Cap vers l’ouest pour YesWeHack. Le spécialiste français du bug bounty réalise sa première acquisition depuis sa création, en rachetant la startup bretonne Sekost. Une opération structurante qui fait converger une plateforme internationale de chasse aux vulnérabilités et un acteur de l’audit sur mesure pour PME et ETI, au moment où la demande explose et que les exigences réglementaires montent d’un cran.

Rachat de sekost, un jalon stratégique pour yeswehack

YesWeHack a officialisé l’intégration de Sekost, jeune pousse fondée en Bretagne et focalisée sur des diagnostics cybersécurité orientés résultats. Les modalités financières n’ont pas été communiquées, mais le timing est clair : après dix années de croissance organique, l’entreprise ouvre une phase de consolidation ciblée, à la frontière du conseil et du bug bounty.

Objectif assumé : élargir l’éventail de services adressés aux entreprises de taille moyenne, souvent trop grandes pour se contenter de solutions grand public et trop contraintes pour déployer des programmes de sécurité de type “entreprise” dans la durée.

En combinant la recherche de failles à l’échelle, via sa communauté d’experts, et des audits techniques contextualisés apportés par Sekost, YesWeHack entend proposer un continuum : du diagnostic initial à la remédiation, puis au contrôle récurrent par programmes de bug bounty privés ou publics.

À retenir sur l’opération

Première acquisition de YesWeHack, intégration d’une expertise d’audit sur mesure et d’accompagnement au correctif, cible PME et ETI, annonce confirmée par la presse économique le 9 septembre 2025 (Le Télégramme et Maddyness).

Enjeux économiques : la consolidation répond à une demande forte des directions financières et techniques qui cherchent des approches mesurables, orientées ROI, face à des cybermenaces plus fréquentes et plus coûteuses. Pour YesWeHack, l’opération sécurise un avantage compétitif sur un segment intermédiaire délaissé par les offres trop standardisées.

Des racines communes à une intégration opérationnelle

Les liens entre les deux entités ne datent pas d’hier. Avant de cofond­er Sekost à Lannion, Christophe Hauquiert a évolué comme hacker éthique sur la plateforme YesWeHack. Sekost a ensuite intégré ses outils dans l’écosystème du groupe, et YesWeHack a compté parmi ses premiers clients.

Ce rachat formalise donc une collaboration éprouvée et vise à accélérer l’industrialisation des parcours clients : qualification fine des périmètres, exécution d’audits pointus, puis orchestration des campagnes de bug bounty pour “durcir” en continu le système d’information.

Sekost : expertise de terrain pour pme et eti

Positionnée sur l’audit offensif et le diagnostic pragmatique, Sekost apporte des méthodologies adaptées aux contraintes de production des entreprises de taille intermédiaire : priorisation des vulnérabilités, scénarios d’attaque réalistes, coordination avec les équipes internes pour corriger rapidement et sans interrompre les opérations.

L’approche Sekost se distingue par la mise en situation des risques cyber pour éclairer les arbitrages métiers. Concrètement, les recommandations sont traduites en plans d’actions mesurables et phasés, afin d’intégrer la sécurité au calendrier des équipes IT, de la DAF et des métiers.

Yeswehack : de la communauté à l’industrialisation

YesWeHack s’appuie sur une communauté de chercheurs en sécurité reconnue, dont la diversité de profils augmente la probabilité de découverte des faiblesses, y compris celles difficiles à détecter par des scans automatisés. La plateforme orchestre rémunération, conformité et priorisation, et structure les échanges entre experts et équipes techniques.

L’intégration de Sekost ajoute une brique d’accompagnement sur-mesure en amont et en aval : qualification fine des périmètres avant campagne, aide à la correction, puis validation post-correctif.

L’audit ponctuel apporte une photographie détaillée d’un périmètre donné à un instant T, utile pour un projet critique, une mise en production ou une due diligence. Le bug bounty, lui, installe une pression positive continue, mobilise des profils variés et révèle des scénarios d’attaque inattendus. Les deux approches se complètent : l’audit pour cadrer et corriger vite, le bug bounty pour vérifier dans la durée et limiter la ré‑apparition de failles.

Financements successifs et cap sur la consolidation

L’acquisition intervient après des levées de fonds structurantes : série B de 16 millions d’euros en 2021 puis série C d’environ 26 millions d’euros en 2024, avec la participation d’investisseurs institutionnels tels qu’Eiffel Investment Group et Bpifrance. Ces tours ont soutenu l’expansion internationale, l’enrichissement produit et l’intégration de briques d’IA appliquée à la sécurité.

La société revendique des références de premier plan dans le retail, les télécoms et la santé, et s’est imposée comme un interlocuteur de confiance des DSI et RSSI. La dimension internationale du portefeuille clients valide un positionnement en montée de gamme, tout en gardant une base solide en France.

