Skip to main content

Sécuriser avant de déployer : comment Sopra Steria combine pentests et Bug Bounty pour gagner en agilité

Avatar
11/09/2025
14 min read
Interviews

À l’heure où la transformation numérique s’accélère, les enjeux de cybersécurité se déplacent en amont du cycle de développement. Pour les grandes entreprises, il ne s’agit plus seulement de réagir aux vulnérabilités, mais de les anticiper – et de les corriger – avant même qu’une application ne soit mise en production.

La pression s’intensifie sur les équipes IT : les livraisons logicielles sont de plus en plus fréquentes, les architectures cloud-native élargissent les surfaces d’attaque, et les exigences réglementaires (RGPD, DORA, NIS2, CRA…) renforcent la nécessité de documenter chaque action. La sécurité ne peut plus être un point de contrôle final : elle devient un levier d’agilité, de conformité et de compétitivité.

C’est d’ailleurs la direction que prend le marché :

Glossaire

Bug Bounty
Programme de sécurité collaborative où des chercheurs en sécurité sont invités à identifier des vulnérabilités dans un système. Les chercheurs sont rémunérés en fonction des failles trouvées, offrant diversité de compétences et tests en continu.

Pentest Crowdsourcé
Test d’intrusion réalisé via une plateforme spécialisée, qui mobilise à la demande une communauté mondiale de pentesters. Plus flexible qu’un audit classique, il permet de démarrer rapidement et de bénéficier de compétences variées selon le périmètre testé.

Comment sécuriser efficacement une plateforme critique, sans ralentir le time-to-market ni alourdir les processus ?
C’est le défi auquel Sopra Steria et son ancienne filiale SBS ont été confrontés dès 2019, lors du développement d’une nouvelle solution bancaire. Pour y répondre, le groupe a progressivement intégré les pratiques de sécurité offensive proposées par Yogosha – d’abord via le Bug Bounty, puis les pentests à la demande – avant de généraliser ce modèle à l’échelle de plusieurs entités. 

Plusieurs bénéfices clés se dégagent de cette collaboration, aujourd’hui partagés par les différentes entités utilisatrices :

  • Une agilité forte, permettant de lancer un pentest en quelques jours seulement, sans lourdeur administrative.
  • Une collaboration directe avec les chercheurs, qui implique les équipes techniques et favorise une acculturation à la sécurité offensive.
  • Un haut niveau d’expertise, avec des livrables clairs, contextualisés, et la possibilité de retester rapidement après correction.
  • Un processus d’achat simple et adapté, essentiel dans un groupe aux structures silotées et aux budgets répartis.

Récit d’un partenariat fondé sur l’agilité, l’expertise et la volonté d’industrialiser la cybersécurité.

Sécuriser une plateforme avant son déploiement : le cas SBS (ex Sopra Banking Software)

En 2019, SBS (ex Sopra Banking Software) – alors filiale du groupe Sopra Steria dédiée à l’édition de solutions bancaires – s’apprête à déployer la plateforme SBP Digital Core pour le  Core cloud native. Développée from scratch, cloud-native, cette solution est destinée à être utilisée par de grandes institutions financières. Parmi les exigences clés d’un projet de cette ampleur, la sécurisation en profondeur de la plateforme doit être réalisée avant sa mise en production.

L’entreprise dispose déjà d’un socle sécurité solide, avec des pentests réalisés en interne ou via d’autres partenaires. A ce stade du projet, les équipes décident d’aller un cran plus loin et d’adopter une approche next-gen. Elles font alors appel à Yogosha pour lancer une campagne de Bug Bounty sur un environnement témoin – copie sécurisée d’un environnement de production utilisée pour réaliser des tests avec de fausses données ou des données anonymisées. Objectif : tester des scenarii d’attaques complexes.

“Tester une plateforme bancaire directement en production est vraiment très compliqué. Dans un secteur fortement régulé, où l’on ne peut ni simuler des clients, ni manipuler de fausses données, l’environnement de pré-production devient la seule voie possible pour tester sérieusement.”

Frédéric PRON, ancien RSSI chez SBS

Pourquoi se tourner vers du Bug Bounty ?

Une approche ouverte et plus réaliste que le pentest cadré

Si SBS disposait déjà d’un dispositif de pentest bien en place, l’équipe projet a rapidement perçu dans le Bug Bounty une approche différente, plus ouverte et plus adaptative.

