vendredi, décembre 27, 2024

Escape analyse dynamiquement les API pour trouver des failles de sécurité

La startup française Escape a levé un financement de 3,9 millions de dollars (3,6 millions d’euros) peu de temps après la fin de la cohorte hiver 2023 de Y Combinator. La société fournit un produit de cybersécurité axé sur la sécurisation des API avant leur déploiement public.

La société française de capital-risque Iris mène le tour avec Frst qui participe également à nouveau après avoir mené le tour de pré-amorçage. Les investisseurs existants Irregular Expressions, Tiny Supercomputers et Kima Ventures participent au tour de table. Parmi les investisseurs providentiels de la société figurent Philippe Langlois, Mehdi Medjaoui et Roxanne Varza.

« Nous avons décidé de créer un algorithme personnalisé alimenté par l’intelligence artificielle qui peut simuler des cyberattaques. Une fois qu’il aura trouvé des failles de sécurité, il vous proposera des solutions », m’a dit le co-fondateur et PDG Tristan Kalos. Il a fondé la startup avec Antoine Carossio et ce sont aujourd’hui 10 personnes qui travaillent pour Escape.

En termes plus techniques, Escape est une solution sans agent car elle s’intègre directement dans votre pipeline de développement. Chaque fois que l’équipe de développement validera de nouvelles lignes de code dans le référentiel de code, elle déclenchera Escape en utilisant une intégration dans le flux d’intégration continue/livraison continue (CI/CD).

Par exemple, Escape peut identifier un problème de limitation de débit. Cela signifie qu’un mauvais acteur pourrait exploiter cette faille pour extraire de gros volumes de données. Escape peut également voir si les actions invalides sont correctement bloquées pour empêcher la manipulation des données. Il s’intègre à Snyk afin que les problèmes d’Escape apparaissent dans les problèmes de code de votre Snyk.

« Ce sont des tests dynamiques. Nous ne testons pas le code source lui-même, mais plutôt l’application telle qu’elle s’exécute. Ce qui est compliqué avec une API, c’est la logique métier – comment interagir et comment attaquer l’API. Nous utilisons l’apprentissage par renforcement, un mélange d’apprentissage en profondeur et d’heuristique », a déclaré Kalos.

Escape a d’abord décidé de se concentrer sur les API GraphQL car la startup a identifié que ce serait la meilleure stratégie de mise sur le marché. Mais la société déploie actuellement la prise en charge des API REST, qui sont plus répandues que les API basées sur GraphQL.

La société a déjà convaincu une vingtaine de clients, tels que Sorare, Shine et Neo4J. Comme vous pouvez le constater, Escape souhaite se concentrer sur les plus gros clients travaillant dans des secteurs sensibles, notamment les banques et les sociétés de services financiers. Chaque contrat pourrait potentiellement valoir des dizaines de milliers d’euros par an.

Avant d’utiliser Escape, s’assurer que les API de votre entreprise sont sécurisées était principalement un processus manuel. De temps en temps, les grandes entreprises travaillent avec des analystes de sécurité pour effectuer un test de pénétration (ou pentest, en abrégé).

« Une ou deux fois par an, ils viennent, examinent tout ce qui se passe et vous remettent un rapport de sécurité. Les entreprises examinent les conclusions en interne et dressent la liste des problèmes : nous devons résoudre ceci, nous devons résoudre cela », m’a dit Kalos.

Mais ensuite, les entreprises doivent trouver les développeurs qui sont en charge de cette partie spécifique du produit ou de cette API en particulier. En d’autres termes, c’est un processus réactif et imparfait.

Escape ne veut pas remplacer complètement les pentests. Les pentests ne se concentrent pas uniquement sur les API non plus, ils sont beaucoup plus vastes que cela. Escape veut juste mettre en évidence les failles de sécurité au niveau de l’API afin qu’elles soient corrigées dès leur première apparition. De cette façon, la plupart des problèmes sont déjà résolus lorsqu’une entreprise de sécurité effectue un pentest. C’est un modèle de sécurité plus proactif et dynamique, et cela pourrait être un bon argument de vente.

Source-146

- Advertisement -

Latest