Interview de Pierre Queinnec, CEO de Jenji

16/01/20
Interviews
Interview de Pierre Queinnec, CEO de Jenji
Bonjour Pierre, pouvez-vous nous présenter Jenji et ses enjeux sécurité ?

Jenji est un éditeur de logiciel aidant les entreprises à piloter et optimiser la gestion de leurs dépenses professionnelles (notes de frais, indemnités kilométriques et forfaitaires, etc). En tant que solution SaaS, nous avons à la fois des enjeux de sécurité forts de protection des données, de maintien de la disponibilité de notre solution, et de protection de notre propriété intellectuelle. Nous sommes parfois la cible d’attaques automatiques (DDoS, bruteforce…), ainsi que d’attaques plus déterminées comme le social engineering, le reverse engineering des apps mobiles, etc, notamment pour des raisons concurrentielles.

La majorité de nos clients sont des grands groupes et des ETI qui ont des droits d’audit contractuels, et un certain nombre en mandatent chaque trimestre, ce qui nous pousse encore plus à maintenir un très haut niveau de sécurité : c’est un argument de réassurance et de qualité de notre solution. Nous avons donc une doctrine de sécurité poussée, aussi bien sur le code, l’infrastructure, et bien entendu le design global du système. 

Pourquoi avoir choisi de faire du Bug Bounty, et pourquoi commencer par l’approche “Discovery” du Bug Bounty ? 

Nous considérons que le Bug Bounty est obligatoire pour toute entreprise qui souhaite maintenir un bon niveau de sécurité. Il devient évident qu’il faut être dans une sécurité à la fois réactive et proactive, particulièrement quand on est une solution SaaS, avec un code qui évolue vite. Jenji fait une trentaine de releases par mois du fait du nombre de services dans l’architecture globale, il est donc possible qu’il y ait des régressions, des différences d’une API à une autre. C’est pourquoi nous avons misé sur le Bug Bounty, qui nous permet de bénéficier du mindset offensif, et de comprendre comment exploiter ou tout du moins « prober » le système de l’extérieur.

Le Bug Bounty Discovery nous a permis de tester la démarche. Au départ, on se lançait un peu dans l’inconnu, et on se disait : peut-être ne vont-ils rien trouver, ou au contraire remonter énormément de rapports. Au final, nous sommes ravis de la mission, et nous souhaitons poursuivre avec du Bug Bounty en continu, car nous considérons que c’est la meilleure manière de sécuriser la plateforme. La sécurité additionnelle apportée par le Bug Bounty est également un argument de vente important et différenciant par rapport au marché.

Comment avez-vous intégré le Bug Bounty dans votre culture DevSecOps ? 

Le Bug Bounty a eu un impact au niveau organisationnel, il a fallu définir la manière de réagir à une faille de sécurité. Ce process est désormais très fluide, nous avons des responsables de chaque partie du code, avec des backups lorsqu’ils sont en congés. Nous avons des SLAs très stricts sur le Bug Bounty : en 2 jours maximum, nous répondons au chercheur, et corrigeons la vulnérabilité dans la foulée. 

Quels sont les bénéfices et points bloquants de la mission ? 

Les bénéfices sont très clairs : formation des équipes, exhaustivité de la recherche de vulnérabilités, et excellence technique des chercheurs. Nous avons fait le choix de démarrer la mission avec Yogosha car nous étions à la recherche d’un acteur européen, et avions un haut niveau d’exigence technique, qui a largement été prouvé par la communauté privée et sélectionnée de Yogosha. 100% des rapports remontés sur la plateforme ont été acceptés et corrigés rapidement par nos équipes. 

Nous avons noté une évolution technique chez nos collaborateurs car même nos meilleurs développeurs seniors sensibilisés à la sécurité avaient l’habitude de réfléchir de manière défensive, et non offensive. Traiter et corriger des rapports de vulnérabilités est un effort intellectuel intéressant, et nos équipes se sont passionnées pour l’exercice. Nous n’avons pas rencontré de points bloquants au cours de cette mission Bug Bounty Discovery. 

Quelles sont les prochaines étapes ? 

Nous souhaitions sortir de l’approche “Discovery” du Bug Bounty et passer sur un mode continu en 2020. Il nous semble que c’est la meilleure manière de faire du Bug Bounty: un programme doit tourner en permanence, afin d’assurer l’exhaustivité et la constance de la recherche. Nous avons donc pris un abonnement à la plateforme, afin de bénéficier à la fois des fonctionnalités de management de notre sécurité, et du haut niveau d’expertise de la communauté.

—————————————————————————————————————-

À votre tour de tester la puissance de notre communauté de hackers, tout en gardant la main sur votre budget avec la prestation forfaitaire de découverte du Bug Bounty. Cette offre est dédiée aux start-up, PME, ETI et organisations désireuses de tester la sécurité de leurs systèmes et applications en ligne. 

Contactez-nous pour découvrir le Bug Bounty

elodieangiolini

elodieangiolini

About Yogosha

Yogosha is the first private Bug Bounty platform in Europe, helping organizations to detect and fix vulnerabilities before criminals exploit them. Yogosha’s clients benefit from an international elite of ethical hackers ; only 25% of aspiring Yogosha security researchers manage to pass the selection process and join the platform.

Find all of our resources here

Follow Us

Other Articles

07/05/19

Meet our hackers – Intruderx

1. Who is Intruderx ? I’m Indrajith AN, a 25 years old security enthusiast from Bangalore, India. I’m working…

Read More
20/09/19

Meet our hackers – Borja

1. Hi. Tell us about yourself and how you started hacking Hi! I’m Borja Berastegui, and I’m from…

Read More
07/05/19

Meet our CTF master – Chamli

1. Hello! Tell us a bit about yourself and how you started hacking I'm Mohamed Chamli, security analyst…

Read More

Contact us and we will reach out to schedule a demo

Contact us and we will get back to you shortly