YesWeHack, spécialiste français du Bug Bounty, a été choisi par la Commission européenne pour encadrer et renforcer ses programmes de cybersécurité. Ce partenariat s’inscrit dans une démarche de protection des logiciels open source utilisés au sein des institutions de l’Union.
Les choses vont vite pour YesWeHack. Après avoir obtenu le statut d’autorité de numérotation CVE et bouclé la première acquisition de son histoire avec le rachat de Sekost, l’entreprise française va désormais prendre en charge des programmes de Bug Bounty de la Commission européenne.
Les deux partenaires ont signé un contrat-cadre de quatre ans, dont le montant pourra atteindre 7,6 millions d’euros. L’Union européenne déploie des programmes de Bug Bounty depuis 2019 afin de renforcer la sécurité des logiciels open source utilisés dans ses systèmes. Dans l’optique de renforcer cette initiative, elle a lancé un appel d’offres plus tôt cette année, remporté par YesWeHack.
Déjà plusieurs programmes publics
YesWeHack travaillera avec la Direction générale de l’informatique (DIGIT) pour organiser plusieurs programmes de Bug Bounty et mettre en place des politiques de divulgation de vulnérabilités. Les actifs numériques et technologies open source employés par les institutions européennes seront passés au crible, évalués, validés et, le cas échéant, corrigés.
YesWeHack n’est pas étranger au monde de l’open source et couvre déjà plusieurs programmes publics, notamment ceux de l’Agence allemande pour les technologies souveraines. Parmi eux figurent des projets liés à Log4j, responsable de l’une des failles critiques les plus tristement célèbres : Log4Shell.
