L’année 2020 semble marquer un tournant historique sur le marché du hacking éthique en France. Longtemps boudée par les RSSI, l’approche crowdsourcée de la sécurité a connu cette année un véritable boom.

Par Guillaume Vassault-Houlière, CEO de YesWeHack

Preuve que le Bug Bounty s’impose désormais comme le nouveau standard dans les stratégies de sécurité des entreprises, le nombre de programmes de Bug Bounty lancés par la plateforme YesWeHack a plus que doublé entre 2019 et 2020.
Si la crise sanitaire et les chamboulements qu’elle a entraînés dans nos usages numériques ont certainement contribué à cet engouement, les efforts pédagogiques prodigués par les acteurs du Bug Bounty depuis des années ont aussi permis de faire évoluer les mentalités.
Alors de méfiance à confiance, comment le marché du Bug Bounty est-il parvenu à (enfin) atteindre sa maturité cette année en France ?

Quand l’audit fait place à l’agilité

En 2019, 67% des entreprises françaises ont été victimes de cyberattaques. Parmi elles, seules 10% étaient en capacité d’y faire face.
Un constat alarmant qui a toutefois entraîné une réelle prise de conscience sur l’enjeu de la cybersécurité dans la survie économique des entreprises. Car les conséquences d’une cyberattaque peuvent s’avérer désastreuses et, dans certains cas, conduire à la faillite de l’entreprise touchée.
L’exemple du groupe Sopra Steria, victime le 20 octobre dernier d’une cyberattaque, montre bien l’impact que l’exploitation d’une vulnérabilité peut avoir sur une entreprise. Le groupe estime que cette attaque devrait entraîner une perte de 40 à 50 millions d’euros sur la marge opérationnelle.

Signe d’une maturation croissante, les entreprises se réorganisent et montent au front pour se prémunir d’éventuelles cyberattaques. Longtemps sceptiques, les RSSI semblent considérer le Bug Bounty comme un outil indispensable et l’inscrivent désormais au cœur de leurs stratégies de sécurité.
Les Assises de la Cybersécurité de Monaco en octobre dernier, ont confirmé l’intérêt croissant des RSSI pour l’approche crowdsourcée de la sécurité, plus efficace, plus agile et plus performante que les historiques audits.
Ainsi, ils ne s’interrogent désormais donc plus sur ce qu’est le Bug Bounty, ni sur ce que cela pourrait leur apporter mais sur comment et quand le mettre en place.

Un changement de perception des hackers éthiques

Si le Bug Bounty connaît aujourd’hui un succès croissant, il a pourtant mis du temps à trouver sa place au cœur des stratégies de défense des entreprises. Et pour cause, perçu comme une « menace », le hacker a longtemps été l’objet de tous les fantasmes.
Héro invisible ou combattant diabolique, son prétendu « anonymat » fait peur et cristallise les esprits depuis des décennies.

Mais les mentalités évoluent et les RSSI voient désormais les hackers éthiques comme des alliés indispensables dans l’accomplissement de leurs missions. Experts dans les techniques d’intrusion, ces derniers constituent des partenaires irremplaçables, garant de la sécurité de l’entreprise.
Ainsi, petit à petit, la communauté des hackers éthiques est identifiée comme un groupe composé de passionnés d’informatique et de cybersécurité, capables de repérer des failles très critiques sur des systèmes sophistiqués et cela, dans un temps réduit. En contribuant à faire progressivement évoluer ces perceptions, les acteurs du Bug Bounty sont parvenus à démontrer les nombreux avantages de la sécurité crowdsourcée pour l’entreprise, jusqu’à en faire un sujet incontournable pour les RSSI.

La crise de la Covid-19 : accélérateur de croissance du Bug Bounty

La pandémie mondiale a, elle aussi, accéléré de manière exponentielle la croissance du Bug Bounty en France. Et pour cause. Face à la crise, tous les secteurs d’activités ont dû se réinventer. Cette adaptation s’est principalement traduite par la digitalisation des activités, tous secteurs confondus : téléconsultations médicales, télétravail, téléconférences, e-commerce, etc.
Mais se numériser de manière si intense et rapide sur Internet n’est pas sans risque pour les entreprises. Les RSSI en sont conscients et les cyberattaquants ont su, eux aussi, se saisir de ces nouvelles adaptations. Pour preuve, en septembre dernier, l’Agence Nationale de la Sécurité des Système d’Information (ANSSI) alertait sur le fait que le nombre de cyberattaques avait doublé entre 2019 et 2020.
Face à ce constat, les RSSI ont dû s’interroger sur la meilleure manière de sécuriser leurs actifs numériques, de manière simple, rapide et surtout agile. Le Bug Bounty s’est alors imposé comme la réponse adaptée à ces problématiques.

S’appuyant sur une vaste communauté de hackers et offrant une surveillance continue, la sécurité crowdsourcée se place désormais au cœur des stratégies de défense des entreprises. Capable de réduire l’écart entre l’explosion du numérique et l’insuffisance des approches traditionnelles, le Bug Bounty offre une solution agile, efficace et simple à mettre en place par les RSSI. L’année 2020 marque ainsi un tournant radical pour le marché du hacking éthique qui devrait continuer d’exploser dans les 5 ans à venir.