Contrairement au pentest, où les tests sont guidés par une stratégie bien définie, le Bug Bounty consiste à ouvrir l’application à une communauté de chercheurs indépendants, chacun avec ses propres spécialités, outils et méthodologies. Une diversité qui fait toute la valeur ajoutée du modèle.

Avec le Bug Bounty, les hackers éthiques ont carte blanche pour tester l’application. Cela permet d’identifier de potentielles nouvelles vulnérabilités grâce à la diversité de leurs expériences et spécialisations, en termes de tests, d’environnements, de méthodes…

Frédéric PRON, ancien RSSI chez SBS

L’approche n’est pas limitée à un seul point de vue. Plusieurs hackers éthiques peuvent travailler sur un même périmètre, avec des angles d’attaque totalement différents. 

Mais ce n’est pas tout. Le Bug Bounty repose sur un modèle économique basé sur la performance : les chercheurs sont rémunérés uniquement lorsqu’ils découvrent et signalent une vulnérabilité valide. Les primes varient selon la criticité de la faille, ce qui incite à des recherches approfondies et à la remontée de findings exploitables, tout en garantissant un meilleur retour sur investissement pour l’entreprise.

Cela permet de dépasser les limites d’un test unique, souvent restreint par le cadrage initial, et d’aller chercher des vulnérabilités inattendues, parfois liées au contexte d’usage réel.

De l’audit à la collaboration : engager les équipes techniques

Au-delà de la détection de vulnérabilités, le Bug Bounty a introduit chez Sopra Steria un changement plus profond : celui de l’appropriation de la sécurité par les équipes produit.

Dans beaucoup de grands groupes, la sécurité est encore perçue comme un contrôle exogène, voire comme un frein à la livraison. Ici, le Bug Bounty a inversé la dynamique. Les développeurs communiquent directement avec les chercheurs, peuvent questionner, requalifier, faire retester. La sécurité devient un dialogue, pas une sanction.

C’est beaucoup plus motivant pour les équipes techniques. Elles ne subissent plus un audit, elles participent à l’amélioration du produit en temps réel.

Loïc LE METAYER, Information Security Officer chez SBS

Ce fonctionnement crée aussi une montée en compétence durable : les équipes internes intègrent mieux les logiques d’attaque, comprennent ce qui rend une faille critique ou non, et adoptent des réflexes de Security by design, c’est-à-dire la pratique qui consiste à intégrer des mesures de protection et des contrôles de sécurité dès la conception d’une application, plutôt que de les ajouter après coup.. C’est un point clé pour les RSSI : le Bug Bounty devient un outil d’acculturation autant qu’un outil de test.

Industrialiser les pentests sans rigidité

Face à la qualité des échanges avec les chercheurs et à la pertinence des remontées, la relation se renforce. Les équipes Sopra Steria décident de s’appuyer sur Yogosha également pour leurs pentests. En complément du Bug Bounty, les tests d’intrusion opérés via la plateforme offrent un véritable gain de temps par rapport aux approches traditionnelles. Yogosha permet de lancer un pentest en quelques jours, en toute autonomie. Les équipes apprécient cette réactivité, combinée à un haut niveau d’expertise et à des livrables exploitables immédiatement. 

Avec Yogosha, on peut lancer un pentest en quelques jours à peine. La mise en place est tellement rapide que, bien souvent, c’est nous qui devons tenir la cadence. À l’inverse des prestataires traditionnels où il faut suivre une procédure parfois ressentie comme lourde (devis, validation, réunion de cadrage…). Ici on avance tout de suite.

Loïc LE METAYER, Information Security Officer chez SBS

Le duo pentest + bug bounty s’intègre alors naturellement dans les processus de développement logiciel. Désormais, chaque release majeure est testée dans un cadre rigoureux mais flexible, s’inscrivant dans une logique de test continu. Cette approche est en cohérence avec les pratiques DevSecOps de Sopra Steria, qui consistent à intégrer la sécurité dès les premières étapes du cycle de développement, en la combinant étroitement avec les pratiques DevOps traditionnelles.

On a des équipes cyber très compétentes, mais souvent mobilisées chez nos clients. Pouvoir activer un test rapidement via Yogosha, sans attendre des cycles de staffing, c’est une vraie liberté opérationnelle.

