À Lannion, la jeune pousse Sekost change d’échelle. Finalisé le 31 juillet 2025, son rachat à 100 % par YesWeHack s’inscrit dans une logique claire : offrir aux PME des outils de cybersécurité plus simples, plus accessibles et reliés nativement aux meilleurs experts. Une consolidation ciblée qui marie proximité territoriale et envergure internationale.

Rachat intégral de sekost par yeswehack : cap fixé sur le marché pme

YesWeHack, plateforme européenne de référence du bug bounty et de la gestion des vulnérabilités, a mis la main sur Sekost, start-up bretonne spécialisée dans le diagnostic et l’accompagnement sécurité des PME. L’opération, bouclée le 31 juillet 2025, ancre Sekost à Lannion en tant que business unit dédiée, tout en l’outillant des forces commerciales et R&D d’un acteur en hypercroissance. À la manœuvre, Guillaume Vassault-Houlière, PDG de YesWeHack, voit dans cette intégration le moyen de démocratiser des pratiques avancées au bénéfice des petites structures.

La dynamique s’appuie sur un historique déjà solide. Sekost avait intégré son moteur d’analyse à la plateforme YesWeHack un an et demi plus tôt. Selon Léo Richer, cofondateur de Sekost, cette relation a transformé l’essai en rapprochement capitalistique, avec un objectif assumé : accélérer la feuille de route produit et industrialiser la distribution auprès des PME.

Sekost : trajectoire et activités

Fondée en 2022 et opérationnelle depuis novembre 2021, Sekost revendique 400 PME accompagnées, plus de 800 audits réalisés et un réseau de 20 distributeurs en France. Avec six salariés, la start-up s’est installée sur un créneau peu couvert : évaluer rapidement l’exposition des TPE-PME et formaliser des plans d’action concrets, chiffrés et suivables. La rentabilité précoce et une ambition mesurée mais tangible — viser 1 million d’euros de revenus récurrents annuels d’ici 2026 — ont conforté sa crédibilité auprès des circuits de distribution IT de proximité.

Yeswehack : positionnement européen

Créée en 2013, YesWeHack fédère une communauté de plus de 50 000 hackers éthiques présents dans 170 pays et opère depuis Paris, Rennes, Londres, Berlin et Singapour. Avec environ 150 collaborateurs et plus de 35 millions d’euros levés, dont une série B de 26 millions d’euros en 2023, la société a industrialisé le bug bounty et la gestion des vulnérabilités pour des clients majeurs du privé et du public. L’absorption de Sekost vise à combler un manque : une passerelle clé en main pour les PME, depuis le diagnostic jusqu’à la remédiation.

Repères chronologiques de l’opération

Les jalons à retenir pour comprendre le rapprochement et la montée en puissance commerciale.

  1. Novembre 2021 : premières offres de diagnostic et d’accompagnement proposées par Sekost.
  2. 2022 : constitution de Sekost à Lannion et structuration du réseau de distribution.
  3. Début 2024 : intégration du moteur d’analyse de Sekost à la plateforme YesWeHack.
  4. Janvier 2025 : ouverture des discussions de rapprochement.
  5. 31 juillet 2025 : rachat à 100 % finalisé et Sekost érigée en business unit.

Dans un schéma d’acquisition non coté, l’acheteur acquiert la totalité du capital existant. Les fondateurs peuvent rester aux commandes opérationnelles via une gouvernance définie par pacte d’actionnaires et lettres de mission.

Des clauses usuelles encadrent l’intégration et la valorisation : non-concurrence, garantie d’actif et de passif, calendrier d’earn-out ou d’incentives, droits de propriété intellectuelle, plan de rétention des talents. L’annonce YesWeHack x Sekost n’a pas détaillé ces clauses, mais l’organisation retenue — business unit lannionnaise, directions produits et techniques maintenues — laisse entrevoir une intégration progressive pilotée par les fondateurs.

Tensions cyber en france : signaux officiels et exposition des petites structures

Le mouvement stratégique intervient alors que les incidents cyber augmentent fortement et que les PME restent des cibles privilégiées. Le rapport annuel sur la cybercriminalité 2024 du Ministère de l’Intérieur, publié le 11 juillet 2025, met en avant la hausse des atteintes en 2023, notamment rançongiciels, intrusions et exfiltrations de données (Ministère de l’Intérieur, 11 juillet 2025). Les entreprises de taille modeste sont plus souvent sous-équipées et moins outillées pour tenir une hygiène de sécurité continue.

Les bulletins du CERT-FR rappellent l’ampleur des risques exploités à grande échelle. Vulnérabilités d’équipements d’accès, exposition de services non patchés, mauvaises configurations cloud : autant de vecteurs qui touchent directement les infrastructures de front-office et les systèmes métiers des PME. Une alerte du 26 août 2025 a notamment porté sur une faille critiquée affectant des solutions de type Citrix NetScaler, illustrant l’importance d’un pilotage de la remédiation dans des délais courts.

