Fondateur et PDG de la plateforme YesWeHack, Guillaume Vassault-Houlière estime crucial de développer une filière industrielle compétitive de cybersécurité à l’échelle européenne. Entretien.
Vous avez largement contribué à populariser la sécurité crowdsourcée et le hacking éthique en France. Comment la communauté de hackers éthiques peut-elle contribuer à la cybersécurité collective ?
Tout d’abord, il est important de démystifier la notion de hacker et en particulier celle de hacker éthique : ce sont des experts qui aiment tester les systèmes informatiques, comprendre les problèmes et signaler les failles afin d’améliorer la sécurité d’un site internet, d’une URL, des adresses IP, mais aussi des logiciels.
La sécurité crowdsourcée, dont le bug bounty est l’une des expressions la plus courante dans le domaine de la cybersécurité, est un concept simple : il s’agit de fédérer des talents et d’utiliser l’intelligence collective de la communauté de hackers éthiques pour trouver des failles dans les systèmes d’informations des entreprises, des ministères, des ONG – de tout l’écosystème numérique, à leur demande. Seule la première personne à trouver une faille dans un système d’information reçoit une récompense. Les hackers peuvent gagner 50 euros pour une petite vulnérabilité, et jusqu’à 230 000 euros pour les plus critiques.
Aujourd’hui, en tant que leader européen des plateformes de bug bounty, YesWeHack dispose d’une communauté de plus de 40.000 hackers éthiques, répartis dans plus de 170 pays. Notre rôle de tiers de confiance est fondamental dans la chaîne de valeur de la cybersécurité de nos clients. En fédérant cette communauté, nous sommes en mesure d’augmenter leur force de frappe, d’intensifier leur course à la recherche et à la correction de vulnérabilités informatiques et ainsi de réduire leur exposition au cyber risque.
Comment favoriser le développement d’une offre cyber souveraine et indépendante en Europe ? Quelle valeur ajoutée représentent les solutions européennes pour les utilisateurs ?
Sans compétitivité de l’industrie cyber européenne, le débat sur la souveraineté continuera d’être un frein pour les PME innovantes. Il ne faut pas penser que « souverain » doit être synonyme d’une solution de cybersécurité nationale. Je pense qu’il faut dépasser la vision protectrice par celle de compétitivité industrielle. Pour YesWeHack, la souveraineté française ne s’entend qu’en harmonie avec une souveraineté européenne qui est souvent liée à des enjeux (géo)politiques. Pour garantir l’indépendance de choix entre les solutions américaines ou chinoises, il est important de réduire les barrières économiques et règlementaires pour permettre aux entreprises européennes innovantes de se développer à l’échelle internationale.
Trois leviers sont cruciaux dans la construction d’une véritable filière industrielle compétitive : une commande publique qui soutient des solutions européennes, des investissements privés dans la phase de croissance des entreprises et un narratif commercial (stratégie marketing) qui promeut les valeurs européennes.
L’Europe a une occasion unique de valoriser l’industrie européenne par la mise en place du Règlement eIDAS et de la nouvelle directive NIS (Network and Information Security) pour exiger que les infrastructures critiques utilisent une technologie européenne de confiance. Il convient de veiller à ce que les autres initiatives législatives nationales et européennes dans ce domaine restent cohérentes et se renforcent mutuellement, afin d’éviter la dispersion des capacités, de manière à permettre l’émergence d’un modèle économique acceptable pour une majorité d’acteurs européens et pour les citoyens eux-mêmes. Pour ce faire, le secteur de la cybersécurité doit élaborer une feuille de route concrète, indiquant des objectifs précis et les moyens de les atteindre et détaillant les actions opérationnelles à mener par les différents acteurs ainsi que leurs sources de financement.
YesWeHack développe des solutions de cybersécurité qui favorisent les valeurs européennes pour un cyberespace plus sûr pour tous. En particulier, nous croyons que le respect de la vie privée des citoyens et donc des règles GDPR, la traçabilité des flux financiers et le respect de la réglementation en matière de lutte contre le terrorisme et le blanchiment d’argent, la confiance dans le stockage et l’intégrité de la donnée, sont des prérequis pour toute solution se disant de confiance.
Le label « Cybersecurity Made in Europe » est un bon point de départ pour donner plus de visibilité à ces valeurs, mais il est nécessaire de développer un discours collectif sur la nécessité d’acheter et de faire confiance aux produits européens.
L’Union Européenne a approuvé récemment le projet de révision de la Directive « Network and Information Security » et travaille en ce moment sur le « Cyber Resilience Act » : comment percevez-vous le cadre réglementaire et l’action des pouvoirs publics européens ?
Certes, nous constatons une prise de conscience des pouvoirs publics et depuis quelques années un projet de règlementation est en cours au niveau européen. Cependant, le chemin à parcourir est encore long. YesWeHack était favorable à la mise à jour de la directive NIS sur la sécurité des réseaux et de l’information adoptée en 2016 et qui a été annoncée lors de la Présidence française du Conseil de l’Union européenne. Cette nouvelle version de la directive NIS vise à couvrir de nouveaux secteurs et à renforcer les exigences de sécurité en imposant une approche de gestion des risques. En particulier, les nouvelles dispositions (art. 28-29 de la proposition de la directive NIS) encadrent la gestion et la divulgation des vulnérabilités par le fabricant ou le fournisseur de produits ou de services TIC. En effet, ils sont invités à mettre en place une Politique de divulgation de vulnérabilités (VDP), c’est-à-dire un canal de communication permettant à la communauté de chercheurs de signaler des problèmes de sécurité et des vulnérabilités de manière sécurisée.
