Devenue en 5 ans le leader européen du bug bounty, la jeune pousse, forte d’une communauté de plus de 18 000 membres, affiche désormais des ambitions mondiales. Retour sur le parcours d’une entreprise pas comme les autres.
L’histoire se déroule en 2008 et l’Obamania est à son comble. Le futur président des EtatsUnis électrise les foules, en particulier avec son fameux slogan : « Yes We Can». Il n’en faut pas plus pour que quelques années plus tard, un hacker de haut vol, Paolo Pinto, fondateur de Sysdream et aujourd’hui malheureusement disparu, achète pour quelques euros le nom de domaine YesWeHack. com. Son compère Guillaume Vassault-Houlière, plus connu sous le pseudonyme de free_man, travaille à ses côtés pour structurer et développer Sysdream. Quelques années plus tard, alors qu’il organisait la Nuit du Hack depuis 10 ans avec l’association Hackerzvoice (3000 personnes pour sa dernière édition contre 20 au démarrage) et est devenu RSSI de Qwant, M. Vassault-Houlière est confronté aux mêmes difficultés que nombre de ses pairs : trouver et embaucher les meilleurs talents. Il récupère le nom de domaine YesWeHack avec pour objectif de monter un «job board », une plateforme de mise en relation entre la communauté de hackers qu’il connaît parfaitement et les entreprises qui recrutent. Le succès est rapide et l’offre va s’enrichir petit à petit pour aboutir à une plateforme complète de Bug Bounty et autres services à destination des entreprises. En 2015, free_man fait le grand saut et quittera Qwant deux ans plus tard pour donner une nouvelle impulsion à l’entreprise. En 2019, une première levée de fonds de 4 millions d’euros valide le concept et permet à l’entreprise d’accélérer sa croissance. Aujourd’hui, YesWeHack revendique de nouveaux objectifs et veut «hacker la planète» selon les termes de son CEO.
Là où coule la Seine
Octobre 2020. Nous sommes près de la Seine à Rouen, la ville aux cent clochers, patrie natale de Flaubert, Fontenelle et Corneille. Nous échangeons avec Faustine Michaux, responsable du développement commercial pour une partie de l’Europe. « J’ai rejoint l’aventure », nous dit-elle. Le mot est lâché et sera prononcé par plusieurs personnes que nous interviewerons. Chez YesWeHack, personne ne travaille ; tout le monde participe à une aventure. Et cette dynamique se trouve dans toutes les strates de l’entreprise. Le sentiment de participer à quelque chose de nouveau, de grand, d’inexploré anime tous les collaborateurs. Ne nous y trompons pas : on travaille et beaucoup mais avec un tel enthousiasme que ce travail n’en est pas un. L’activité voit le jour en 2013 pour « s’amuser et industrialiser un peu la mise en relation », raconte M. VassaultHoullière. « Nous avons démystifié et démocratisé ce métier. En effet, il fallait changer le regard des gens sur les hackers. Puis en 2014, nous voyons l’émergence du Bug Bounty, en particulier avec les GAFAM. Surviennent les demandes de modification des accords de Wassenaar. Je rencontre alors Guillaume Poupard, président de l’Anssi et lui dis que nous devons créer une plateforme européenne en matière de cybersécurité afin d’éviter de créer une sorte de Google de ce domaine. En 2015, nous créons la SAS et ensuite tout s’est accéléré au point que j’ai quitté Qwant en 2017 pour me consacrer exclusivement à cette activité ».
Depuis son origine, YesWeHack repose sur plusieurs piliers intangibles qui structurent l’activité. L’éthique en est un. Qu’il s’agisse de technique, de relation commerciale, de relations avec la communauté : tout est orchestré autour de cette dimension. Par exemple, YesWeHack refuse tout paiement sous forme de monnaie virtuelle (bitcoin et autres ethereum) ou encore les virements de type Paypal. « Nous sommes une plateforme européenne et nous répondons à des règles européennes. Il est quasiment impossible de contrôler avec ces monnaies qu’il n’y a pas de corruption ou de blanchiment d’argent. C’est pour cela que nous les refusons », précise Emilie Foubert, directrice des opérations. « Chez nous tout est vérifié et audité régulièrement ».
2 communautés radicalement différentes
Une autre caractéristique de ce type d’entreprises est de s’adresser à deux publics radicalement différents : d’une part la communauté de hackers et, d’autre part, les clients généralement représentés par leurs responsables de la sécurité. Ceci est résumé par les deux acronymes HtoH (Hacker to Hacker) et BtoB (Business to Business). Pour cette première communauté, il convient de respecter scrupuleusement leur mode de vie et leur anonymat. C’est pour cette raison que l’ensemble des relations y compris financières sont réglées au travers d’une plateforme MongoPay au sein de laquelle les hackers déposent leurs identifiants et leurs coordonnées bancaires. Ces données sont vérifiées et, ensuite, le hacker peut travailler en tout anonymat mais également en garantissant une relation de confiance avec le client. Cette relation de confiance associée à la connaissance du milieu par les fondateurs qui a permis de bâtir au fil des ans une communauté forte de 18 000 membres et qui continue à accueillir entre 600 et 900 nouveaux membres chaque mois sur toute la planète.
