Recevez en avant-première les actualités Yogosha
Un paiement à la faille découverte
Une sélection rigoureuse des chercheurs à l’entrée
Des standards de marché pour calculer le prix des failles
« Grâce à la pédagogie des chercheurs de Yogosha et la qualité de leurs rapports, toute notre équipe a compris concrètement les enjeux de la cybersécurité. »
« Nous utilisons les rapports remontés par Yogosha comme un avantage compétitif. Nous n’hésitons pas à les présenter à nos clients. »
Définissez votre cible
Déterminez votre budget
Evaluez le prix de vos failles
Validez et payez les rapports proposés par nos chercheurs
Yogosha vous accompagne afin de vous aider définir la fourchette de prix les plus adaptée à vos Bug Bounty. Notre matrice de calcul exclusive prend en compte votre historique en matière de cyber sécurité, votre perception du risque ainsi que la criticité du périmètre testé.
Yogosha a été la première plateforme au monde à mettre au point un widget CVSS permettant de calculer, du côté du chercheur comme du côté du client, la sévérité d’une faille. Cette approche permet de partir d’une base rationnelle et objective pour déterminer le prix d’une faille à partir de la fourchette de prix préalablement établie par le client.
Un Bug Bounty parfaitement cadré
Yogosha accompagne ses clients afin de définir une mission de Bug Bounty parfaitement en phase avec leurs attentes et les objectifs définis en amont.
Les règles, la ou les cibles et les récompenses sont clairement affichées sous la forme d’un véritable contrat qui lie les chercheurs et l’entreprise qui fait appel à eux via la plateforme Yogosha.
Des rapports de failles clairs et intelligibles
Rédigés par des chercheurs en sécurité qui veulent partager leurs connaissances, les rapports de faille Yogosha sont clairs et intelligibles.
Ils sont directement utilisables afin de corriger une faille identifiée, et ainsi renforcer sa cybersécurité.
Une formation concrète à la cybersécurité
Chaque rapport de faille Yogosha est accompagné d’un “proof of concept”, qui montre pas à pas la façon dont la faille identifiée par le chercheur peut être exploitée et permet aux développeurs d’apprendre sur la base d’un exemple concret.
Des standards de marché
pour fluidifier les échanges
Le CVSS, système d’évaluation standardisé, permet d’approcher de façon rationnelle la sévérité d’une faille de sécurité.
Chaque chercheur utilise un widget CVSS permettant de donner un scoring à la faille qu’il dépose sur la plateforme, le client a lui la possibilité de redéfinir l’évaluation CVSS en prenant en compte des éléments de contexte qui peuvent échapper au chercheur, et établir ainsi un dialogue pragmatique. Le score CVSS final permet d’établir le prix de chaque vulnérabilité.
Un aperçu rapide des failles à corriger
L’interface de gestion des rapports de failles entrants permet de trier et de classer les rapports selon une multitude de critères tels que leur sévérité, leur coût potentiel, ou la typologie de la faille identifiée.
Il est ainsi plus aisé de déterminer les priorités et la façon de répartir le travail au sein d’une équipe informatique.
Surveiller les KPI de vos Bug Bounties devient facile
Le dashboard Yogosha permet de suivre les principaux KPI d’un Bug Bounty, on y retrouve l’évolution du nombre de faille découvertes dans le temps, le suivi des sommes payées aux chercheurs, la répartition des criticités des vulnérabilités ainsi que de leur typologie.
Ces éléments sont pensés pour être facilement exportables afin de s’intégrer dans des rapports internes ou à destination des clients de l’entreprise.
Une plateforme qui s’adapte à votre organisation
Quelle que soit la taille de votre équipe IT et de votre équipe infosec, Yogosha est pensé pour s’adapter à toutes les configurations et toutes les entreprises, en permettant à chaque membre de votre équipe de trouver sa place dans l’utilisation d’un Bug Bounty.
Un Bug Bounty qui colle avec la réalité de terrain
Trois rôles se distinguent dans les équipes qui opèrent un Bug Bounty au sein d’une organisation.
Le Bug Bounty Manager en est l’administrateur et a accès à tous les paramétrages possibles, le Security Analyst gère les rapports de faille, l’assessment des vulnérabilités ainsi que celui des chercheurs, le Dev lui peut consulter les rapports de faille et échanger avec les chercheurs pour obtenir des précisions.
Des chercheurs en sécurité connus et reconnus
Les chercheurs en sécurité travaillant sur la plateforme Yogosha sont parfaitement identifiés, tant en ce qui concerne leur état civil que leurs compétences.
Venus des quatre coins du monde, ils ont été sélectionnés pour leurs compétences, leur diversité, leur créativité, leur sens de la relation clientèle et leur volonté de partager leurs connaissances.
Le premier avantage évident est le ROI d’un Bug Bounty : contrairement à d’autres approches de la cybersécurité, vous ne payez que pour des failles de sécurité avérées et identifiées, et non pour le temps ou les technologies mises en œuvre pour les trouver.
Par rapport à d’anciennes approches de la détection de vulnérabilité, le Bug Bounty présente l’avantage de vous permettre d’interagir en continue et en temps réel avec le chercheur qui a découvert une faille en particulier, en outre, un Bug Bounty est pensé pour être une démarche continue dans le temps et non pas une opération ponctuelle, ce qui ne laisse pas “d’angle mort” entre deux audits.
Enfin, un Bug Bounty vous permet de benchmarker vos prestataires en matière de sécurité informatique, de faire un bilan et un monitoring permanent de vos technologies et d’intégrer les tests d’intrusion au plus près de vos cycles de production, même si vous avez mis en place une démarche agile.
