Avec plus de 400 programmes de Bug Bounty (publics et privés) actuellement en cours sur sa plateforme, YesWeHack enregistre une croissance record. En moins d’un an, le nombre de programmes lancés en France a doublé, soulignant l’adoption croissante d’une sécurité crowdsourcée par les RSSI. Les Assises de la Cybersécurité de Monaco, en octobre dernier, ont, elles aussi, témoigné de ce nouvel engouement pour le Bug Bounty. Dans les conversations entre YesWeHack et les RSSI français, la question n’est désormais plus de savoir en quoi consiste cette approche agile de la cybersécurité, mais comment et quand la mettre en place.
La pandémie : accélérateur de développement du Bug Bounty en France
Fin 2019, Hiscox publiait un rapport montrant que 67% des entreprises françaises avaient été victimes de cyberattaques au cours de l’année passée1. Élément plus grave, parmi elles, seules 10% étaient en capacité d’y faire face1. L’année 2020 et la pandémie mondiale qui l’a accompagnée n’ont fait que fragiliser un peu plus la sécurité des entreprises qui ont dû digitaliser leurs activités à marche forcée (téléconsultations médicales, télétravail, visioconférences, e-commerce, etc.). Mais numériser ses activités n’est pas sans risque…
« Si la majorité des entreprises avaient déjà amorcé leur transformation digitale, beaucoup n’étaient pas préparées à une digitalisation totale et si soudaine de l’ensemble de leurs activités. Elles ont dû s’adapter pour faire face au contexte sanitaire et parvenir à « survivre ». Mais les pirates ont su en profiter », constate Guillaume Vassault-Houlière, CEO de YesWeHack.
Ainsi, d’après l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI), le nombre de cyberattaques a doublé entre septembre 2019 et septembre 2020. Pour faire face à cette problématique croissante, les RSSI ont dû s’interroger sur la meilleure manière de sécuriser leurs actifs numériques. Longtemps frileux, ils semblent désormais considérer le Bug Bounty comme une réponse adaptée et sont de plus en plus nombreux à l’inscrire au cœur de leurs stratégies de cybersécurité.
« Lors des Assises de la Cybersécurité de Monaco, nous avons constaté un véritable changement de ton dans nos échanges avec les RSSI français. Si les années précédentes, ils montraient déjà un réel intérêt pour le Bug Bounty, ils ne passaient pas forcément à l’action. Cette année, on constate que l’approche crowdsourcée de la sécurité s’est imposée comme le nouveau standard dans leurs stratégies », poursuit Guillaume Vassault-Houlière.
Signe d’une maturation croissante, le Bug Bounty apparaît désormais plus efficace et plus performant que les sempiternels « pentests » traditionnels. En effet, cette solution à la fois puissante et facile à mettre en œuvre permet de combler l’écart entre l’explosion du numérique et l’insuffisance des approches traditionnelles. Le constat est clair : en 2020 le nombre de programmes de Bug Bounty lancés sur la plateforme YesWeHack en France a doublé par rapport à l’année précédente.
De méfiance à confiance : le hacker éthique est devenu l’allié des RSSI
Petit à petit, le Bug Bounty s’impose comme la solution la plus agile et efficace pour les RSSI. Pourtant, il aura fallu du temps avant qu’il trouve sa place dans les stratégies de défense des entreprises. La raison ? Son principe même. S’appuyant sur une vaste communauté de hackers assurant une surveillance continue, l’approche crowdsourcée de la sécurité a longtemps fait peur. Et pour cause, perçu comme une « menace », le « hacker » était l’objet de tous les fantasmes. Héro invisible ou combattant diabolique, son prétendu « anonymat » a cristallisé les esprits pendant des décennies.
Mais les mentalités évoluent et les RSSI voient désormais les hackers éthiques comme des alliés indispensables dans l’accomplissement de leurs missions. Car qui mieux qu’un hacker pour détecter les potentielles techniques d’intrusion d’un système ? Aujourd’hui, ces derniers sont devenus des partenaires irremplaçables, véritables garants de la sécurité des entreprises.
« Petit à petit, la communauté de hackers éthiques de YesWeHack a été identifiée comme un groupe composé de passionnés d’informatique et de cybersécurité, capables de repérer des failles sur des systèmes sophistiqués et cela, dans un temps réduit. Évidemment, cela ne s’est pas fait en un jour, nous avons dû démontrer les nombreux avantages de la sécurité crowdsourcée pour l’entreprise. Mais cela valait la peine puisque le Bug Bounty est devenu un sujet incontournable pour les RSSI cette année », conclut Guillaume Vassault-Houlière.
1 Rapport cyber-sinistres (2019) publié par Hiscox