Pour se prémunir des cybermenaces, quelle meilleure approche que de bénéficier du savoir-faire d’experts du hacking ? C’est ce que propose la jeune entreprise YesWeHack, qui met en relation les entreprises françaises et internationales avec des hackers éthiques, aussi appelés « White Hats », pour identifier les failles et améliorer la cybersécurité des organisations.
Co-fondée par un pur produit de la communauté des hackers en la personne de Guillaume Vassault-Houlière et Romain Lecoeuvre, la startup en cybersécurité a récemment levé 26 millions d’euros pour accélérer son développement. Zoom sur la genèse et les projets de YesWeHack.
Quelle est la genèse de YesWeHack ?
Guillaume Vassault-Houlière, CEO de YesWeHack : À l’époque, j’étais président de l’association qui gère l’une des plus grosses conférences de hacking au monde : la Nuit du Hack. Romain Lecoeuvre et moi, par notre ancrage assez fort dans la communauté du hacking, nous nous sommes demandé comment créer un environnement permettant de protéger les hackers.
Or, dès 2012, nous avons vu émerger les plateformes américaines de Bug Bounty. Leur principe est de faire intervenir un groupe de hackers et donner une prime au premier qui réussit à identifier une faille informatique. C’est ce modèle vertueux, agile et puissant, qui a donné naissance à la startup française de cybersécurité YesWeHack.
Quelles ont été les étapes importantes de la startup ?
Guillaume Vassault-Houlière : L’une des étapes les plus importantes est la signature du premier contrat de travail, car investir dans l’humain est un jalon essentiel, surtout pour une startup en cybersécurité où la confiance est un enjeu central. Ensuite, les étapes s’enchaînent : la première levée de fonds, le premier client à l’étranger, puis l’internationalisation.
Au début, on est naïfs, on ne se rend pas compte de toutes les milestones qui vont constituer le parcours de l’entreprise. Finalement, on devient rapidement patron d’une boîte de plus de cent dix personnes dispersées dans neuf pays, avec des bureaux à Singapour.
Quel regard portez-vous sur la dernière levée de fonds et sur l’apport de Bpifrance ?
Guillaume Vassault-Houlière : Bpifrance nous a accompagnés depuis le début de l’aventure, mais pas en qualité d’investisseur. Depuis, notre startup en cybersécurité a évolué et a notamment été sélectionnée dans le cadre du programme French Tech 2030, dont Bpifrance est partie prenante.
Récemment, Bpifrance a récupéré la participation de la Caisse des dépôts, et cela représente une nouvelle étape de notre développement. Cela va rendre les choses beaucoup plus simples, car Bpifrance a les moyens et la flexibilité nécessaires pour nous accompagner sur la durée, notamment sur les questions liées à l’internationalisation.
Quels sont les axes et leviers de développement principaux que YesWeHack va mettre en œuvre suite à la levée de fonds ?
Guillaume Vassault-Houlière : Nous allons commencer par consolider nos actifs. En parallèle, nous allons continuer à accélérer l’export, car avec nos plus de 500 clients présents dans 42 pays, l’international représente 50 % de notre chiffre d’affaires.
Différentes administrations dans de nombreux pays dont la France, l’Espagne, le Canada ou Singapour font appel à nos services. Pour cette raison, nous devons poursuivre dans notre approche premium et centrée sur l’humain, afin de continuer à être le partenaire de confiance de l’ensemble de nos clients.
Un autre aspect essentiel du développement de notre startup de cybersécurité est de poursuivre l’amélioration de nos produits. La R&D est l’un des points forts de YesWeHack. Un effort particulier va donc être mis en place autour de la donnée afin de pouvoir élaborer des outils permettant une prise de décision beaucoup plus rapide qu’auparavant.
Ces outils doivent nécessairement être activables rapidement en opération et avoir la capacité de restituer des données simples et compréhensibles de l’ensemble de la surface d’attaque. De plus, ils doivent être liés avec les produits que nous avons déjà développés comme le Pen Test Management ou l’Attack Surface Management, avec pour objectif d’obtenir une visibilité à 360° des risques cyber.
À quel point les JO 2024 vont-ils représenter une menace en termes de cybersécurité ?
Guillaume Vassault-Houlière : Les Jeux olympiques 2024 sont, comme tout événement à portée mondiale et possédant un pouvoir de diffusion important, une menace. Cela est d’autant plus vrai que nous sommes actuellement dans un contexte géopolitique complexe. Finalement, ce qui est en jeu, c’est la portée médiatique qu’un incident peut avoir au moment où les tensions internationales sont omniprésentes.
Dans le cas des Jeux Olympiques, tout a été préparé depuis de nombreuses années pour minimiser l’impact d’une potentielle cyberattaque. Nous sommes notamment acteurs des mesures de sécurisation des outils qui sont mis à disposition des entreprises, des citoyens ou des bénévoles qui sont acteurs de cet événement.
Au-delà de cette échéance, quels sont les enjeux prioritaires pour le secteur de la cybersécurité pour vous et pour vos clients, dans les mois ou années à venir ?
Guillaume Vassault-Houlière : L’enjeu réel actuellement est de focaliser les forces sur ce qui a de la valeur. Ce processus passe par une unification d’une multitude d’outils au sein d’une plateforme dédiée, comme le fait notre startup en cybersécurité YesWeHack. Ce faisant, nous devons être toujours plus pertinent et toujours plus impactant en restant à l’état de l’art.
L’IA est actuellement sur toutes les lèvres. Représente-t-elle une problématique à prendre en compte et apporte-t-elle de nouveaux risques ?
Guillaume Vassault-Houlière : Toute technologie crée de nouveaux risques cyber. Dans le cas de l’intelligence artificielle, les risques seront plus visibles sur la donnée, étant donné que cette dernière est fondamentale dans le processus d’apprentissage du Machine Learning.
Un risque majeur provient aussi du facteur humain. Les collaborateurs ne doivent pas transmettre des informations importantes aux applications d’intelligence artificielle. Un travail de sensibilisation doit donc être mis en place afin de minimiser ces risques émergents.
Les risques ne sont donc pas uniquement techniques, mais doivent également englober l’humain. L’IA ouvre le champ des possibles et les périmètres d’attaque, mais nous nous adaptons en permanence pour faire face à ces évolutions.
Responsable Contenus et Marque Bpifrance Le Hub