N’hésitez pas à nous laisser vos coordonnées si vous souhaitez plus d’informations.
Après avoir ouvert un compte sur la plateforme, vous devrez décrire la mission que vous confiez à la communauté de chercheurs Yogosha à l’aide d’un formulaire approprié.Vous pouvez ensuite choisir d’ouvrir votre Bug Bounty à l’ensemble des chercheurs inscrits sur la plateforme, ou de n’en sélectionner que quelques-un dont les profils sont plus adaptés à la technologie que vous souhaitez auditer. Yogosha peut vous accompagner durant cette phase initiale de votre Bug Bounty.
Une fois lancé, vous pourrez consulter les rapports fournis par nos chercheurs dans une interface sécurisée et les exporter, vous pourrez également interagir avec chaque auteur d’un rapport afin d’obtenir des éclaircissements et payez les rapports validés en un clic.
Vous aurez également accès à un tableau de bord vous permettant d’avoir une vue d’ensemble sur votre Bug Bounty ce qui vous donnera de précieux renseignements sur le niveau de sécurisation de la technologie ainsi auditée et vous permettra de donner un feedback utile à vos équipes ou vos sous traitants.
Les membres de la communauté Yogosha sont sélectionnés à travers un processus relativement long et méticuleux. Ils sont tout d’abord identifiés par le réseau d’ambassadeurs Yogosha et doivent être cautionnés par l’un d’entre eux. Leurs publications, certifications et diplômes sont ensuite passés en revue par Yogosha, ainsi que leurs éventuels classements sur d’autres plateformes de Bug Bounty.
S’ils passent cette étape, ils font l’objet d’un entretien avec l’équipe Yogosha afin d’évaluer leurs motivations et leur adéquation avec les valeurs portées par la plateforme. Ceux qui passent avec succès ces différentes étapes sont ensuite invités sur la plateforme.
Tous les chercheurs qui travaillent sur la plateforme Yogosha sont identifiés et leurs actions sont loguées. Ce sont tous des professionnels de la sécurité informatique.
Dans le cas où deux chercheurs trouveraient la même faille, seul le premier à la rapporter serait payé, le second ne gagnera que des « kudos ». C’est la règle dite du « duplicate » dans les Bug Bounty.
Le CVSS est un standard de marché qui permet d’évaluer de façon objective et rationnelle la criticité d’une faille de sécurité. Chaque rapport de faille déposé par l’un de nos chercheurs est systématiquement accompagné d’une évaluation de sa criticité selon le standard CVSS, que l’entreprise peut consulter et éventuellement amender, de façon à obtenir un consensus sur la gravité de la vulnérabilité découverte.
Nous avons mis au point une matrice de calcul destiné à évaluer un prix pour chaque criticité de vulnérabilité en se basant sur trois dimensions différentes. Les antécédents en termes d’audit de sécurité (pentest, scan, bug bounty) sont pris en compte et impactent le prix, l’appréciation du risque par le client (confiance, urgence et criticité de la solution testée) influent également sur le prix, ainsi que, pour finir, l’environnement et l’applicatif testé (périmètre, nombre d’utilisateurs, ect). Une formule claire et transparente permet aux clients d’obtenir un prix suggéré pour leurs failles, qu’ils sont libres d’appliquer ou pas.
Notre équipe est à votre service pour travailler avec vous sur votre premier programme de Bug Bounty et en estimer le coût, rencontrons-nous !
Nous déployons des efforts considérables pour améliorer en continu la sécurité de notre plateforme. En plus des démarches habituelles, nous avons mis en place un programme de Bug Bounty portant sur notre infrastructure et nous nous appuyons sur notre communauté pour sécuriser nos assets. Nous appliquons à nous-même ce que nous prêchons auprès de nos clients, et nous restons humbles car le risque zéro n’existe jamais.
Lorem ipsum dolor sit amet, consectetur adipiscing elit. Pellentesque eget porttitor tortor. Donec condimentum blandit tellus in facilisis. Nunc sit amet nibh elementum, eleifend sapien in, rutrum enim.
Morbi suscipit tempor sollicitudin. Nunc vitae auctor sapien, vel tristique dui. Maecenas a dictum purus. Praesent eget sollicitudin orci.
Aliquam erat volutpat. Praesent quis viverra risus. Ut id mauris quis neque condimentum elementum eleifend ut ante.
Lorem ipsum dolor sit amet, consectetur adipiscing elit. Pellentesque eget porttitor tortor. Donec condimentum blandit tellus in facilisis. Nunc sit amet nibh elementum, eleifend sapien in, rutrum enim.
Morbi suscipit tempor sollicitudin. Nunc vitae auctor sapien, vel tristique dui. Maecenas a dictum purus. Praesent eget sollicitudin orci.
Aliquam erat volutpat. Praesent quis viverra risus. Ut id mauris quis neque condimentum elementum eleifend ut ante.
Lorem ipsum dolor sit amet, consectetur adipiscing elit. Pellentesque eget porttitor tortor. Donec condimentum blandit tellus in facilisis. Nunc sit amet nibh elementum, eleifend sapien in, rutrum enim.
Morbi suscipit tempor sollicitudin. Nunc vitae auctor sapien, vel tristique dui. Maecenas a dictum purus. Praesent eget sollicitudin orci.
Aliquam erat volutpat. Praesent quis viverra risus. Ut id mauris quis neque condimentum elementum eleifend ut ante.