Cette relation de confiance, cette éthique affirmée et revendiquée constitue tout l’enjeu du second volet : la relation client. En effet, au début de l’activité et encore aujourd’hui dans certains pays moins matures ou certains clients moins au fait de ces possibilités, l’activité de recherche de vulnérabilités confiée à des inconnus suscitait de la méfiance. « Certains clients ont parfois des craintes car ce métier est en rupture par rapport à leurs habitudes », détaille Selim Jaafar, responsable de la satisfaction client. « Il ne s’agit pas de faire rentrer le loup dans la bergerie, bien au contraire. Au départ, il y a de la part des clients beaucoup de questions sur le mode de fonctionnement des hackers. Il faut démystifier l’image du hacker à capuche noire, tapi dans l’ombre et attendant avidement de dérober les informations les plus sensibles. Nous y arrivons très rapidement et c’est une partie de mon travail », poursuit M. Jaafar. « Nous avons en permanence un grand travail de pédagogie à réaliser pour démystifier l’image du Hacker », renchérit Marine Magnant, Responsable du marketing et de la communication.
400 programmes dans le monde
Après 5 ans d’activité, YesWeHack compte désormais plus de 400 programmes de Bug Bounty dans le monde. Si l’activité a démarré en France avec des clients comme Qwant, Orange ou OVH, elle s’est rapidement internationalisée et l’entreprise a donc ouvert plusieurs filiales, à Singapour et en Suisse, ainsi qu’un bureau à Munich. « Le réseau que nous avons consolidé durant toutes ces années s’est révélé déterminant dans l’internationalisation de l’entreprise. En effet, beaucoup de ces contacts sont partis exercer leurs talents à l’étranger. Mais ils ont conservé les liens avec notre communauté », renchérit M. Vassault-Houlière.
En France, l’entreprise est également localisée sur plusieurs sites : Rouen, Paris et Rennes où se tient la Recherche & Développement pilotée par Romain Lecoeuvre, co-fondateur. « Le fait d’être situé à plusieurs endroits et de recourir massivement au télétravail nous permet de recruter plus facilement des profils divers, sans forcer les collaborateurs à s’installer à Paris. C’est un autre atout de notre organisation décentralisée ».
Depuis Rennes, Romain Lecoeuvre pilote une équipe de 17 personnes qui s’occupent de l’infrastructure technique, la Recherche & Développement et la satisfaction client. Les 3 pôles sont en interaction permanente sur 80% des projets. Dans le détail, la R&D s’occupe de réaliser des études de faisabilité pour améliorer en permanence les services autour du Bug Bounty. « Nous cherchons en permanence à rajouter de nouvelles fonctionnalités au sein de nos plateformes et de l’ecosystème ».
La dimension communautaire est déterminante dans cette activité. Aucune entreprise, si grande soit elle, n’est capable de mobiliser autant de hackers en si peu de temps. Désormais, le nombre d’entreprises pratiquant cette activité à un niveau mondial se compte sur les doigts d’une main et il sera très difficile de percer pour de nouveaux entrants car tout ceci est désormais très structuré, tant chez YesWeHack que chez certains concurrents américains.
En 2019, l’entreprise a enregistré plus de 300% de croissance et il en sera vraisemblablement de même en 2020 et ce malgré le contexte sanitaire. YesWeHack a d’ailleurs participé à un Bug Bounty autour de l’application StopCovid. Selon des données fournies par le Gartner Group, seulement 2% des entreprises mondiales utilisaient le Bug Bounty en 2018 mais elles seront 60% à l’horizon 2022. « Même si ces chiffres sont exagérés, le terrain de jeu est gigantesque », observe M. Vassault Houlière. Pour le moment, YesWeHack ne procède pas à la remédiation des vulnérabilités identifiées sur les plateformes ou applications testées. Toutefois, des conseils pour appliquer les correctifs sont indiqués dans les rapports très structurés qui sont délivrés au client. Interrogé sur une évolution vers la remédiation ou sur la création de nouveaux produits, CEO comme CTO restent très évasifs. « Ce sont des choses auxquelles nous réfléchissons mais je ne peux ni ne veux en dire plus pour le moment ». Tout juste concèdent-ils de nouvelles intégrations avec des logiciels tels que Slack ou GitHub
Outre l’aspect technique, l’utilisation d’un Bug Bounty par une entreprise tend à devenir un argument marketing mis en avant par les clients qui y font appel. « Être audité en permanence sur la sécurité de ses applications est un gage de qualité pour les clients, particulièrement pour les entreprises qui souhaitent se développer à l’export. Cette activité qui était perçue comme marginale devient maintenant une garantie de sérieux et de respectabilité.»
