

Un paiement à la faille découverte
Une sélection rigoureuse des chercheurs à l’entrée
Des standards de marché pour calculer le prix des failles
Définissez votre cible
Déterminez votre budget
Evaluez le prix de vos failles
Validez et payez les rapports proposés par nos chercheurs
Les données que vous saisissez sont destinées à permettre à la Société YOGOSHA de vous recontacter à des fins d’information ou d’offres de services, elles sont destinées aux services concernés de la Société YOGOSHA. Elles sont conservées pendant le temps nécessaire à la gestion de la relation commerciale et dans le cadre d’une relation précontractuelle conformément à l’article 6 du RGPD. Cependant, toutes données permettant d’établir la preuve d’un droit ou d’un contrat, ou conservées au titre du respect d’une obligation légale ou règlementaire, peuvent faire l’objet d’une politique d’archivage, et être conservées à cette fin conformément aux dispositions en vigueur (délais de prescription, obligations légales de conservation, etc.).
La Société YOGOSHA ne transmet pas ces données à des tiers et les données collectées demeurent dans l’Union Européenne.
Vous disposez d’un droit d’accès, de rectification ou d’effacement des données à caractère personnel vous concernant. Vous pouvez exercer ce droit en écrivant à ou à l’adresse de la Société YOGOSHA, 47, rue Marcel Dassault 92514 Boulogne Billancourt – adresse électronique : [email protected] Conformément à la loi, vous disposez du droit légal d'introduire toute réclamation auprès d'une autorité de contrôle https://www.cnil.fr/fr.
Le premier avantage évident est le ROI d’un Bug Bounty : contrairement à d’autres approches de la cybersécurité, vous ne payez que pour des failles de sécurité avérées et identifiées, et non pour le temps ou les technologies mises en œuvre pour les trouver.
Par rapport à d’anciennes approches de la détection de vulnérabilité, le Bug Bounty présente l’avantage de vous permettre d’interagir en continue et en temps réel avec le chercheur qui a découvert une faille en particulier, en outre, un Bug Bounty est pensé pour être une démarche continue dans le temps et non pas une opération ponctuelle, ce qui ne laisse pas “d’angle mort” entre deux audits.
Enfin, un Bug Bounty vous permet de benchmarker vos prestataires en matière de sécurité informatique, de faire un bilan et un monitoring permanent de vos technologies et d’intégrer les tests d’intrusion au plus près de vos cycles de production, même si vous avez mis en place une démarche agile.
N’hésitez pas à nous laisser vos coordonnées si vous souhaitez plus d’informations.
Après avoir ouvert un compte sur la plateforme, vous devrez décrire la mission que vous confiez à la communauté de chercheurs Yogosha à l’aide d’un formulaire approprié.Vous pouvez ensuite choisir d’ouvrir votre Bug Bounty à l’ensemble des chercheurs inscrits sur la plateforme, ou de n’en sélectionner que quelques-un dont les profils sont plus adaptés à la technologie que vous souhaitez auditer. Yogosha peut vous accompagner durant cette phase initiale de votre Bug Bounty.
Une fois lancé, vous pourrez consulter les rapports fournis par nos chercheurs dans une interface sécurisée et les exporter, vous pourrez également interagir avec chaque auteur d’un rapport afin d’obtenir des éclaircissements et payez les rapports validés en un clic.
Vous aurez également accès à un tableau de bord vous permettant d’avoir une vue d’ensemble sur votre Bug Bounty ce qui vous donnera de précieux renseignements sur le niveau de sécurisation de la technologie ainsi auditée et vous permettra de donner un feedback utile à vos équipes ou vos sous traitants.
Les membres de la communauté Yogosha sont sélectionnés à travers un processus relativement long et méticuleux. Ils sont tout d’abord identifiés par le réseau d’ambassadeurs Yogosha et doivent être cautionnés par l’un d’entre eux. Leurs publications, certifications et diplômes sont ensuite passés en revue par Yogosha, ainsi que leurs éventuels classements sur d’autres plateformes de Bug Bounty.
S’ils passent cette étape, ils font l’objet d’un entretien avec l’équipe Yogosha afin d’évaluer leurs motivations et leur adéquation avec les valeurs portées par la plateforme. Ceux qui passent avec succès ces différentes étapes sont ensuite invités sur la plateforme.
Tous les chercheurs qui travaillent sur la plateforme Yogosha sont identifiés et leurs actions sont loguées. Ce sont tous des professionnels de la sécurité informatique.
Dans le cas où deux chercheurs trouveraient la même faille, seul le premier à la rapporter serait payé, le second ne gagnera que des « kudos ». C’est la règle dite du « duplicate » dans les Bug Bounty.
Le CVSS est un standard de marché qui permet d’évaluer de façon objective et rationnelle la criticité d’une faille de sécurité. Chaque rapport de faille déposé par l’un de nos chercheurs est systématiquement accompagné d’une évaluation de sa criticité selon le standard CVSS, que l’entreprise peut consulter et éventuellement amender, de façon à obtenir un consensus sur la gravité de la vulnérabilité découverte.
Nous avons mis au point une matrice de calcul destiné à évaluer un prix pour chaque criticité de vulnérabilité en se basant sur trois dimensions différentes. Les antécédents en termes d’audit de sécurité (pentest, scan, bug bounty) sont pris en compte et impactent le prix, l’appréciation du risque par le client (confiance, urgence et criticité de la solution testée) influent également sur le prix, ainsi que, pour finir, l’environnement et l’applicatif testé (périmètre, nombre d’utilisateurs, ect). Une formule claire et transparente permet aux clients d’obtenir un prix suggéré pour leurs failles, qu’ils sont libres d’appliquer ou pas.
Notre équipe est à votre service pour travailler avec vous sur votre premier programme de Bug Bounty et en estimer le coût, rencontrons-nous !
Nous déployons des efforts considérables pour améliorer en continu la sécurité de notre plateforme. En plus des démarches habituelles, nous avons mis en place un programme de Bug Bounty portant sur notre infrastructure et nous nous appuyons sur notre communauté pour sécuriser nos assets. Nous appliquons à nous-même ce que nous prêchons auprès de nos clients, et nous restons humbles car le risque zéro n’existe jamais.