YOGOSHA: le Hacking Ethique
/Interview de Yassir Kazar, Co-fondateur de Yogosha, par Alain Establier
SDBR News : En 2015, avec Kévin Liagre vous fondez Yogosha. Pouvez-vous nous expliquer ce qu’est Yogosha?
Yassir Kazar : Yogosha, qui signifie “défense” en japonais, est une plateforme de cybersécurité qui a démarré en faisant du « Bug Bounty » privé. Ce choix du Bug Bounty nous a donné dès le début un positionnement très fort. Notre startup s’est appuyée depuis l’origine sur une élite internationale de hackers éthiques, sélectionnés par nous, pour permettre à nos clients de mettre en œuvre une recherche de failles de sécurité en rémunérant les chercheurs à la faille découverte. Avec Yogosha, les responsables de la sécurité collaborent avec les meilleurs hackers pour protéger leurs entreprises des cyber-attaques, managent des vulnérabilités, fédèrent leurs équipes et garantissent la sécurité des consommateurs. En luttant contre le stéréotype du hacker dangereux, Yogosha a créé une communauté internationale de chercheurs indépendants hautement qualifiés en sécurité. Voila pour le principe.
SDBR News : Et pour la méthode ?
Yassir Kazar : Pour la méthode, le prix payé par les entreprises dépend des failles découvertes et de leur criticité. En gros, nous disons à nos clients : programmes Bug Bounty, Pentests crowdsourcés ou CVD, choisissez votre stratégie de sécurité et interagissez avec vos hackers. Avec nos programmes de Bug Bounty sur mesure, nous aidons les entreprises à renforcer leur sécurité, tout en rémunérant équitablement notre communauté de hackers à la faille découverte. A travers une interface simple et intuitive, les entreprises bénéficient d'un contrôle et d'une visibilité accrue sur leur stratégie de sécurité. Les entreprises préfèrent une approche dynamique de la cybersécurité qui consiste à rémunérer à la faille découverte plutôt qu’au temps passé à les chercher. C’est la force de Yogosha d’avoir réinventé une plateforme véritablement collaborative, destinée à faciliter les transferts de compétences et de savoir-faire entre les équipes de développement de ses clients et sa communauté de chercheurs en cybersécurité. Aujourd’hui, plus de 100 entreprises nous font confiance parmi lesquelles L'Oréal, la MAIF, Galeries Lafayette, SwissLife, BNP Paribas, Société Générale, Accor, Bouygues Telecom, Cdiscount, ManoMano, etc.
SDBR News : Lorsqu’une faille est détectée par un hacker Yogosha, que se passe-t-il ?
Yassir Kazar : Nous travaillons vraiment sur la sécurité, pas simplement sur le mauvais affichage d’un écran par exemple ; nous travaillons ainsi sur des anomalies capables d’arrêter un système entier, de sortir des données de l’entreprise ou de l’usurpation d’identité, donc sur des failles sérieuses. Lorsque le hacker trouve une telle faille, il fournit tout le détail au client de la vraie pénétration du système, pas juste de la théorie. C’est pour cela que des grands groupes font appel à Yogosha en France, en Espagne, en Allemagne et au Canada. Pour nous, il n’y a pas de notion de temps comme par exemple cela se passe pour une intervention en PenTest ; notre critère de fonctionnement repose uniquement sur le budget alloué à notre mission. Exemple, si l’entreprise met 60.000 euros de budget sur la table, vous aurez 50 hackers qui vont attaquer le système pour le tester jusqu’à ce qu’il n’y ait plus d’argent sur la table : le premier qui trouve une faille est rémunéré pour cette faille et la faille sort de l’enjeu. Le client paie en fonction de la gravité de la faille et de la solution apportée : si les hackers ne trouvent rien (parce que le système est bien sécurisé) le client ne paiera rien, c’est un jeu gagnant-gagnant ou le ROI est évident, avec un vrai transfert de compétences au profit des équipes du client.
SDBR News : Parlez-nous de la communauté Yogosha…
Yassir Kazar : Au début nous avons commencé avec un premier noyau de hackers que je connaissais, ayant été moi-même hacker dans le passé. Nous avons ensuite mis en place un processus de sélection pour rejoindre la communauté. Ce processus disponible en ligne concerne les critères de compétences techniques et pédagogiques (taux de réussite d’environ 20% des candidatures) et le statut juridique et fiscal du candidat (SARL ou auto-entrepreneur). Ensuite, le candidat doit nous présenter un tiers de confiance pour valider sa candidature : nous ne sommes pas dans un marché gris ou underground, nous sommes dans un marché blanc où le hacker est connu, de son banquier par exemple. Nous avons des hackers partout dans le monde, mais ils doivent résider dans un pays non mis à l’index par la Communauté Européenne. C’est le client qui choisit avec qui il veut travailler. Nous avons 500 hackers actifs et 4000 en liste d’attente.
SDBR News : Avez-vous des évolutions possibles dans le monde industriel ?
Yassir Kazar : Oui certainement et nous travaillons actuellement sur des projets, confidentiels comme vous pourrez aisément le comprendre. Mais ce que je peux vous dire, c’est que des industriels de secteurs sensibles peuvent voir un intérêt dans la possibilité offerte par Yogosha de mettre en leur présence 80 hackers éthiques capables de tester la fiabilité d’une solution, d’un système ou d’un système de système… Aujourd’hui, nous avons de grands partenaires (Cap Gemini, Digital Security, Lexfo, etc.) qui vont porter notre offre et proposer du service managé à leurs clients, ce qui devrait nous faciliter l’accès à des secteurs sensibles qui ne fonctionnent qu’avec des partenaires de confiance. Le service managé est une voie importante de notre évolution prochaine.
En savoir plus https://www.yogosha.com
Crédits photos: Yogosha