Les entreprises tentent de protéger leurs applications web contre le hacking à coup de millions. Sqreen veut donner ce niveau de sécurité pour tous sans dépenser des fortunes.

L’affaire Ashley Madison a fait les choux gras de la presse cette année à cause du piratage de leurs bases de données. Ce n’est que la partie émergée de l’iceberg car toutes les applications et sites web sont susceptibles de subir ce type d’attaques. Pour tenter de résoudre ce problème, deux anciens de l’équipe de sécurité d’Apple se lancent dans la protection des services web avec une entreprise nommée Sqreen. Le principe de cette solution de protection repose sur le concept d’antifragilité porté par Nassim Nicholas Taleb. Le concept de quoi ?

Sqreen utilise le concept d’antifragilité

Capture d’écran 2016-01-05 à 17.42.54

L’antifragilité est un concept classique dans la médecine. Les maladies et l’entraînement physique et intellectuel permettent au corps humain de se protéger et de se renforcer. Il en va de même pour les logiciels informatiques, lorsque les équipes de sécurité interviennent pour identifier et combler les failles de sécurité qui sont autant de portes pour des intrusions extérieures. Appliqué à l’informatique, ce concept pourrait se résumer grossièrement à la création de vaccins communs à tout un groupe d’entreprises. C’est ce que propose Sqreen avec une brique de sécurité à installer, gérée par leurs soins.

Cette solution permet d’automatiser l’identification et la résolution des failles grâce à la mise en réseau des épreuves subies par chacune des entreprises associées. La promesse est belle et étonnamment peu d’acteurs de ce type sont encore sur le terrain. Pourtant, les chiffres du secteur sont impressionnants :

  1. 25 milliards de dollars ont été dépensés en 2015 par les entreprises pour se protéger
  2. 74 % des PME ont été attaquées en 2015, avec une progression de plus de 60 % par rapport à 2014
  3. En moyenne, 10 000 comptes utilisateurs sont compromis lors d’une attaque en France
  4. En moyenne, 210 jours sont nécessaires pour identifier une attaque

sqreen_antifragilite_startup

Sqreen face au secteur du fait main

Les alternatives à Sqreen existent mais sont souvent du « fait main ». Les plate-formes de hacking éthique (BugCrowd, HackerOne …) font partie des initiatives modernes saluées tant par la communauté technique que par la communauté des développeurs. Il est aussi possible de passer par des audits d’intrusion (facturés entre 500 et 1200 euros par jour et fournissant une photographie ponctuelle de la sécurité des applications) ou de l’internalisation de ses propres équipes de sécurité… mais il faut avoir passé un cap significatif pour se payer ce type de prestations. Ce qui n’est pas le cas des startups.

L’offre de Sqreen n’est pas encore publique mais devrait tourner autour d’un abonnement en fonction du nombre d’applications à protéger. Une période de beta testing est en cours avec quelques dizaines de startups pour des applications web (frontend et backend) développées en Ruby on Rails.

L’installation ne devrait prendre que 30 secondes, n’impliquerait pas de modification du code source, à la manière d’outils d’app performance comme New Relic. Disponible en SaaS, le service devrait s’ouvrir à tous les développeurs au cours du premier trimestre 2016. L’équipe et le projet sont prometteurs, reste à voir si la promesse sera tenue. En tout cas, une première levée de fonds est en cours.

Partager sur les réseaux sociaux

Articles liés