YesWeHack, la plateforme française de Bug Bounty, ou chasse aux bogues, a décroché un contrat de 7,6 millions d'euros avec la Commission européenne pour sécuriser les logiciels open source des institutions de l'UE.
Quelques jours après avoir décroché son statut d'autorité CVE, déjà une première consécration, YesWeHack frappe à nouveau fort. L'entreprise française, spécialisée dans la recherche de vulnérabilités informatiques, a annoncé jeudi avoir remporté un contrat-cadre de quatre ans avec la Commission européenne, valorisé jusqu'à 7,6 millions d'euros. YesWeHack devrait orchestrer les programmes de Bug Bounty des institutions européennes et traquer les vulnérabilités dans leurs infrastructures numériques. Un signe que l'expertise tricolore en cybersécurité est reconnue bien au-delà de nos frontières.
YesWeHack remporte l'appel d'offres européen de Bug Bounty
L'Union européenne ne plaisante pas avec la sécurité de ses systèmes. Depuis 2019, elle déploie des programmes de Bug Bounty pour renforcer la protection de ses logiciels open source. En 2025, la Commission a relancé la machine avec un nouvel appel d'offres pour étendre le dispositif. Et cocorico, c'est YesWeHack qui a décroché la pole position dans le mécanisme « en cascade » mis en place.
Dans le détail, YesWeHack va épauler la Direction générale de l'informatique de la Commission (DIGIT) sur plusieurs fronts. La plateforme organisera des programmes de Bug Bounty et mettra en place des procédures pour signaler les failles de sécurité. Des hackers éthiques traqueront les vulnérabilités dans les systèmes numériques des institutions européennes. L'accent sera mis sur les logiciels open source, qui font tourner les serveurs de l'UE.
Le projet va au-delà du simple contrat. Car avec la multiplication des cyberattaques, la Commission veut étendre la surveillance à un maximum de projets open source et permettre à toutes les institutions européennes d'en profiter. Miguel Diez Blanco, responsable de l'équipe Interoperability Enablers and Open Source à la DIGIT, expliquer placer « de grands espoirs dans ce nouveau contrat-cadre » avec YesWeHack, tout en se disant convaincu que l'entreprise française « jouera un rôle déterminant pour sécuriser les logiciels que nous produisons. »
De Log4j à la Commission européenne, YesWeHack prouve son expertise
Si YesWeHack a séduit Bruxelles, c'est tout sauf un coup de chance. La plateforme affiche déjà une belle collection de clients publics notamment en France, en Allemagne, à Singapour, en Finlande, en Catalogne et jusqu'au Québec. Ces collaborations avec des autorités publiques du monde entier ont bâti sa réputation. La Commission est un peu la juste récompense des années d'expérience auprès des institutions.
Dans la balance, l'expérience open source de YesWeHack a sans doute aussi compté. La plateforme travaille déjà avec l'Agence allemande pour les technologies souveraines sur des projets ultra-sensibles, comme le célèbre Log4j, ce logiciel qui a défrayé la chronique avec la faille « Log4Shell », considérée comme l'une des pires vulnérabilités de tous les temps. Le problème avec l'open source, c'est qu'il est généralement développé par des bénévoles, et non des entreprises. D'où l'urgence pour l'Europe de mettre les moyens pour sécuriser ces infrastructures critiques.
Guillaume Vassault-Houlière, CEO et cofondateur, est en tout cas ravi de cet accord avec Bruxelles. « Nous sommes honorés que la Commission européenne nous confie la protection d'actifs d'une telle importance ; non seulement pour ses institutions, mais aussi pour des millions de citoyens. » Outre l'obtention du statut de CVE, YesWeHack a aussi validé le mois dernier le rachat de Sekost, une société française d'audit cyber. YesWeHack ne se contente plus de jouer dans la cour des grands, elle s'y installe progressivement.