Frédéric PRON, ancien RSSI chez SBS

Cette approche “as a service” est aussi un levier de désilotage. Chaque entité reste autonome dans sa gestion de la sécurité tout en s’appuyant sur une infrastructure mutualisée. Le modèle permet ainsi de standardiser la qualité, d’accélérer la couverture et de réduire la dépendance aux équipes internes, dans un contexte où les profils spécialisés en cybersécurité sont rares et très sollicités.

Une généralisation à l’échelle du groupe

En avril 2024, la démarche prend une autre dimension : d’autres entités du groupe Sopra Steria – Real Estate, Financing Software, HR… – manifestent leur intérêt. Ce qui était un cas d’usage isolé devient un projet commun, piloté à l’échelle du groupe. L’objectif est clair : mutualiser les moyens, accélérer les cycles de test, et industrialiser la sécurité offensive.

Un abonnement à la plateforme Yogosha est ouvert à toutes les filiales, avec intégration directe dans les pipelines CI/CD. Les développeurs peuvent ainsi lancer eux-mêmes des tests – bug bounty ou pentests – en toute autonomie, selon les besoins de leur roadmap.

En nous associant à Yogosha, nous passons d’un engagement de principe à une action mesurable au service d’une cybersécurité européenne exigeante. Leur approche — tests continus, programmes privés de bug bounty, divulgation responsable — fait évoluer les pratiques et élève nos standards. Concrètement, pour nos clients : surfaces d’attaque mieux surveillées, campagnes ciblées et délais de remédiation raccourcis, avec un reporting transparent. Miser sur Yogosha, c’est aussi soutenir des talents et des standards européens qui rehaussent durablement le niveau de sécurité. Cette alliance s’inscrit enfin dans notre stratégie de maîtrise du risque : détection proactive, meilleure maîtrise et réactivité à la détection de vulnérabilités dans nos produits et conformité renforcée sur toute la chaîne. En tant que groupe de référence, nous privilégions des partenariats qui produisent des résultats tangibles et renforcent la résilience de tout l’écosystème.

Thierry LORHO, RSSI chez Sopra Real Estate Software

Aujourd’hui, d’autres entités encore sont en cours d’onboarding. La collaboration s’étend. 

“En soutenant Yogosha, nous affirmons notre engagement en faveur d’une cybersécurité européenne ambitieuse et innovante. Yogosha incarne une nouvelle génération d’acteurs capables de bousculer les approches traditionnelles et d’imposer des standards plus exigeants. En tant que groupe de premier plan, nous avons à cœur de favoriser ce type de partenariats stratégiques, qui renforcent notre résilience collective et participent au rayonnement de l’excellence technologique.”

Socheat CHHAY, Managing Director chez Sopra Steria Ventures

Depuis 2019 :

  • 30 campagnes de tests menées (Bug Bounty et pentests confondus)
  • 3 entités actives sur la plateforme
  • 216 findings remontés
  • 6 jours en moyenne pour le démarrage d’un test

Si la sécurité offensive est historiquement un sujet complexe à faire évoluer dans les grandes structures, Sopra Steria a trouvé ici une manière fluide de l’industrialiser, sans surcharger les process existants.

Un partenaire aligné avec les exigences de souveraineté

Au-delà des critères techniques et opérationnels, la collaboration avec Yogosha s’inscrit également dans une logique de confiance et de maîtrise des environnements sensibles.
Le choix d’un acteur français, indépendant et ancré dans l’écosystème européen, répond aux attentes croissantes en matière de souveraineté numérique et de conformité réglementaire.

La communauté de chercheurs comme levier de performance

L’un des éléments différenciateurs du partenariat entre Sopra Steria et Yogosha tient à la qualité et à la diversité des profils de sécurité mobilisés. Que ce soit pour le Bug Bounty ou pour le Pentest-as-a-Service, c’est la même logique communautaire qui est à l’œuvre.

Contrairement à un cabinet qui mandate une équipe unique, Yogosha repose sur une communauté internationale de chercheurs spécialisés, activables en fonction du contexte projet : API critiques, systèmes legacy, environnements cloud, authentification… Chaque test bénéficie ainsi de regards croisés, avec des profils adaptés au périmètre.

On a vu passer des chercheurs capables d’automatiser leurs tests avec des scripts spécifiques à notre plateforme. À l’inverse, certains tests trop génériques apportaient peu de valeur. Cette diversité, c’est ce qui fait la différence.

