée est d’ajouter de la confiance en la faisant tester par un plus grand nombre afin d’améliorer son niveau de confiance, et multiplier son usage ». Ainsi, une vingtaine de personnes ont pu tester l’application à travers l’Europe avant son accessibilité au grand public. Aujourd’hui, les 25 000 contributeurs de YesWeHack peuvent continuer à la tester en permanence.

La démocratisation des hackers éthiques

Le recrutement des hackers est établi par plusieurs systèmes. Aujourd’hui, ceux-ci s’enregistrent sur la plateforme, en partageant plusieurs informations notamment leur identité afin de pouvoir toucher les primes. « On est français, on a donc imaginé une solution en accord avec le système financier français pour permettre cette traçabilité d’argent, anti-blanchiment, anti-terrorisme ». Sur la plateforme, un classement mondial des meilleurs experts est disponible pour pour permettre aux futurs clients de choisir le meilleur sur telle technologie ou telle compétence. « A chaque fois que les hackers remportent un bug, ils vont gagner des points et monter dans le classement » détaille Guillaume Vassault-Houlière. YesWeHack propose par ailleurs des systèmes d’entraînement à l’ensemble de la communauté avec la simulation de vulnérabilités sur la plateforme Dojo. Pour promouvoir leur travail, un programme académique a été lancé, YesWeHack Edu, permettant de sensibiliser les étudiants au bug bounty. Lors du premier confinement national, en mars dernier, le programme a été déployé à plus de 3 000 étudiants dans le monde.

Face à cette démocratisation des hackers éthiques, la diabolisation s’efface peu à peu. Désormais vu comme quelqu’un « qui va mettre sa technicité au service du bien commun », YesWeHack a observé une réelle intensification de l’utilisation de ses services, dans sa globalité, partout dans le monde. Le co-fondateur de la start-up est confiant sur la communauté des experts en cybersécurité qui a encore de beaux jours devant soi. « Les États-Unis obligent par exemple les agences fédérales à avoir recours à ce genre de services, et un rapport publié par l’OCDE préconise d’utiliser les communautés de hackers pour mieux se sécuriser ». Cette communauté de qualité, d'« intelligence collective » comme aime le définir Guillaume Vassault-Houlière, a permis d’être reconnu mondialement et notamment par la plateforme de e-commerce Lazada rachetée par le groupe Alibaba en 2016. Le 10 juin, la principale plateforme de commerce en ligne d'Asie du Sud-Est annonçait le lancement d'un programme public de bug bounty avec YesWeHack, afin d’identifier les vulnérabilités de ses systèmes d’information. Elle propose ainsi des primes allant jusqu’à 10 000 dollars pour récompenser les chercheurs de bug.

Les 25 000 experts cybersécurité sont régulièrement sollicités sur des bug bounty avec à la clé des primes allant de 50 euros à 100 000 euros. (Crédit : YesWeHack)

« Hacker la planète et entrer en bourse »

 Sur cette lancée et avec la dernière levée de fonds, YesWeHack prévoit de doubler le nombre de collaborateurs déployés dans le monde d’ici fin 2021, soit le recrutement d’une cinquantaine de personnes. « On a une bonne croissance, on fait en moyenne 200% de croissance par an, avec 50% de notre chiffre d’affaires réalisé sur l’export. C’est assez rare pour une société de notre taille » ajoute le président. La jeune entreprise souhaite accélérer davantage sa présence à l’international face aux plateformes américaines et asseoir sa réputation. « On joue à l’américaine mais avec des valeurs françaises et européennes, des investissements massifs sur tout ce qui est business marketing et une longueur d’avance sur la R&D, pour casser les codes sur tous les pans de la cybersécurité. YesWeHack caresse par ailleurs l’idée d’une éventuelle entrée en bourse.