Sur le plan stratégique, l’opération Sekost coche trois cases :

  • Accélérer la mise en production des programmes de sécurité pour des entreprises non dotées d’équipes offensives internes.
  • Capter des budgets orientés conformité et résilience, en complément des budgets purement techniques.
  • Renforcer l’accompagnement avant et après les campagnes de bug bounty, là où se joue la valeur pour le client.

Signal-prix et création de valeur

La combinaison “audit + bug bounty” permet de déplacer la discussion vers des indicateurs business : délais de remédiation, exposition financière potentielle, couverture des actifs critiques, réduction des primes d’assurance cyber à moyen terme. Ce cadre de mesure facilite la décision côté direction générale et DAF.

À moyen terme, la capacité à mobiliser des communautés d’experts, des algorithmes d’aide à la détection et des équipes d’accompagnement réduit le coût marginal de découverte de nouvelles vulnérabilités et augmente le taux de correction utile. C’est l’axe d’industrialisation qu’entérine l’acquisition de Sekost.

Bug bounty en france : dynamiques de marché et rôle des acteurs publics

Le marché français du bug bounty s’est structuré autour d’acteurs spécialisés comme YesWeHack et Yogosha, tandis qu’à l’international, des plateformes telles que HackerOne ou Zerocopter animent des communautés d’ampleur. L’approche par programmes rémunérés s’étend désormais aux organisations publiques et parapubliques, en complément des dispositifs de réponse à incident.

La pression de la menace s’est accentuée : ransomware, compromission de comptes et attaques par supply chain. Les dispositifs de bug bounty gagnent du terrain comme filet de sécurité proactif, capable de révéler des enchaînements d’attaques peu visibles par les outils classiques, et de tester la robustesse des correctifs dans la durée.

En France, l’ouverture aux méthodes collaboratives s’est illustrée par l’initiative d’assistance aux victimes Cybermalveillance.gouv.fr, qui a activé un programme de bug bounty via YesWeHack dès 2020 auprès d’une communauté de 15 000 experts. La plateforme revendique aujourd’hui une communauté supérieure à 50 000 profils, signe de maturité du modèle. Les analyses de la menace publiées en 2024 soulignent la progression des fraudes en ligne et des attaques opportunistes, renforçant la demande de dispositifs continus de détection et de remédiation (rapport d’activité 2024 de Cybermalveillance.gouv.fr).

Yogosha : positionnement concurrent sur le marché français

Yogosha opère également des programmes de bug bounty et propose des tests d’intrusion structurés, avec une attention particulière portée à la gouvernance et à la qualité de la validation technique. Cette proximité d’offres stimule l’innovation et pousse chaque acteur à améliorer la granularité du reporting, la traçabilité des remédiations et la qualité des profils mobilisés.

Pour les clients, cette émulation se traduit par des parcours de cybersécurité mieux outillés, une transparence accrue sur la criticité des failles et des mécanismes de priorisation plus clairs.

Une approche financière consiste à comparer la courbe de coûts attendue d’une faille non détectée (intrusion, arrêt de production, RGPD) avec le coût d’un programme continu. Les bénéfices intangibles s’ajoutent : amélioration des pratiques dev, réduction des faux positifs, montée en maturité des process. L’effet cumulé sur deux ou trois cycles budgétaires peut justifier un engagement pluriannuel.

Politiques publiques et cadre légal : des obligations qui soutiennent la demande

La transposition de la directive européenne NIS2, engagée en France depuis 2024, élargit le périmètre d’organisations concernées et renforce les obligations de gestion des risques et de notification d’incidents. Même sans précision sectorielle, les entreprises exposées aux chaînes d’approvisionnement critiques se préparent en amont : cartographie d’actifs, tests réguliers, et dispositifs de correction plus rapides.

Le rapport annuel 2024 sur la cybercriminalité, publié à l’été 2025 par le Ministère de l’Intérieur, met en avant l’intensification des attaques et l’exposition accrue de certaines infrastructures. Ce constat participe à l’orientation budgétaire des organisations, qui cherchent des leviers concrets de résilience : plans de réponse, exercices de crise, tests d’intrusion récurrents et campagnes de bug bounty ciblées.

En parallèle, la politique industrielle se densifie. En juin 2025, la Direction générale des Entreprises a sélectionné de nouveaux projets cybersécurité dans le cadre de France 2030, avec un accent sur la souveraineté technologique et le renforcement des écosystèmes régionaux. Ce soutien public favorise les coopérations entre startups, ETI et laboratoires, et alimente des chaînes de valeur locales, notamment en Bretagne.

Pme industrielles : sous nis2, quels chantiers prioritaires ?

Pour les PME et ETI industrielles exposées à NIS2, la trajectoire la plus crédible combine : audit initial pour cadrer les risques, correction phasée pour préserver la production, contrôles réguliers par des programmes privés de bug bounty, puis formation continue des équipes. Cette séquence limite les à-coups budgétaires et maximise l’effet d’apprentissage.