Frédéric PRON, ancien RSSI chez SBS

La plateforme permet en parallèle de structurer cette diversité : accès contrôlés, périmètres clairement définis, suivi des échanges, triage technique, retests. Pour le RSSI, c’est l’assurance de tirer parti d’une expertise ciblée, sans perdre la maîtrise opérationnelle.

Ce modèle permet aussi d’éviter la redondance d’un pentest à l’autre : en changeant de profils, on change aussi de perspectives. Une approche idéale pour éviter l’aveuglement progressif lié à des audits répétés par les mêmes consultants.

Et demain ? Automatisation et scalabilité

L’adoption de Yogosha n’a pas été pensée comme un projet ponctuel, mais comme une brique stratégique dans l’architecture sécurité du groupe. L’objectif est clair : intégrer les tests offensifs dans un modèle fluide, reproductible et compatible avec les rythmes du delivery moderne.

Aujourd’hui déjà, les entités Sopra peuvent :

  • intégrer les campagnes de test dans leur pipeline CI/CD,
  • suivre les vulnérabilités sous forme de tickets corrélés,
  • retirer les doublons, historiser les findings, documenter les échanges.

Mais l’ambition va plus loin. Dans les mois à venir, le groupe souhaite approfondir le travail sur les indicateurs de performance sécurité, le reporting consolidé, et la rationalisation des ressources. En clair : faire du Bug Bounty et du pentest une partie intégrante de la gouvernance sécurité, au même titre que les outils de monitoring ou les frameworks de conformité.

On ne veut pas juste faire du test. On veut pouvoir industrialiser, comparer, corréler. Et surtout, automatiser le maximum de choses pour se concentrer sur ce qui compte vraiment.

Frédéric PRON, ancien RSSI chez SBS

S’il faut compter avec un chronomètre le temps qu’on met à parcourir cent mètres pour connaître notre vitesse, ça ne peut pas bien marcher, car trop fastidieux. C’est pour ça qu’il nous faut plus d’automatisation, d’abord dans les opérations, puis au niveau du reporting.

Loïc LE METAYER, Information Security Officer chez SBS

Dans un contexte où les exigences réglementaires s’intensifient et où l’IA bouleverse les usages, les organisations qui n’auront pas enclenché ce virage risquent de se retrouver à contretemps.

Le train est en marche. Et dans la cybersécurité, il n’attend personne.

Une sécurité offensive à l’épreuve du terrain

Le partenariat entre Yogosha et les équipes Sopra s’inscrit dans une démarche pragmatique : intégrer de nouvelles pratiques de sécurité offensive dans des processus déjà bien établis. L’objectif n’était pas de réinventer l’existant, mais d’enrichir la posture sécurité du groupe avec des solutions plus agiles, plus flexibles et plus collaboratives.

Avec Sopra Steria, qui était déjà très en avance sur l’intégration de la sécurité dans ses processus de développement, nous avons co-construit une offre de service parfaitement adaptée aux éditeurs de logiciels. Elle permet d’intégrer les tests de sécurité de manière fluide et continue, sans ralentir les cycles de delivery.

Christophe MARNAT, SVP Sales Europe & Africa chez Yogosha

Dans un environnement où la vitesse de développement, la pression réglementaire et la pénurie de ressources s’intensifient, Sopra Steria démontre qu’il est possible d’intégrer la sécurité offensive dans ses workflows sans complexifier ses process. Une approche lucide, industrialisable, et alignée avec les nouveaux standards du DevSecOps.

Si vous aussi vous souhaitez industrialiser la sécurité offensive sans rigidifier vos process, contactez-nous.

Plus ?

Introducing Activity Monitoring: No More Blind Spots in Your Security Testing

Are you absolutely certain your critical assets are being sufficiently tested? Can you prove it?…
Stéphane Saint-Denis
Stéphane Saint-Denis16/09/2025
Veepee x Yogosha Interviews

Comment un acteur  européen incontournable du e-commerce renforce sa cybersécurité avec le Bug Bounty

Avec des dizaines de millions de membres, 7 000 marques partenaires et un chiffre d’affaires…
Mélissa Quix
Mélissa Quix11/09/2025

Why CVEs and Automated Scanners Are Insufficient to Prioritize Your Security Operations

With the exponential growth in volume and sophistication of cyberattacks, further fueled by AI, organizations…
Ali Bawazeer
Ali Bawazeer14/03/2025