Uberiser la sécurité de son informatique ? C’est possible avec Yogosha, champion du Bug Bounty


Achetez vos bugs informatiques. Yogosha est une plateforme de Bug Bounty. C’est à dire un service de détection des failles de sécurité que l’on trouve dans tous les logiciels informatiques d’une entreprise à cause de maladresses de programmation.

Des hackers Whitehats


Ce service est assuré par une communauté de hackers bien intentionnés. Les failles de sécurité sont banales car tout logiciel contient des bugs de programmation qui peuvent être exploités par des hackers afin de s’introduire dans un système d’information. Pour la petite histoire, “Yogosha” signifie “Défense” en japonais.

Le Bug Bounty est un accord passé par les entreprises avec des communautés de hackers whitehats (bien intentionnés), offrant reconnaissance et rétribution à ces derniers quand ils signalent des failles de sécurité. Un Bug Bounty permet aux départements IT de découvrir et de corriger leurs failles de sécurité, prévenant ainsi de futurs incidents.



C’est une approche radicalement différente et disruptive de la cyber sécurité. Les fondateurs de Yogosha sont très critiques par rapport à la gestion actuelle de la sécurité. « Aujourd’hui, si vous développez un site web, un intranet, une application mobile ou tout autre service destiné à se connecter à internet, et si vous souhaitez vous assurer que ce dernier est sécurisé, vous faites appel à un prestataire de services qui va vous vendre une prestation budgétisée en “jour/homme” pour trouver les failles de sécurités existantes, » décrivent-ils.

Ils poursuivent : « cette démarche, limitée dans le temps, implique de vraies lourdeur administratives et commerciales et présente un ROI incertain car que le prestataire trouve 10 failles ou qu’il ne trouve rien, le tarif sera le même. »


Faire appel à la communauté

À travers de la plateforme de Bug Bounty, l’équipe de Yogosha met en relation des entreprises avec des communautés de hackers whitehats. Ces derniers sont rémunérés uniquement pour les failles découvertes.

« On passe d’une obligation de moyens à une obligation de résultats, d’un diagnostic ponctuel à un audit continu, d’une mission contractée dans un cadre formel à un service qui peut s’interrompre et reprendre à tout moment, et dont on peut modifier le périmètre de recherche à volonté, » disent-ils.

Toute faille achetée permet de renforcer sa cybersécurité. La communauté réunie autour de la plateforme Yogosha est faite de professionnels experts du domaine. En s’appuyant sur une communauté, cela donne accès à des talents diversifiés. « C’est plus efficace qu’un “pentesteur”, un chercheur en sécurité informatique, classique, qui agit généralement en solo, » ajoutent-ils.

Depuis Google jusqu’aux PME

Les fondateurs de Yogosha pointent que le “Bug Bounty” a été adopté par les géants de la Silicon Valley (Google, Amazon, Apple, Facebook, Paypal…) depuis quelques années, puis par des entreprises plus traditionnelles (General Electric, United Airlines, Western Union…), avant d’être plus largement adopté aussi bien par les Grands Comptes que les PME aux Etats-Unis.

Yogosha concurrence les traditionnels tests d’intrusion. « Ces tests n’offrent qu’une garantie de moyens et non de résultats au contraire des Bug Bounties, » ajoute Yogosha. De plus, faire appel à une communauté d’experts va dans le sens de l’évolution du travail qui montre un accroissement de la décentralisation des compétences, estime la startup. « Cela pousse à offrir plus de flexibilité vis à vis du DSI, » ajoutent les fondateurs.

L’offre de Yogosha repose sur un pool de chercheurs internationaux, des partenaires à l’international et développe des fonctions dans la mouvance du DevOps. Yogosha conçoit des offres autour du concept de Bug Bounty : benchmarking de prestataires, intégration de la sécurité au cœur d’un processus DevOps, formation des développeurs en les mettant en relation avec des chercheurs en sécurité, etc.

Complémentaire des scanners de vulnérabilités

On pourrait croire l’offre de Yogosha en concurrence directe avec les logiciels en mode Saas de détection de vulnérabilités, connus depuis des années. En fait, il s’agit de complémentarité, la startup est en cours de négociation de partenariat avec un acteur bien connu du secteur du scanning de failles.

Yogosha cible en priorité les grands comptes. Ces entreprises possèdent une infrastructure pour organiser un bug bounty. Lorsque des failles sont avérées, il faut des moyens humains et technologique pour les réparer. « Il faut savoir que les premières semaines sont intenses avec l’envoi massif de rapports de failles, sans une équipe de support, la gestion d’un bug bounty se révèle être lourde et très consommatrice en ressources humaines, » insiste Yogosha.

Yogosha joue enfin la carte hexagonale et sa liberté face aux plateformes américaines qui proposent du Bug Bounty mais qui doivent respecter le “Patriot Act » telles que BugCrowd ou HackerOne, actuel prestataire de l’armée américaine.

L’équipe de Yogosha

Yassir Kazar, Cofounder & CEO
Serial entrepreneur, chroniqueur cyber-sécurité ZDnet/CafeineTV, lead security auditor, enseignant BI à Paris Descartes.

Fabrice Epelboin, Cofounder & CMO
Serial entrepreneur, expert tech. sociales et économie collaborative, enseignant à Sciences Po. Paris.

Hicham A. Tolimat, CTO
Ancien expert InfoSec chez Deloitte, ex porte parole du CA de HackerZVoice, enseignant à l’université de Cergy-Pontoise et à l’INA.

Kévin Liagre, Lead dev
Ancien développeur IHM à la DCNS. Code addict dans la vie privée, web/android/low-
level, ingénieur systèmes embarqués.

Jérémie Heduy, Biz Dev
Passionné par les nouvelles technologies, Business Developper, Novancia Business School, ancien Marketing Manager Orange Business Services à Singapour.

Jérôme Vadon
Designer produit senior, spécialiste experience design et datavisualisation. Jérôme est un spécialiste reconnu à l’international des interfaces utilisateurs innovante et connaît très bien le secteur et les problématiques du secteur de la cybersécurité.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *