Ces start-up françaises spécialistes de la sécurité

• Ces start-up françaises prometteuses
• Les pépites françaises du Big Data
• Ces start-up françaises spécialistes de la sécurité
• Ces startups françaises qui renouvellent le concept de réseau social professionnel
• Les startups françaises de la collaboration
• LeWeb13 : nos 5 startups coup de cœur
• CES 2014 : nos cinq startups coup de coeur

Les startups françaises dans le domaine de la sécurité sont plutôt nombreuses. Un grand nombre d’entre elles s’intéresse à l’analyse des codes sources ou des exécutables des logiciels pour détecter les vulnérabilités potentielles. Petit tour d’horizon de quelques jeunes entreprises hexagonales à suivre dans le secteur.

Pradeo : pour sécuriser les applications mobiles

Pradeo propose des outils pour auditer et sécuriser des applications mobiles quelques soit leur système d’exploitation (Android, iOS, Windows 8). La technologie Trust Revealing détecte l’ensemble des tâches exécutées par une application y compris celles dont l’utilisateur n’a pas connaissance comme l’envoi automatique de SMS surtaxés, l’écoute des conversations téléphonique, la récupération du répertoire téléphonique, de l’agenda, des fichiers voire des SMS. Les deux offres AuditMyApps et CheckMyApps sont disponibles en mode Saas (Software as a service) et on-premise (installés dans l’entreprise), elles analysent les applications mobiles existantes : où est-ce qu’elles se connectent, quelles données elles manipulent et qu’est-ce qu’elles envoient à l’extérieur. Une fois l’audit terminée, l’entreprise choisit automatiquement ou manuellement de laisser ses salariés d’exécuter ou pas une application selon sa politique de sécurité.

Fondée en 2010, l’entreprise montpelliéraine possède aussi des bureaux à Paris et à New-York. Elle compte parmi ses clients Sanofi, le ministère de l’Intérieur, La Poste et Radio France.

Cybelangel : la startup qui surveille les hackers

Au lieu de protéger l’entreprise de l’intérieur comme les anti-virus, CybelAngel a choisi de scruter le web pour détecter si des données sont en train d’être vendus quelque part ou si un hacker est en train de proposer des informations utiles pour rentrer dans une organisation. La startup scanne une grande partie du Dark Web (les blogs, forums, réseaux sociaux et sites de transferts de fichiers utilisés par les attaquants) et du Deep Web (l’ensemble des adresses IP connectées que ce soit des ordinateurs, serveurs, imprimantes, caméra de vidéosurveillance). La startup prévient ses clients en moins de 24 heures quand une anomalie est détectée. Lancée début 2013, CybelAngel est déjà rentable et emploie 9 personnes. Ses clients sont essentiellement français pour l’instant, mais la structure devrait bientôt se développer en Europe. Elle a reçu le prix de la PME innovante lors du FIC (Forum international de cybersécurité) de janvier, et a fait partie des lauréats Big Data du concours mondial de l’innovation 2030.

Cryptosense : une analyse du code source d’outils largement utilisés

Créée en 2013, Cryptosense est une spin-off de l’Inria (Institut national de recherche en informatique et en automatique). Elle analyse des codes sources utilisant le standard PCKS #11 pour détecter les vulnérabilités associées. Concrètement, une entreprise pourra tester les applications qu’elle a développées et qui tournent sur les ordinateurs, tablettes ou téléphones de ses salariés pour simuler des attaques et déterminer quelle portion de codes pose problème. Elle pourra aussi tester la sécurité d’un appareil cryptographique, comme une carte à puce, appelé par l’application. D’ici peu, d’autres types de code pourront être analysés notamment ceux utilisant OpenSLL, la fameuse implémentation open source du standard TLS/SSL qui contenait la faille HeartBleed. Les équipes travaillent aussi sur JCE/JCA (Java cryptography architecture et extension), Microsoft CAPI/CNG (Cryptographic application programming interface) ainsi que sur une interface de gestion des codes PIN du réseau des distributeurs à billets.

Cryptosense analyzer from Cryptosense on Vimeo.

Secure-IC : sécurise les cartes à puce

Issue de l’incubateur de Télécom ParisTech, Secure-IC est spécialisée dans la sécurité des systèmes électroniques embarqués comme les cartes à puce, les téléphones, les passeports électroniques voire n’importe quel objet connecté. La société propose deux types d’offres. La première analyse les menaces. La deuxième propose de protéger les systèmes avec des librairies logicielles (IP Core ou blocs d’IP) qui s’intègrent dans les systèmes embarqués sur les puces notamment. Selon le système et les menaces associées, Secure-IC propose des modules différents pour rendre le composant résilient aux attaques.

Créée en janvier 2010, la société emploie 25 salariés et possède des bureaux à Rennes, à Paris, Singapour et aux Etats-Unis dans la Silicon Valley. Elle est membre du pôle de compétitivité Systematic et travaille essentiellement avec des gouvernements et l'industrie de l'électronique.

TrustInSoft : analyse des codes source sans les exécuter

Créée en mai 2013, TrustInSoft est issue du CEA (commissariat à l’énergie atomique et aux énergies nucléaire et renouvelables). La startup utilise les technologies de conception logicielle issues de l’aéronautique et du nucléaire pour analyser des codes source et lutter contre les failles de sécurité dans des systèmes comme les téléphones ou les objets connectés. Elle propose notamment un outil d’analyse statique de programmes écrits en C, basé sur la plateforme Frama-C. Il est inutile d’exécuter les applications pour les analyser.

TrustInSoft distribue aussi des composants open-source pré-validés comme sûrs, notamment PolarSSL verification Kit, une implémentation sécurisée de SSL/TLS, le protocole en cause dans la faille Heartbleed. Les trois co-fondateurs ont tous travaillé pour le CEA : Fabrice Derepas, PDG, Benjamin Monate, directeur technique et Pascal Cuoq, directeur scientifique.

Tetrane : les mathématiques formelles à l'affut des vulnérabilités

Créée en 2010, Tetrane conçoit et développe des solutions d’analyse de logiciels sous leur forme compilés. Inutile d’accéder au code source. L’outil analyse l’exécutable (.exe), les drivers, les librairies métier, d’interface graphique, de réseau, de stockage et de chiffrement (.dll). A l’aide de technologies basées sur les mathématiques formelles, il détecte les vulnérabilités dues notamment aux dépassements de buffers, aux emplacements mémoires non-initialisées, aux fuites de mémoire et d’informations. La solution est prévue pour être utilisée de manière collaborative et propose des tableaux de bord et une interface pour visualiser les vulnérabilités trouvées. L'entreprise emploie 8 personnes et est soutenue par la DGA (Direction générale de l'Armement) via le dispotif RAPID (Régime d'appui pour l'innovation duale) qui subventionne des projets technologiques ayant des applications dans les domaines militaires et civils.