Vicarius, une startup basée à New York qui a développé une plateforme autonome de correction des vulnérabilités, a levé 24 millions de dollars en financement de série A pour protéger les organisations de la prochaine attaque majeure de la chaîne d’approvisionnement.
La situation actuelle de correction des vulnérabilités ne fonctionne pas, déclare Vicarius à TechCrunch. Il s’agit d’un processus réparti entre deux départements : les équipes de sécurité, qui identifient et hiérarchisent les vulnérabilités, et l’informatique, qui les corrige tout en se concentrant sur le bon fonctionnement des opérations, créant ainsi un conflit d’intérêts inhérent. C’est aussi un processus qui reste « super dépendant du fournisseur », selon Michael Assraf, PDG de Vicarius.
Le processus, de la divulgation des vulnérabilités à la publication des correctifs, au déploiement et aux tests, prend en moyenne quatre à six mois, dit-il, et pendant ce temps, de nouvelles vulnérabilités pourraient être introduites, exposant l’organisation au risque d’une intrusion de type SolarWinds ou d’une attaque Log4j.
C’est ce que Vicarius veut changer. La plate-forme basée sur le cloud de la startup consolide le processus de correction des vulnérabilités et analyse les applications propriétaires et tierces pour détecter les vulnérabilités.
Vicarius a des visions plus grandes que la prévention des prochaines grandes retombées de la cybersécurité de la chaîne d’approvisionnement. La société – qui compte actuellement 150 clients, dont le National Health Service du Royaume-Uni et Ingram Micro – a déclaré à TechCrunch qu’elle souhaitait finalement construire une machine qui crée de la valeur pour la sécurité communautaire. Le centre de recherche de la startup, par exemple, met des informations sur les logiciels vulnérables à la disposition du grand public, et son prochain plan est de créer une plate-forme sociale pour aider les ingénieurs en sécurité, même s’ils ne sont pas clients de Vicarius.
« Si quelqu’un cherche comment réparer un CVE, par exemple, nous l’offrirons entièrement gratuitement », a déclaré Assraf. « Je pense que c’est quelque chose qui manque aujourd’hui dans la communauté de la sécurité – vous n’avez pas beaucoup de ressources gratuites et tout est propriétaire. »
Ces plans seront alimentés par l’augmentation de série A de 24 millions de dollars de la société, qui a été menée par AllegisCyber Capital, JVP et AlleyCorp, avec des dirigeants d’Okta, SecurityScorecard et Exabeam fournissant également du capital. Avec les fonds, qui ont été levés deux ans après le tour de table de 5 millions de dollars de la startup, elle vise également à tripler son nombre d’employés et à étendre sa stratégie de mise sur le marché.
« La plupart du temps, vous constaterez que les startups essaient de résoudre des problèmes de niche très spécifiques », a déclaré Assraf. « Nous nous attaquons à un très gros problème dans le monde de la cybersécurité.