Vous pensiez encore que les hackers étaient des cybercriminels ? Bienvenue dans la réalité : ce sont eux sur que vous allez devoir compter.
Le RGPD (Règlement Général sur la Protection des Données) entre en vigueur en mai 2018. En plus d’assurer la protection des données personnelles, cette réforme doit permettre de responsabiliser les acteurs traitant des données – mais aussi les sous-traitants. Concrètement, cela signifie qu’un site web présentant des failles de sécurité pourrait voir son propriétaire condamné par une amende pouvant s’élever jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires mondial annuel, la valeur la plus importante étant retenue – ce qui représente un coût colossal pour la majorité des organisations.
Une notion souvent oubliée est celle de la coresponsabilité : une agence à l’origine d’un site web partagera ainsi la responsabilité (et, en cas de faille, la peine) de l’entreprise concernée. « Pour beaucoup d’agences de communication qui produisent des tonnes de site web, c’est un principe totalement étranger », nous alerte Fabrice Epelboin, fondateur de Yogosha.
Yogosha, quèsaco ? « Nous sommes une plateforme de Bug Bounty ». Le Bug Bounty, c’est cette pratique venue des Etats-Unis qui permet aux entreprises de rémunérer des « chercheurs en cybersécurité » (oui, c’est un terme policé pour dire « hacker ») afin que ceux-ci débusquent les failles de leurs systèmes. Plus les failles trouvées sont critiques, plus la rémunération est importante.
Une méthode plus agile et efficace que le « pentesting » (faire appel à une société spécialisée et payer des « jours/homme » de chercheurs en cybersécurité, ce qui implique une limite de temps) ou que les scans automatiques (qui permettent de détecter des erreurs basiques, mais ne peuvent anticiper un cybercrime). Sauf qu’aujourd’hui, trouver un hacker en France n’est pas une tâche aisée…
Il n’y a aucune compétence sur le marché. Le problème, c’est que l’Etat comme les médias ont dépeint les hackers comme des cyberdélinquants depuis les 20 dernières années.
Les préjugés ont la peau dure, et nombreux sont ceux qui assimilent hackers et pirates. « Or nous sommes dans une situation où l’on en a désespérément besoin ». Les cas de malwares et ransomwares à répétition l’ont prouvé : la cyberguerre est mue par des enjeux géopolitiques et financiers puissants. « La confiance des consommateurs est liée à la valeur et la stabilité de la marque : une entreprise qui se fait pirater verra ses consommateurs déserter. Darty en est un bon exemple ». Victime d’un ransomware, la marque a appelé ses consommateurs à réinitialiser leur mot de passe. Mais a-t-on vraiment envie de (re)confier ses infos à quelqu’un qui a déjà failli à les protéger ? « Non. On va chez Amazon ».
Ailleurs, on trouve des hackers à foison. « A Berlin ou en Tunisie, c’est un vrai statut social. En Inde, on atteint quasiment des seuils de parité entre hommes et femmes ». La solution trouvée par Fabrice Epelboin et son co-fondateur, Yassir Kazar, consiste à mettre en relation ces hackers du monde entier avec les entreprises. « Nous mettons les meilleurs talents de la communauté à la disposition de nos clients ». Recrutés sur un test d’entrée pointu puis évalués en permanence, les hackers sont payés au résultat. « Tu trouves une faille, on l’achète – plus elle est grave, plus on paye cher ». Et ça paye bien, hacker ? « On a des gens qui travaillent à fond quelques mois par an et consacrent le reste de leur vie à leurs projets perso, ceux qui s'investissent à fond dans le Bug Bounty peuvent gagner jusqu'à 500 000 € ». A cela s’ajoutent des conditions flexibles : pas d’horaires ni de bureaux fixes.
Ne se prétend pas hacker qui veut. « Ce n’est pas une question de cursus, mais d’état d’esprit ». Le hacker ne pense pas comme le quidam moyen, il détourne les modes traditionnels pour trouver ce que l’on ne voit pas. « Si tu donnes La Ferme Lego à un enfant et qu’il te construit un vaisseau spatial, il a le potentiel pour être un hacker ».
Ceux qui sont acceptés par Yogosha sont soumis à un concours d’entrée, où sont testées leurs compétences techniques (nombre et diversité des attaques trouvées, criticité des failles…) mais aussi leur professionnalisme : « Il faut savoir être poli, et rédiger des rapports de qualité ». Les hackers doivent pouvoir faire preuve de pédagogique pour expliquer le problème et la façon d’y remédier avec des échanges réels, de vraies interactions. « Il n’y a aucun mysticisme : les entreprises achètent un service de détection des failles mais aussi un une formation continue pour que leurs développeurs fassent moins d’erreur ».
Car ce sont bien eux les interlocuteurs privilégiés de Yogosha : « Nous parlons aux RSSI (Responsables de la Sécurité des Systèmes d’Information) et aux grosses startups ».
Les enjeux de la cybersécurité n’atteignent pas les conseils exécutifs, qui ont été biberonnés à Sciences Po et HEC.
Selon lui, les dirigeants ont tendance à considérer le sujet comme un problème informatique. « Les enjeux géopolitiques les dépassent complètement ».
Talk HCFDC avec Nicolas Arpagian, Gérôme Billois et Fabrice Epelboin
« Nous voulons constituer une communauté internationale, uniformément répartie. Ça en prend la direction… » L’effet de « club privé » auquel il faut être admis crée un prestige autour de Yogosha, qui séduit ainsi les entreprises du CAC40. « Nous sommes carrés, ça fonctionne ».
Incubées à Station F, les équipes ont bouclé une levée de fonds d’1,2 million d’euros début septembre 2017.
Commentaires