Conséquence économique : une pression accrue sur le pilotage budgétaire des équipes dirigeantes. La dépense de cybersécurité des PME, longtemps perçue comme un coût, devient un arbitrage d’assurance opérationnelle, avec des gains tangibles sur la continuité d’activité et la relation de confiance client.

Rôle du CERT-FR dans la réduction du risque

Le CERT-FR publie des alertes, avis et bonnes pratiques, relayables par les prestataires pour accélérer les plans de remédiation. Pour les PME, s’appuyer sur un prestataire qui intègre nativement ces signaux augmente la vitesse de correction et réduit l’exposition résiduelle. Les retours d’expérience recommandent une veille consolidée, des mises à jour orchestrées et des audits récurrents basés sur les bulletins prioritaires.

Au-delà de la rançon potentielle, les coûts cachés pèsent lourd : immobilisation de l’outil de travail, temps passé à l’investigation, pertes de marges liées aux interruptions de production, pénalités contractuelles, hausse des primes d’assurance à la suite d’un sinistre, remise en conformité légale en cas de fuite de données personnelles. Une approche diagnostic + pilotage rend visible ces coûts et légitime l’investissement préventif.

Modèle économique et produit : diagnostics, bug bounty et suivi continu

En combinant un moteur de diagnostic conçu pour la réalité des PME et une plateforme de bug bounty capable d’activer des milliers d’experts, YesWeHack et Sekost construisent une chaîne continue de réduction du risque : mesurer l’exposition, corriger rapidement, vérifier l’efficacité via des tests en conditions réelles. Cette « boucle courte » est un marqueur différenciant face aux audits ponctuels peu actionnables.

Sekost conserve son identité, son ancrage à Lannion et son mode d’accompagnement de proximité. L’équipe bretonne devient le cœur d’une business unit dédiée aux PME, avec un mandat clair : industrialiser l’accès à des diagnostics simples, fournir des plans d’action priorisés et faciliter le passage à l’échelle de la remédiation.

Sekost : stratégie et résultats

La proposition de valeur initiale — évaluer vite, clarifier les priorités et suivre l’exécution — a trouvé son marché. La rentabilité dès le lancement, l’appui d’un réseau de distribution de 20 partenaires et la capacité à produire des audits en volume dans les contraintes des PME ont fait la différence. À court terme, Sekost annonce l’arrivée d’une offre de suivi en continu avant fin 2025 et l’anticipation de recrutements orientés commerce et gestion clients.

Yeswehack : stratégie et résultats

YesWeHack a massivement structuré le marché européen du bug bounty. Son modèle relie des organisations exigeantes à une communauté mondiale de hackers éthiques via des programmes encadrés qui rémunèrent la découverte responsable de failles. L’entreprise couvre l’ensemble du cycle de vie de la vulnérabilité : collecte, qualification, priorisation et correction, avec des outils de gestion intégrés et une interopérabilité forte avec les environnements de développement.

La cible PME, historiquement sous-équipée, nécessite toutefois des parcours simplifiés et un packaging budgétaire adapté. C’est précisément l’apport de Sekost : rendre lisible et actionnable le premier kilomètre de la cybersécurité, puis brancher, quand c’est pertinent, un programme de VDP ou de bug bounty.

Bug bounty : programme continu de découverte de failles par des hackers éthiques, rémunérés au résultat. VDP : politique de divulgation coordonnée qui fournit un canal légal pour remonter des vulnérabilités.

Pentest : test d’intrusion ponctuel, délimité et mené par une équipe dédiée. Pour une PME, l’enchaînement « diagnostic d’exposition » puis « remédiation priorisée » et enfin « validation par tests » est un compromis efficace en coût, délai et couverture.

Gouvernance et cadre légal : conditions de l’opération et obligations à anticiper

Sur le plan juridique, il s’agit d’un rachat total d’une société non cotée. L’opération ne requiert pas de déclaration à l’Autorité des Marchés Financiers, YesWeHack n’étant pas listée.

Les conditions usuelles d’une acquisition française de start-up s’appliquent : transfert des titres, garanties, droits de propriété intellectuelle, maintien des contrats commerciaux clés. Les fondateurs de Sekost prennent des responsabilités managériales dans la business unit lannionnaise, gage de continuité opérationnelle.

