Guillaume Vassault-Houllière, YesWeHack : « Fournir aux hackers les outils de leur art »

Credit : Burst

Provoquer la faille pour mieux s’en prémunir, c’est le pari du bug bounty — littéralement « la récompense au bug ». L’objectif : faire appel à des hackers « éthiques » pour prévenir au plus tôt les vulnérabilités d’un système informatique. Un phénomène dont s’est emparée l’audacieuse « YesWeHack », la startup française qui veut révolutionner le marché de la cybersécurité en Europe. Une success story comme on les aime avec l’annonce il y a quelques jours d’une levée de fonds à 4 millions d’euros… Guillaume Vassault-Houllière, le CEO, nous fait part en quelques mots de sa vision rafraîchissante de la cybersécurité.

Comment est né « Yes We Hack » ?

A l’origine on vient nous-mêmes de la communauté des hackers. Moi c’est ma passion le hacking ! Mais à l’époque, il faut savoir que les entreprises réagissaient mal quand on mettait le doigt sur des vulnérabilités… Et c’est l’inverse aujourd’hui.

J’ai aussi été responsable de sécurité dans de grandes entreprises, donc j’ai vraiment eu un pied dans chaque monde. L’idée avec Yes We Hack c’est justement de créer une connexion entre ces deux mondes : accompagner les entreprises d’un côté, et fournir à notre communauté de hackers éthiques les outils de leur art de l’autre.

Votre spécialité, c’est le bug bounty…

Oui mais le bug bounty existe depuis 1995. Aujourd’hui, on constate que les entreprises ont de plus en plus de besoins en sécurité opérationnelle, et doivent y répondre en mode agile, via des tests en continu. Cela correspond tout à fait à l’ADN du bug bounty qui fonctionne au résultat, c’est à dire qu’on est très loin du modèle de l’audit de cybersécurité encore en vigueur… Sur notre plateforme, nous avons à la fois des bug bounty publics, où plus de 7000 hackers peuvent participer, et des bugs bounty privés réservés aux meilleurs d’entre eux. Nous accompagnons ensuite nos clients dans la définition des grilles de prix : de quelques dizaines d’euros à plusieurs dizaines de milliers d’euros !

La cybersécurité est-elle aussi sexy que le hack ?

En ce moment il y a une grande pénurie d’experts en cybersécurité, on y remédie en créant des vocations chez les hackers. N’importe qui peut devenir un chasseur de bugs ! Et si c’est un hobby pour certains d’entre eux, c’est aussi un terrain de jeu et d’expérimentation, qui permet une grande diversité des approches : et donc une plus grande efficacité au final de notre côté. Finalement, les hackers éthiques de notre communauté sont des artisans, ils s’adaptent et interagissent directement avec les clients. Cette passion et cette proximité, ça rend la cybersécurité plus attractive.

Votre solution, c’est le futur de la cybersécurité ?

C’est une partie de ce futur ! La cybersécurité c’est avant tout une succession de techniques de défense. L’avantage de notre solution, c’est qu’elle va s’intégrer au plus profond des services de nos clients. Nous intégrons les données issues des tests, et l’entreprise peut capitaliser dessus pour enrichir ses systèmes de défense.

Intelligence collective ou intelligence artificielle ?

C’est complémentaire ! Aujourd’hui on manque tellement d’experts en cybersécurité que si vous pouvez automatiser une partie de leur travail et leur laisser la partie la plus intéressante, c’est tant mieux. Mais nous continuons de croire que leur travail est indispensable, nous voulons valoriser ces petits artisans numériques !

Vous êtes déjà la première plateforme européenne…

Dès 2013, on a lancé pour le fun un site web pour trouver du boulot dans la cybersécurité. De fil en aiguille, on a conçu en 2015 la première plateforme de bug bounty et on est maintenant dans toute l’Europe ! Aujourd’hui notre plateforme a l’avantage d’être conforme avec ce droit européen (et la RGPD) : elle permet une traçabilité de l’argent, et un stockage sûr des données… Maintenant on recrute massivement pour muscler notre R&D et pour continuer à développer des outils, parce qu’on a plein d’idées !