De plus, les Etats Membres et les institutions européennes sont invités à une majeure coordination et l’ENISA devrait jouer un rôle important de collaboration avec les CSIRTs (Computer emergency response team) nationaux.
Cependant, nous nous apprêtons à voir émerger des milliards d’objets connectés, et le périmètre d’attaque pour les acteurs malveillants va devenir de plus en plus large. Il est donc nécessaire de promouvoir l’adoption des bonnes pratiques liées à la politique de divulgation des vulnérabilités ainsi que d’autres textes comme le Cyber Resilience Act.
Une puissance technologique ne peut pas s’appuyer seulement sur le pouvoir règlementaire, mais doit également montrer l’exemple par des actions concrètes de commande publique et jouer un rôle modèle pour le secteur privé, comme le font les Etats-Unis avec des programmes obligatoires de recherche de vulnérabilité comme le Hack DHS.
À cet effet, nous soutenons l’initiative de certains députés européens et de nos confrères de la tech française en faveur de la création d’un « Buy European Tech Act », afin que chaque État membre réserve une part de ses marchés publics aux entreprises européennes. Sur cette même logique, nous soutenons les initiatives de l’Institut Choiseul en faveur d’une souveraineté numérique.
Quel rôle peuvent jouer les politiques de vulnerability disclosure pour garantir la transparence des technologies utilisées par les citoyens et entreprises ?
Alors que la transformation numérique gagne du terrain dans les organisations, la sécurité crowdsourcée est le modèle le plus efficace pour garantir la sécurité de ces environnements hybrides.
Construire une communauté et une technologie toujours plus robustes pour soutenir le développement de nos clients reste notre priorité. La sécurité crowdsourcée est devenue le nouveau standard en matière de cybersécurité. L’union fait la force et le modèle de YesWeHack présente une excellente résilience opérationnelle grâce à la diversité de notre communauté, capable de communiquer dans de nombreuses langues et de se confronter aux technologies les plus diverses.
Ainsi, la cybersécurité collective permet aux utilisateurs finaux d’adapter leur posture cyber à l’informatique moderne. Quel que soit le défi technique, les hackers éthiques repousseront les menaces.
Les politiques de vulnerability disclosure sont centrales pour favoriser la confiance dans les systèmes d’information et dans les technologies futures : du développement des cartes d’identité électroniques au vote électronique en passant par les objets connectés, le bug bounty et les politiques de divulgation de vulnérabilités ont prouvé leur utilité pour garantir la confiance et la transparence des technologies utilisées par les citoyens, comme par exemple le travail effectué avec Stopcovid.
Tout outil commercialisé auprès du grand public, y compris les voitures, devrait disposer d’un outil de signalement de ses vulnérabilités afin d’éviter toute utilisation malveillante. Autre exemple : la Direction interministérielle du numérique de l’État et sa messagerie Tchap a lancé un programme public de bug bounty sur la plateforme YesWeHack. Ainsi, les chercheurs du monde entier peuvent chercher et signaler des bugs sur le système de cette messagerie. D’autres administrations publiques en France et à l’étranger, comme le nouveau ministère de la cybersécurité au Québec, ont également intégré le dispositif du bug bounty dans leur stratégie cyber.
La formation publique et privée en matière de développement et de cybersécurité s’est-elle développée ces dernières années ? Comment augmenter l’attractivité de la filière et assurer une formation à ces nouveaux enjeux pour les jeunes générations ?
Rappelons que « YesWeHack » a commencé par être un job-board avant de fédérer les énergies de la communauté. Par nature, nous avons à cœur les enjeux de formation et de professionnalisation des experts de la cybersécurité. C’est notamment pour cela que nous avons créé en 2020 YesWeHack EDU, une plateforme de formation au Bug Bounty pour les institutions éducatives. Mais aujourd’hui, le principal défi est de créer un écosystème européen capable de conserver (ou de faire revenir) les talents formés en Europe.
Les dernières statistiques sur l’évolution du marché du travail de la cybersécurité publiées par l’ENISA font état d’un besoin de 160.000 experts en Europe. Cette situation de pénurie de talents n’est pas spécifique à l’Europe : d’autres marchés, aux États-Unis ou en Asie, sont confrontés à la même situation. Nous pensons qu’il faut une réponse globale, élaborée par les autorités publiques en coopération avec le secteur privé et une vision à long terme pour créer des parcours de formation qui incluent la formation initiale et la formation continue, afin de couvrir toute la chaine de valeur (des profils moins spécialistes aux plus techniques et spécialistes). Enfin, nous pensons que les métiers de la cybersécurité doivent être connus et accessibles à de plus en plus de femmes. Ainsi YesWeHack est fier d’être un partenaire du programme de mentorat Woman4Cyber pour des jeunes femmes qui souhaitent se lancer dans une carrière dans la cybersécurité.