Yogosha, qui propose avant tout des campagnes de bug bounty dites privées, poursuit son aventure et tente de capitaliser sur un savoir-faire qu’il a acquis depuis son lancement fin 2015. Il lève 1,2 million d’euros auprès de Starquest Capital, ZTP et Axeleo Capital. Son but : « démocratiser l’approche de l’infosécurité amenée par la pratique du bug bounty et soutenir la commercialisation de la plateforme ».
Le spécialiste français s’appuie avant tout sur une communauté d’experts « rigoureusement sélectionnés pour leur expertise technique » avant tout, mais aussi sur des aspects pédagogiques par exemple. Comme souvent, ils sont rémunérés au résultat, en fonction de la criticité des failles qu’ils mettent à jour.
Avec cette approche, Yogosha a réussi à attirer des clients prestigieux comme Bouygues Télécom, Nuxeo, Tilkee ou PeopleDoc. Nombreux sont d’ailleurs ceux qui profitent des campagnes bug bounties pour dénicher les vulnérabilités bien entendu, mais aussi faire monter les compétences en interne. « Il faut transformer le marché de la recherche de failles afin d’aider les entreprises à réduire leur exposition aux attaques et ainsi entrer dans une démarche de cyber-résilience », explique Yassir Kazar, PDG de Yogosha.
Le bug bounty est donc une bonne manière de débusquer des failles à l’heure d’attaques de plus en plus sophistiquées, sur de nombreux périmètres (site Web, API, IoT, etc.). Il l’est aussi pour se préparer à de futures réglementations, et notamment la mise en conformité vis-à-vis du RGPD par exemple.