Côté conformité, plusieurs axes attirent l’attention des directions générales et juridiques :

  • Protection des données : maîtrise des traitements de données personnelles dans les diagnostics, documentation des bases légales et traçabilité des corrections pour le RGPD.
  • Encadrement contractuel des tests : périmètres définis, limites techniques, garanties de confidentialité et d’intégrité des systèmes, conservation de preuves en cas d’incident.
  • Sécurité des chaînes d’approvisionnement : qualification des sous-traitants, gestion des dépendances logicielles et alignement sur les recommandations publiées par les autorités nationales de sécurité.
  • Directive NIS2 : selon la taille, le secteur et l’espace de dépendances, certaines entreprises classées « essentielles » ou « importantes » devront renforcer leurs contrôles organisationnels et techniques. Des PME fournisseurs de grands comptes peuvent être entraînées par les exigences de leurs clients, même si elles ne relèvent pas directement du périmètre réglementaire.

Points juridiques à verrouiller dans un programme de bug bounty

Pour les directions juridiques et DPO, quatre clauses méritent une attention renforcée lorsque des tests sont activés :

  1. Périmètre autorisé : systèmes, comptes de test, fenêtres temporelles, seuils de charge.
  2. Propriété intellectuelle : droits d’usage des rapports et preuves, conditions de publication responsables.
  3. Confidentialité : NDA, compartimentage des informations, durée de conservation.
  4. Réponse aux incidents : procédure d’alerte, escalade, gel des environnements et coordination avec les assureurs.

Indicateurs clés et feuille de route 2025-2026

La combinaison YesWeHack x Sekost comporte des marqueurs chiffrés et un calendrier opérationnel court. D’un côté, la plateforme YesWeHack est déjà installée chez des grands comptes et des organisations publiques.

De l’autre, Sekost a prouvé qu’une approche diagnostic + accompagnement pouvait être industrialisée pour des PME à ressources limitées. L’enjeu : faire converger les outils tout en gardant l’esprit « usage d’abord » attendu par les dirigeants de petites structures.

Métriques Valeur Évolution
Effectifs combinés Environ 156 Stabilité à court terme, recrutements ciblés en commerce et CSM
Communauté de hackers éthiques Plus de 50 000 Activation segment PME via offres packagées
PME accompagnées par Sekost 400 Accélération attendue avec le réseau YesWeHack
Audits réalisés 800+ Industrialisation du diagnostic en 2025-2026
Objectif ARR Sekost 1 M EUR d’ici 2026 Cible portée par l’intégration commerciale
Feuille de route produit Suivi en continu fin 2025 Connecteurs et automatisation de la remédiation

Sur le front produit, l’introduction d’une offre de suivi en continu d’ici fin 2025 est stratégique. Elle permet d’aligner la remontée des expositions avec la capacité d’action, puis de valider les corrections via des tests coordonnés. Côté go-to-market, la combinaison distributeurs Sekost et empreinte internationale YesWeHack ouvre des relais commerciaux, notamment pour des PME ayant des filiales hors de France ou adressant des clients multi-pays.

Le volet humain est central. Les recrutements annoncés en commerce et gestion clients visent à densifier l’accompagnement. Dans le même temps, le maintien à Lannion d’un noyau produit et technique préserve la culture d’exécution locale et rassure les partenaires bretons de l’écosystème cyber.

Pour piloter l’impact sécurité sur la performance, un CFO peut suivre : taux de correction à 30 jours des vulnérabilités critiques, temps moyen de remédiation par catégorie, part des actifs couverts par le diagnostic et les tests, coût par vulnérabilité corrigée, indice d’exposition résiduelle trimestre par trimestre, incidents bloquants évités et variation des primes d’assurance cyber après mise à niveau.

Enfin, sur le plan de l’influence marché, la trajectoire consolidée YesWeHack x Sekost résonne avec les recommandations publiques : veille active, audits réguliers, correction priorisée. L’articulation proposée rend opérationnelle cette triade, sans imposer une complexité disproportionnée aux petites structures.

Pour les dirigeants de pme : un levier supplémentaire, à exploiter sans attendre

La montée des menaces et l’intensification des alertes techniques incitent à des arbitrages rapides. Le rapprochement YesWeHack x Sekost propose un chemin court entre l’évaluation de l’exposition, la correction et la vérification indépendante.

Pour un dirigeant, c’est l’opportunité d’aligner sécurité, conformité et continuité d’activité via un prestataire capable de livrer des résultats mesurables et documentés. Plusieurs signaux officiels récents confirment que le temps de l’anticipation vaut mieux que celui de la réaction (Les Echos, 11 septembre 2025).

Au-delà de l’opération capitalistique, l’enjeu est culturel : faire de la cybersécurité une discipline de pilotage — visible au comité de direction, chiffrée, orientée résultats. Si l’outil aide, la valeur se crée dans la répétition des bons gestes et la priorisation des failles qui comptent vraiment.

Pour les PME, la porte est ouverte : lier diagnostic, remédiation et preuve d’efficacité devient plus simple — et potentiellement moins coûteux que l’inaction.