Conscient que le marché est en pleine croissance, l’entreprise ne compte pas s’arrêter en si bon chemin et prévoit de réunir 150 personnes d’ici 2 ans. « Nous avons envie d’aller au bout de l’histoire », poursuit le CEO. Né avec un ciseau à bois dans les mains (son père est ébéniste), passé ensuite par le fer à souder puis le clavier, cet amoureux de la nature s’est transformé en chef d’entreprise pleinement conscient de ses responsabilités et de la nécessité de faire évoluer les mentalités.
« La pêche m’a appris la patience et la connaissance du terrain, le sens de l’observation. C’est un peu la même chose dans notre environnement. Il faut être au bon endroit au bon moment. C’est ce que nous nous efforçons de réaliser ».
LES SATELLITES DE YESWEHACK
En parallèle de l’activité principale et avec la volonté de servir la communauté et d’attirer de nouveaux talents, YesWeHack a créé plusieurs programmes satellites. L’un d’entre eux se nomme yeswehack.edu bâti en 2019. Le but est de créer une version éducative de la plateforme de Bug Bounty et de créer un écosystème de formation aux meilleures pratiques en cybersécurité. Former de futurs experts, les aider à rédiger des rapports de vulnérabilité et bien évidemment détecter de nouveaux talents sont les objectifs de cette plateforme éducative unique au monde.
Zerodisclo.com est une plateforme de remontée de failles vers les différents CERTs. A la différence des programmes de Bug Bounty, les failles remontées ne sont pas rémunérées. L’objectif est d’avoir une plateforme sécurisée permettant aux hackers de remonter des failles sans craindre d’être inquiétés pour les avoir dévoilées. Grâce à une collaboration étroite avec l’Anssi, zerodisclo a un statut qui rentre dans le cadre de la loi sur les lanceurs d’alertes.
Cette pratique est baptisée VDP (Vulnerability Disclosure Policy). « Cela nous permet de mettre à disposition un canal de communication dédié et sécurisé avec la certitude que l’information sera traitée » indique M. Lecoeuvre. « Avec cette plateforme, nous montrons un savoir-faire technique répondant à un besoin actuel des organisations », poursuit-il.
FireBounty est un agrégateur de Bug Bounty. Ceci permet d’identifier tous les programmes de Bug Bounty existant de par le monde. « FireBounty permet d’entrer des mots clés en fonction de ce que le hacker cherche mais aussi filtrer les résultats par type de récompense : argent, cadeaux, ou autres » indique Manuel Dorne, alias Korben, également fondateur de YesWeHack.
Enfin, l’entreprise maintient toujours une plateforme d’offres d’emploi qui compte près de 5000 candidats inscrits, 2100 annonces publiées par plus de 370 sociétés.
LA TENTATION DE L’OBSCUR
Bien évidemment, nous avons interrogé nos interlocuteurs pour savoir s’ils avaient été tentés de passer de l’autre côté, c'est-à-dire devenir des Black Hackers, des pirates et ainsi renoncer à l’éthique qui prévaut dans leur activité. Tous et à commencer par le CEO ont dénié vigoureusement. « Dans ma famille, nous nous sommes toujours battus pour la justice, l’honneur. Ce sont des valeurs cardinales qui sont aussi celles de l’entreprise. » Romain Lecoeuvre ne dit pas autre chose. « L’idée ne m’a jamais traversé l’esprit. Un hacker met ses compétences au profit de ceux qui ne les ont pas. Le Bug Bounty permet de faire cela de manière cadrée et protégée. Internet n’est pas une zone de non-droit ». Vu le succès croissant de l’entreprise, on ne peut que leur donner crédit de cette attitude.
DANS LES PETITES RUES DE SINGAPOUR
Parti il y a 11 ans pour une mission de 6 mois, Kevin Gallerin n’est jamais rentré de Singapour. Depuis un peu moins de deux ans, il dirige l’activité AsiePacifique de YesWeHack. L’équipe compte désormais 4 personnes et continue à recruter. A l’origine, M. Gallerin est un ingénieur spécialisé en sécurité informatique. Il s’est rendu dans le micro-état en 2009 afin de contribuer à la création du CERT Lexsi, une entreprise qui est rentrée dans le giron d’Orange en 2016. En 2018, il est chargé de monter un bureau pour la zone Asie-Pacifique, en particulier parce que le développement du Bug Bounty est particulièrement élevé dans cette zone. Singapour est l’un des pays les plus développés au monde pour la digitalisation de ses services. « C’est un exemple mondial de ce qui peut être fait », précise M. Gallerin. « Les ventes que nous réalisons sur place sont vraiment des ventes conseil car les entreprises sont extrêmement sensibilisées aux problématiques et aux enjeux du Bug Bounty. Les Pentests sont obligatoires pour de nombreuses entreprises, celles-ci cherchent des solutions plus agiles et offrant un meilleur retour sur investissement, le Bug Bounty devient une évolution naturelle.» Depuis cette base, M. Gallerin va développer les activités en Malaisie, à Hong-Kong, en Chine et en Australie, principalement. Les cas du Japon et de la Corée du Sud sont différents car nécessitent une acculturation forte, en particulier dans la langue pratiquée. Kevin Gallerin précise que cela fera l’objet d’une nouvelle phase dans le développement de l’entreprise à moyen terme.