YesWeHack révèle son Pentest Agentique

YesWeHack vient de lancer son Pentest Agentique, une solution qui déploie des agents IA autonomes pour tester les systèmes d'entreprise en conditions réelles. Résultats livrés dans la journée, coûts réduits, couverture élargie : la plateforme française répond à des attaquants qui ont depuis longtemps intégré l'IA dans leur arsenal.

La plateforme française de sécurité offensive, historiquement ancrée dans le bug bounty, accélère sa mue. Depuis le début de l’année, YesWeHack fait évoluer son offre vers une approche plus large autour de la sécurité offensive et de la gestion de l’exposition, avec déjà deux nouvelles briques lancées en mars. Le Pentest Agentique, annoncé le 25 juin 2026, constitue l’étape suivante.

Le principe : des agents IA autonomes, activables à la demande, identifient les vulnérabilités d’une organisation, testent leur exploitabilité en conditions réelles et cartographient les chemins d’attaque sur l’ensemble des actifs concernés. Applications web et mobiles, API, actifs exposés sur internet — tout y passe, en boîte noire, grise ou blanche. Les résultats sont disponibles le jour même du lancement des tests.

La logique sous-jacente est clairement offensive. Guillaume Vassault-Houlière, PDG et cofondateur de YesWeHack, rappelle que les attaquants s’appuient de plus en plus sur l’IA et que les fenêtres d’exploitation se resserrent. La solution entend répondre à cette accélération avec les mêmes armes. Sur la question de la souveraineté, l’approche autorise le recours à des modèles développés ou hébergés en Union européenne ou en Asie-Pacifique, selon les contraintes de l’organisation.

Le dispositif s’intègre à la plateforme existante de YesWeHack, aux côtés du bug bounty, des pentests continus et des alertes sur CVE activement exploitées. Une équipe de triage interne peut valider, reproduire et enrichir les rapports, avec une garantie d’absence totale de faux positifs. Côté déploiement, Dassault Systèmes et Sanofi, ainsi que plusieurs autres entreprises du CAC 40, ont déjà franchi le pas. La solution sera prochainement étendue aux clients de Sekost, la société d’audit rachetée par YesWeHack en 2025.

Un point notable pour les acteurs du secteur : les données générées par les programmes de bug bounty ne seront pas utilisées pour entraîner les modèles IA du Pentest Agentique. Et malgré l’automatisation, la logique métier la plus fine et les chaînes d’exploitation élaborées restent du ressort de l’expertise humaine — le criblage agentique adresse le volume et la rapidité, pas l’exhaustivité de l’analyse.