Bon à savoir : obligations clés à anticiper avec NIS2

Les entreprises concernées devront démontrer des mesures techniques et organisationnelles proportionnées, documenter la gestion des risques, et notifier rapidement les incidents significatifs. L’auditabilité devient un critère central : traçabilité des tests, priorisation des correctifs, et gouvernance des fournisseurs.

Dans ce contexte, le rachat de Sekost par YesWeHack constitue un levier d’exécution : il facilite le passage de la conformité théorique à l’épreuve des faits, par des tests réguliers, des indicateurs de remédiation et une documentation exploitable en audit.

Ce que l’opération change pour les pme et eti clientes

Pour les dirigeants, l’intérêt n’est pas tant dans la technologie que dans la capacité à réduire l’exposition au risque dans des délais réalistes. L’apport combiné Sekost + YesWeHack permet :

  • de cadrer un périmètre prioritaire avec un audit offensif et des scénarios d’attaque concrets,
  • d’obtenir des correctifs actionnables alignés sur le calendrier IT,
  • de vérifier dans la durée, via bug bounty, l’absence de ré‑apparition des failles et la robustesse des correctifs.

La dimension “terrain” de Sekost complète la puissance de la plateforme YesWeHack. Le cycle de vie des vulnérabilités est ainsi raccourci : qualification plus rapide, correction ciblée, validation post-correctif, documentation prête pour la conformité et les assureurs.

Du point de vue financier, les entreprises gagnent en lisibilité. La combinaison d’un socle d’audits et de programmes continus transforme des dépenses ponctuelles en investissement itératif, avec des métriques de suivi reproductibles : time-to-fix, taux de ré‑ouverture, part des vulnérabilités critiques traitées dans les délais.

Trois indicateurs à suivre : 1 / Taux de vulnérabilités critiques corrigées dans le délai cible, 2 / Temps médian de remédiation par catégorie de faille, 3 / Part de failles ré‑ouvertes après correctif. Leur évolution calibre l’effort budgétaire et démontre l’efficacité du dispositif auprès des comités d’audit.

À noter : la montée en puissance de l’IA générative dans l’outillage des attaquants complexifie la donne. YesWeHack, financé pour investir en IA appliquée, automatise une part de la détection et de la corrélation des signaux. L’apport humain des hackers éthiques demeure toutefois déterminant pour les enchaînements d’attaque complexes et l’évaluation du risque réel.

Repères et ancrage : qui sont yeswehack et sekost ?

YesWeHack est un acteur français du bug bounty fondé en 2015 et dirigé par Guillaume Vassault‑Houlière. L’entreprise revendique une communauté supérieure à 50 000 chercheurs, des implantations internationales, et des références couvrant les services financiers, la santé, la distribution et les télécoms. Sa proposition de valeur repose sur la diversité des profils, une gouvernance rigoureuse des programmes et un outillage de priorisation des correctifs.

Sekost, née en Bretagne et basée à Lannion, s’est spécialisée dans les diagnostics de cybersécurité pour PME et ETI. Son approche pragmatique, portée par des hackers éthiques expérimentés, se focalise sur la réduction du risque opérationnel et l’accompagnement au changement, avec un ancrage régional au sein d’un écosystème technologique dynamique.

Les deux entreprises entretenaient déjà un partenariat technologique et commercial. L’annonce de l’acquisition en septembre 2025 officialise une trajectoire commune, déjà robuste sur le terrain et corroborée par la presse économique et régionale (Maddyness et Le Télégramme).

La région a investi dans des pôles d’excellence en sécurité numérique, rapprochant écoles, laboratoires et industriels. Lannion, où est née Sekost, bénéficie d’une base technologique solide et d’un maillage régional favorable aux entreprises de cybersécurité, avec un accès facilité aux compétences et aux projets collaboratifs.

Ce tissu local, combiné à la capacité d’exécution d’un acteur européen comme YesWeHack, renforce l’axe “innovation + industrialisation” clé pour répondre à la demande française et européenne.

Un mouvement qui structure l’écosystème cyber français

Cette opération illustre l’évolution du marché vers des offres intégrées, ancrées dans des résultats mesurables plutôt que dans un catalogue de prestations juxtaposées. Sur le plan macro, elle envoie un signal pro‑souveraineté : valorisation des compétences locales, création de chaînes de valeur régionales et consolidation d’acteurs français capables de rivaliser avec les plateformes internationales.

À court terme, l’impact se lira dans l’outillage des PME et ETI, et dans la capacité à embarquer plus vite des programmes continus. À moyen terme, la trajectoire d’acquisitions ciblées pourrait se poursuivre, portée par les besoins de conformité et l’industrialisation de la remédiation, dans un contexte de menace en hausse documenté par les autorités françaises (rapport annuel 2024 du Ministère de l’Intérieur).

YesWeHack met la main sur Sekost et clarifie sa feuille de route : industrialiser l’audit et la remédiation au service des entreprises françaises, en combinant expertise locale, communauté internationale et exigences croissantes de conformité.