YesWeHack étend son positionnement au-delà du bug bounty et lance deux nouvelles offres de test d’intrusion, le Pentest Autonome et le Pentest Continu, pour couvrir l’intégralité de la gestion de l’exposition aux risques cyber. La plateforme réunit désormais quatre modalités complémentaires, bug bounty, politique de divulgation des vulnérabilités, pentest autonome et pentest continu, dans une interface unifiée de pilotage de la sécurité offensive.
La surface d’attaque des organisations a profondément changé de nature au cours des cinq dernières années. La prolifération des API, la généralisation des architectures cloud hybrides, l’intégration de composants tiers et l’accélération des cycles de développement ont rendu obsolètes les approches de test fondées sur des audits ponctuels annuels ou semestriels. Une vulnérabilité introduite lors d’un déploiement en production un mardi matin peut rester non détectée pendant des mois si l’organisation ne dispose pas de mécanismes de détection en continu. C’est ce fossé que YesWeHack cherche à combler avec son nouveau positionnement.
L’entreprise, fondée il y a dix ans et positionnée comme le principal opérateur européen de bug bounty, a construit sa réputation sur la mobilisation d’une communauté de chercheurs en sécurité rémunérés à la découverte de vulnérabilités. Cette approche repose sur l’intelligence collective et produit des résultats de haute qualité, mais elle ne couvre pas les besoins de test systématique et continu sur l’ensemble des actifs exposés. Les deux nouvelles offres sont conçues pour occuper ce terrain.
Cartographier et tester de façon automatisée
Le Pentest Autonome repose sur une approche automatisée de découverte et de validation continue de l’exposition. Il produit une cartographie dynamique des actifs exposés et teste en continu les vulnérabilités les plus exploitées par les attaquants, sans intervention humaine systématique à chaque cycle. Pour un DSI qui gère un périmètre large et en évolution rapide (plusieurs centaines de domaines, des dizaines d’applications en production, des environnements de développement connectés), cette capacité de couverture automatisée à grande échelle répond à un besoin que ni le pentest manuel ponctuel ni le bug bounty ne peuvent satisfaire seuls.
L’intégration native dans la plateforme YesWeHack signifie que les vulnérabilités détectées par le Pentest Autonome remontent dans le même environnement de gestion que celles identifiées par les chercheurs du programme de bug bounty. Le RSSI dispose ainsi d’une vue consolidée des risques, priorisée par criticité, sans avoir à agréger des données provenant de plusieurs outils distincts. C’est sur ce point de convergence que repose l’essentiel de la valeur opérationnelle de l’offre pour les équipes SecOps.
Combler la faille entre audit ponctuel et bug bounty permanent
Le Pentest Continu occupe une position différente dans le dispositif. Là où le Pentest Autonome mise sur l’automatisation et la couverture, le Pentest Continu mobilise des experts humains dans une logique d’audit agile et récurrent, avec une garantie explicite de zéro faux positif. Cette garantie est structurellement importante : les faux positifs représentent une charge opérationnelle significative pour les équipes de sécurité, qui doivent qualifier chaque alerte avant d’engager des ressources de remédiation.
Le positionnement de cette offre vise les organisations qui ont besoin de maintenir une conformité documentée en continu, notamment au regard de NIS2 et de DORA, qui imposent des obligations de test de sécurité réguliers pour les entités essentielles et importantes. Un pentest annuel ou semestriel ne suffit plus à étayer la conformité dans un environnement réglementaire qui exige une démonstration de maîtrise des risques en temps réel. Le Pentest Continu est conçu pour produire cette documentation de conformité de façon systématique, sans les délais et les coûts fixes d’un audit traditionnel.
YesWeHack sur le segment de la gestion de l’exposition
Le regroupement du bug bounty, de la politique de divulgation des vulnérabilités, du Pentest Autonome et du Pentest Continu dans une interface unique modifie le positionnement concurrentiel de YesWeHack. L’entreprise se présente désormais comme un fournisseur de plateforme de sécurité offensive et de gestion de l’exposition, un segment que les analystes regroupent sous l’acronyme CTEM (Continuous Threat Exposure Management). Ce repositionnement la met en concurrence directe avec des éditeurs comme Tenable, Rapid7 ou Synack, qui opèrent sur ce marché depuis plusieurs années.
« Nous faisons évoluer notre approche vers une stratégie plus globale et centrale pour nos clients. La passion et l’exigence de YesWeHack alimentent la sécurité proactive de demain grâce à une plateforme unifiée de sécurité offensive et de gestion de l’exposition », déclare Guillaume Vassault-Houlière, directeur général et cofondateur de YesWeHack. L’ancrage européen de la plateforme constitue un argument différenciant sur un marché dominé par des acteurs américains : pour les organisations soumises au RGPD et aux cadres réglementaires sectoriels européens, confier la gestion de leur exposition cyber à un opérateur de droit européen réduit les tensions juridiques liées à la nature des données traitées dans le cadre des programmes de test.
