YesWeHack, spécialiste français du bug bounty, lève 4 millions d’euros

YesWeHack, spécialiste français du bug bounty, lève 4 millions d’euros
À la Une

 

Le marché du bug bounty est encore balbutiant en Europe, mais la start-up française YesWeHack en est déjà l’un des principaux acteurs. Elle vient d’annoncer une levée de fonds de 4 millions d’euros pour asseoir cette position.

Le bug bounty (ou chasse au bug) est le fait, pour une entreprise ou un organisme, de proposer des récompenses monétaires aux chercheurs en sécurité qui identifieraient des failles dans des programmes. Récemment, l’Union Européenne en a lancé une d’importance pour les principaux logiciels libres qu’elle utilise.

YesWeHack, un acteur majeur d’un marché européen balbutiant

Cette pratique est extrêmement développée aux Etats-Unis, et les sociétés spécialistes du bug bounty, comme HackerOne, rencontrent régulièrement de francs succès avec leurs campagnes de chasse aux bugs.

Le marché européen et français sont beaucoup plus timides, en la matière. Mais il commence à se structurer. En France, deux acteurs le dominent, et sont également très bien positionnés au niveau européen : Yogosha et YesWeHack. La seconde est actuellement la plateforme numéro 1 en Europe. Elle a déjà mis en relation plus de 7 000 experts en sécurité avec des entreprises, et vient d’annoncer une levée de fonds d’importance, de 4 millions d’euros.

Bug bounty, public ou privé

Le tour de table a été mené par Open CNP, filiale de CNP Assurances, complété par Normandie Participation. Cette opération permet aussi à YesWeHack d’accueillir de nouveaux membres dans son conseil stratégiques, Éric Leandri, PDG de Qwant, Laurent Seror, président d’Outscale, l’entrepreneur Charles Beigbeder et Jonathan Denais d’Open CNP.

L’une des principales campagnes de chasse aux bugs actuellement en cours chez YesWeHack concerne Deezer, qui propose jusqu’à 1 000 euros pour les chercheurs qui découvriraient des failles de sécurité sur le site ou l’application. Au-delà de ces campagnes publiques, la start-up propose également des bug bountys « privés » : dans ce cas, seuls des chercheurs invités par l’entreprise sont autorisé à accéder au code source des produits pour y chercher des vulnérabilités.