Sqreen : protégez vos sites et apps des pirates sans dépenser des millions
L'affaire Ashley Madison a fait les choux gras de la presse cette année à cause du piratage de leurs bases de données.
Sqreen utilise le concept d'antifragilité
L'antifragilité est un concept classique dans la médecine. Les maladies et l'entraînement physique et intellectuel permettent au corps humain de se protéger et de se renforcer. Il en va de même pour les logiciels informatiques, lorsque les équipes de sécurité interviennent pour identifier et combler les failles de sécurité qui sont autant de portes pour des intrusions extérieures. Appliqué à l'informatique, ce concept pourrait se résumer grossièrement à la création de vaccins communs à tout un groupe d'entreprises. C'est ce que propose Sqreen avec une brique de sécurité à installer, gérée par leurs soins.
Cette solution permet d'automatiser l'identification et la résolution des failles grâce à la mise en réseau des épreuves subies par chacune des entreprises associées. La promesse est belle et étonnamment peu d'acteurs de ce type sont encore sur le terrain. Pourtant, les chiffres du secteur sont impressionnants :
25 milliards de dollars ont été dépensés en 2015 par les entreprises pour se protéger
74 % des PME ont été attaquées en 2015, avec une progression de plus de 60 % par rapport à 2014
En moyenne, 10 000 comptes utilisateurs sont compromis lors d'une attaque en France
En moyenne, 210 jours sont nécessaires pour identifier une attaque
Sqreen face au secteur du fait main
Les alternatives à Sqreen existent mais sont souvent du « fait main ». Les plate-formes de hacking éthique (BugCrowd, HackerOne ...) font partie des initiatives modernes saluées tant par la communauté technique que par la communauté des développeurs. Il est aussi possible de passer par des audits d'intrusion (facturés entre 500 et 1200 euros par jour et fournissant une photographie ponctuelle de la sécurité des applications) ou de l'internalisation de ses propres équipes de sécurité... mais il faut avoir passé un cap significatif pour se payer ce type de prestations. Ce qui n’est pas le cas des startups.
L'offre de Sqreen n'est pas encore publique mais devrait tourner autour d’un abonnement en fonction du nombre d’applications à protéger. Une période de beta testing est en cours avec quelques dizaines de startups pour des applications web (frontend et backend) développées en Ruby on Rails.
L'installation ne devrait prendre que 30 secondes, n’impliquerait pas de modification du code source, à la manière d'outils d'app performance comme New Relic. Disponible en SaaS, le service devrait s'ouvrir à tous les développeurs au cours du premier trimestre 2016. L'équipe et le projet sont prometteurs, reste à voir si la promesse sera tenue. En tout cas, une première levée de fonds est en cours.