Yogosha : une conception alternative des bug bountys qui lève des fonds
Yogosha, qui prône une approche « privée » des bug bountys face au modèle « public » des plates-formes américaines, lève 1,2 million d’euros.
« Les plates-formes américaines auront à affronter un écart culturel quand elles voudront s’étendre en Europe. »
Cette perspective sur le développement des bugs bountys, concours de chasse aux failles de sécurité qui séduisent de plus en plus d’entreprises, Fabrice Epelboin la partageait récemment avec nos confrères de Silicon.fr.
Ancien journaliste chez Reflets.info et à l’origine de Sowarga (simulation ou extension de crises sur les réseaux sociaux), l’intéressé s’est engouffré dans la brèche avec Yassir Kazar, ancien consultant BI chez CGI et cofondateur, au Maroc, de la société DefensiveLab.
Les deux associés ont développé, sous la marque Yogosha, un modèle plus en adéquation avec les pratiques de RSSI européens : plutôt que d’organiser des bug bountys publics « à l’américaine », ils ont opté pour des chasse aux bugs « privées ».
« Nous connaissons tous les hackers présents sur notre plate-forme, leurs antécédents, leurs coordonnées personnelles », résumait ainsi Fabrice Epelboin.
Axée sur l’interaction en continu avec les chercheurs, cette approche a séduit Starquest Capital et ZTP (« Ze 12th Player », qui se présente comme une « équipe d’innovation externalisée au service de l’Association familiale Mulliez »), qui participent à un tour de table tout juste annoncé, pour un montant de 1,2 million d’euros.
Axeleo est également dans la boucle. L’accélérateur de start-up du numérique BtoB, que Yogosha avait rejoint en septembre 2016, investit par le biais de son FCPI Axeleo Capital I, officiellement constitué cet été pour soutenir, de l’amorçage à la série A, des jeunes pousses impliquées dans des projets touchant à la transformation digitale.
Chasse en petit comité
Lancée fin 2015* et aujourd’hui exploitée en EMEA (Europe, Moyen-Orient, Afrique), la plate-forme de Yogosha regroupe quelque 150 experts certifiés, payés non pas dans une logique de moyens, mais « en fonction des résultats de leur travail ».
La rémunération est d’autant plus élevée que l’est le niveau de criticité des failles découvertes. Les chercheurs établissent un score grâce à un widget et négocient ensuite avec les entreprises à partir d’une fourchette qu’elles ont définie.
Plusieurs critères permettent d’affiner les tarifs : les antécédents de l’entreprise en termes d’audit de sécurité, son appréciation du risque (confiance, urgence…), ainsi que l’environnement et l’applicatif testé (périmètre, nombre d’utilisateurs…).
Il faut généralement compter entre 5 000 et 10 000 euros pour un premier bug bounty organisé sur Yogosha – qui signifie « défense » en japonais. Bouygues Telecom, Skyrock, PeopleDoc (solutions RH) et Tilkee (gestion du suivi commercial) s’y sont déjà essayés.
* Basé à Boulogne-Billancourt, Yogosha fut membre de la « promo start-up 2016 » de HPE. L’entreprise a récemment rejoint le « Founders Program » de Station F, le méga-incubateur de Xavier Niel installé à la halle Freyssinet, dans le sud de Paris.