L’externalisation de la chasse à la faille de sécurité s’industrialise. En témoigne la startup française YesWeHack qui opère Bounty Factory, la première plate-forme d’économie collaborative européenne de BugBounty.io. En clair, cela signifie qu’elle fait l’intermédiaire entre des entreprises qui veulent faire tester leur code informatique et des hackers expérimentés qui seront rémunérés à cet effet.
100% des sites Web de 82 des 200 plus grandes entreprises françaises ont des failles
Il était temps. En effet, selon une étude du cabinet d’audit de sécurité informatique Wavesoft, réalisée entre juin 2015 et juin 2016 auprès de 82 entreprises parmi les 200 plus grandes françaises, 100% des 127 sites Web analysés (84 sites Internet et 43 sites sur des réseaux privés d’entreprise) comportent au moins l’une des 47 failles testées ! Ce n’est pas tout. La moitié des sites Web accessibles au grand public contenait au moins une faille grave, c’est-à-dire permettant de récupérer de manière automatisée l’intégralité des informations présentes sur le site. Cette proportion monte même à 75% pour les sites internes, réservés aux collaborateurs. Sachant que le règlement européen GDPR menace, à partir de 2018, d’une amende de 4% du chiffre d’affaires les entreprises qui ne sont pas en mesure de respecter les données personnelles de leurs utilisateurs, il y a de quoi s’inquiéter… C’est sur ce créneau que YesWeH4ck, créée en 2015, s’est positionnée. « Nous avons commencé par monter un Job Board dédié aux métiers du numérique dès l’année dernière et BountyFactory.io cette année », explique Géraldine Chevalier, Office Manager de la startup qui a exposé sur le Hub d’Expoprotection 2016, l’espace dédié aux start-ups.
700 failles de sécurité découvertes
Le mécanisme de Bounty Factory est d’une redoutable efficacité. L’entreprise s’inscrit sur le site. Elle dépose le code de la partie de son site à faire tester. Pour cela, elle poste son annonce soit en mode privé pour n’inviter que les hackers les mieux notés par la plate-forme soit en mode public. Ensuite, Bounty Factory invite alors les hackers à collaborer de sorte à remonter des bugs pour lesquels ils seront rémunérés soit en numéraire, soit en points de réputation. Ce qui leur permet de monter dans les classement sachant que, si le hacker ne trouve rien, il perd des points. « 1.467 hackers sont ainsi inscrits sur la plate-forme. Parmi les clients, on peut citer OVH, Qwant, Orange, Denyall ou Skyrock. En 5 mois, nous avons avons fait remonter 700 bugs. Ce n’est pas énorme mais c’est un début, explique, confiant, Guillaume Vassault-Houlière, PDG de YesWeHack qui prend une commission de 25% sur les rémunérations. Les hackers peuvent toucher de 50 euros pour les annonces publiques jusqu’à 25.000 euros pour les annonces privées ! Nous comptons 14 programmes privés sur 17. » De quoi motiver les meilleurs hackers. Et espérer susciter l’intérêt des investisseurs. Ce qui est déjà le cas de Qwant, le moteur de recherche français nouvelle génération, qui a pris des participations dans la société.
Erick Haehnsen
Commentez