La prolifération secrète, où les entreprises stockent des identifiants d’authentification et des données sensibles similaires sur plusieurs sites, est un problème réel et croissant pour toute entreprise souhaitant éviter une faille de sécurité.
Les entreprises peuvent avoir des centaines de secrets – tels que des clés API, des mots de passe ou des jetons d’accès à la base de données – répartis sur leur infrastructure, ce qui rend difficile de garder un œil sur ce qui est stocké, où, qui y a accès et si l’une de ces données a été trouvée par inadvertance. son chemin dans le domaine public. À titre d’exemple, en 2017, Uber a révélé une faille majeure qui a exposé les données personnelles de quelque 57 millions de clients, et bien qu’il y ait eu de nombreuses failles de sécurité en jeu, la cause première provenait de pirates qui ont trouvé une clé d’accès AWS dans un GitHub. référentiel d’un développeur Uber.
Et c’est dans ce contexte que nous avons vu une multitude de startups et d’outils Big Tech arriver sur le marché, conçus pour aider les entreprises à gérer leur expansion secrète. La dernière en date est une société basée à San Francisco appelée Infisical, qui a annoncé aujourd’hui avoir levé 2,8 millions de dollars dans le cadre d’un tour de financement de démarrage dirigé par Gradient Ventures de Google pour aider les entreprises de toutes tailles à centraliser leur gestion secrète.
Top secret
Infisical se présente comme une plate-forme holistique de gestion des secrets combinant tous les composants dont une entreprise a besoin – un peu comme ce que Rippling a fait dans l’espace de gestion des effectifs, à l’exception des secrets, selon le co-fondateur d’Infisical, Vlad Matsiiako.
« Alors que les entreprises deviennent de plus en plus numériques et intégrées à d’autres logiciels, il est plus difficile de gérer tous leurs secrets d’application et de développeur – elles doivent acheter plusieurs outils et leur donner à tous accès à leurs secrets, ce qui est un problème de sécurité en soi, » a expliqué Matsiiako à TechCrunch. « Vous pouvez considérer Infisical comme une pile de gestion secrète tout-en-un qui combine tous les produits verticaux connexes pour une entreprise. »
Cela inclut un tableau de bord pour gérer les secrets dans différents projets et environnements ; SDK clients ; une interface de ligne de commande (CLI) ; des intégrations natives avec GitHub, Netlify et Vercel ; gestion des versions secrètes et « récupération ponctuelle » ; journaux d’audit ; et balayage secret.
Tableau de bord indirect. Crédits image : Infisical
En ce qui concerne le modèle commercial, Infisical génère des revenus via son incarnation cloud hébergée, qu’il vend en tant que SaaS, et via son homologue auto-hébergé en vendant des fonctionnalités de niveau entreprise.
Le (sorte de) facteur open source
Alors qu’Infisical se présente comme une plate-forme SecretOps « open source », un rapide coup d’œil à ses licences sur GitHub révèle qu’elle est peut-être plus alignée sur le domaine open-core ou source disponible, que sur la sphère open source pure. C’est-à-dire que bien qu’une grande partie des fonctionnalités de base de la plate-forme soit apparemment disponible sous la licence MIT permissive, y compris l’analyse secrète et les intégrations d’infrastructure, elle a conservé de nombreuses fonctionnalités – telles que les journaux d’audit, l’authentification unique, récupération et contrôles d’accès — sous une licence propriétaire sous une édition d’entreprise distincte (EE).
« L’intégralité de notre base de code est disponible pour tout le monde sur GitHub, et nous gardons toutes les fonctionnalités de gestion secrètes de base disponibles sous la licence MIT », a déclaré Matsiiako. « Nous croyons fermement que les développeurs solo et les amateurs devraient pouvoir expérimenter gratuitement la plupart des fonctionnalités en utilisant Infisical Cloud ou Infisical auto-hébergé. »
L’idée ici est que lorsque les utilisateurs commencent à envisager Infisical en termes de déploiement pour des cas d’utilisation commerciale critiques, ils ont besoin de plus de fonctionnalités telles que la sécurité et la conformité avancées. Ainsi, même si une entreprise a choisi d’auto-héberger Infisical, elle doit toujours acheter une licence d’entreprise pour tirer parti des fonctionnalités propriétaires de base.
« L’objectif est vraiment de ne facturer que les grandes entreprises », a ajouté Matsiiako.
Il existe déjà un tas d’outils similaires sur le marché, y compris le projet open source Vault du géant de l’infrastructure cloud HashiCorp, qui a pratiquement établi la norme pour le secteur de la gestion des secrets. Cependant, Matsiiako affirme qu’Infisical s’adresse davantage aux développeurs généraux qu’aux équipes d’ingénierie de plate-forme, ce qui facilite le déploiement avec une courbe d’apprentissage plus plate.
« Vault est difficile à adopter pour les développeurs sans expérience en sécurité ou en infrastructure, et nous le trouvons plus populaire parmi les équipes de sécurité et d’ingénierie de plate-forme », a-t-il déclaré. « À cause de cela, les entreprises connaissent des cycles de développement plus lents et certaines ont même recours au développement de solutions entièrement personnalisées destinées aux développeurs en plus ou à la place de Vault.
D’autres alternatives notables incluent Doppler et Akeyless, qui sont des produits SaaS essentiellement propriétaires, et même des produits tangentiels tels que des outils d’analyse secrète comme GitGuardian, une fonctionnalité qu’Infisical prend déjà en charge dans le cadre de sa plate-forme.
« En intégrant l’analyse secrète dans l’offre groupée d’Infisical, nous extrayons des synergies entre la gestion secrète et l’analyse secrète, et une entreprise à la recherche de solutions de gestion secrète connexes n’a plus qu’à passer par un fournisseur au lieu de plusieurs », a déclaré Matsiiako.
L’histoire jusqu’ici
Le trio de fondateurs de l’entreprise – Matsiiako, Maidul Islam et Tuan Dang – s’est rencontré à l’Université Cornell, où ils ont étudié un mélange de matières informatiques et de science des données, avant de travailler dans diverses entreprises telles qu’AWS, Figma et Bung. Ils se sont ensuite rencontrés pour lancer leur nouvelle entreprise ensemble à San Francisco en août dernier.
« Tout au long de nos expériences collectives passées et de nos discussions avec des pairs de l’industrie, nous avons reconnu que la gestion des secrets d’application était fastidieuse et que les problèmes de l’industrie de la gestion des secrets étaient loin d’être résolus », a déclaré Matsiiako. « Il nous est apparu clairement que nous devions créer une solution open source simple à utiliser pour la gestion des secrets ; être open source donne aux développeurs la possibilité d’utiliser Infisical Cloud ou de l’auto-héberger sur leur propre infrastructure, ce que font fréquemment les grandes entreprises.
Infisical a ensuite collecté 500 000 $ grâce à sa participation au programme hiver 23 de Y Combinator (YC) et a récemment recruté son premier ingénieur, qui les a rejoints du géant des logiciels d’entreprise Red Hat.
Outre le principal bailleur de fonds Gradient Ventures, le tour de table de la société comprenait des investissements de YC, 22 Ventures et des investisseurs providentiels tels qu’Elad Gil et Diana Hu de YC.