IriusRisk

IriusRisk, une plateforme de modélisation des menaces, a annoncé aujourd’hui avoir levé 29 millions de dollars dans le cadre d’un tour de financement de série B dirigé par Paladin Capital Group avec la participation de BrightPixel Capital, SwanLab Venture Factory, 360 Capital et Inveready. Lors d’une conversation avec TechCrunch, le PDG Stephen de Vries a déclaré que le produit sera affecté à la croissance des équipes de vente et de marketing d’IriusRisk aux États-Unis et en Europe, au Moyen-Orient et en Afrique, le total de la société ayant levé près de 40 millions de dollars.

De Vries, qui travaillait auparavant pour la société de cybersécurité Corsaire, KPMG et ISS en tant que consultant principal en sécurité, a déclaré qu’il s’était rendu compte que les entreprises gaspillaient des ressources en effectuant des tests de sécurité sur des logiciels que les développeurs n’avaient pas conçus en pensant à la sécurité. Si les développeurs pouvaient comprendre les failles de sécurité dans leurs conceptions par la modélisation des menaces – c’est-à-dire identifier les types de menaces qui causent des dommages aux logiciels – cela réduirait le goulot d’étranglement causé par les examens de sécurité, a théorisé de Vries.

En effet, la modélisation des menaces ne semble pas être une priorité dans de nombreuses organisations. Dans un Golfdale Consulting enquête commandé l’année dernière par le fournisseur de cybersécurité Security Compass, moins de 10 % des développeurs ont déclaré que la modélisation des menaces était effectuée sur 90 % ou plus des applications qu’ils développaient dans leur organisation. Seuls 25 % ont déclaré que leurs organisations avaient effectué une modélisation des menaces au cours des premières phases du développement logiciel, comme la collecte des exigences et la conception, avant de poursuivre le développement.

« La modélisation des menaces est désormais établie comme une activité requise pour le développement de logiciels sécurisés », a déclaré de Vries, citant la récente déclaration du président Joe Biden. décret exécutif établir la modélisation des menaces comme un « minimum recommandé » pour vérifier le code de l’application. « Étant donné que la modélisation des menaces en tant qu’activité est encore relativement nouvelle, les organisations ont besoin de partager des stratégies, des trucs et astuces sur ce qui fonctionne lors du déploiement d’un programme de modélisation des menaces – et ce qui ne fonctionne pas. »

IriusRisk s’appuie sur un moteur de règles pour « raisonner » les bases de code côté client et hébergées dans le cloud, en adoptant une approche basée sur des modèles pour modéliser les menaces. Les utilisateurs de plates-formes comme Amazon Web Services (AWS) CloudFormation, HashiCorp Terraform et Microsoft Visio peuvent appuyer sur IriusRisk pour importer du code et générer automatiquement un diagramme et un modèle de menace de celui-ci.

Tableau de bord de modélisation des menaces d’IriusRisk. Crédits image : IriusRisk

IriusRisk fournit également un module d’analyse avec des rapports et des journaux, qui peuvent être utilisés par les analystes de données et les scientifiques pour interpréter les données sur les menaces au sein de leurs organisations. Pour augmenter la granularité et la précision de ces données, les clients peuvent ajouter à la bibliothèque de détection de modèles d’IriusRisks des composants uniques à leur secteur ou à leur entreprise, y compris ceux pour AWS, Google Cloud, Azure et systèmes de contrôle industriels.

« IriusRisk permet aux décideurs techniques d’intégrer la sécurité dès le début du cycle de vie du développement logiciel, en la transformant en une pratique facile à mettre en œuvre qui peut être appliquée de manière cohérente à l’ensemble du portefeuille de produits d’une organisation, créant une sécurité dès la conception à grande échelle », de dit Vries. « Les organisations bénéficient des bibliothèques de normes de sécurité étendues d’IriusRisk qui incluent des modèles de menace existants pour les composants connus, des normes de sécurité complètes et des bibliothèques de conformité, ce qui aide les équipes à créer d’abord des logiciels sécurisés et à répondre automatiquement aux exigences réglementaires. »

Interrogé sur la concurrence, de Vries a admis que des startups comme Spectral adoptaient une approche similaire à IriusRisk à certains égards. Mais il a affirmé que les plus grands concurrents de son entreprise sont en retard, effectuant manuellement la modélisation des menaces avec « des tableaux blancs et peut-être des outils rudimentaires ».

« Nous nous concentrons sur la résolution du problème de la modélisation des menaces de manière cohérente et à grande échelle, avec un minimum de friction pour les développeurs. Nous parlons souvent aux organisations… qui cherchent à faire mûrir leur approche en la retirant de l’équipe de sécurité aux équipes d’ingénierie », a ajouté de Vries. « Nous réalisons un investissement important dans la communauté plus large de modélisation des menaces. »

IriusRisk affirme avoir plus que quadruplé sa base de partenaires jusqu’en 2021 et augmenté son offre gratuite, IriusRisk Community Edition, de 120 % en termes d’utilisateurs actifs (à un peu plus de 5 400). Plus de 4 000 projets ont été exécutés sur la plate-forme gratuite au cours de l’année dernière, a déclaré de Vries – un nombre qui, selon lui, augmentera lorsque IriusRisk lancera un nouveau format de modèle de menace ouvert, prévu pour novembre, pour permettre une meilleure interopérabilité entre les outils de modélisation des menaces et les architectures et outils de sécurité.

« Nos clients comptent six des 30 banques d’importance systémique mondiale et neuf entreprises du Fortune 100… Les organisations gouvernementales utilisent l’outil, ainsi qu’une société de criminalistique numérique, qui prend en charge les utilisateurs finaux militaires », a déclaré de Vries. « Il est très courant que les équipes de sécurité des applications ou de cybersécurité adoptent notre logiciel, puis le déploient dans l’ensemble de l’organisation d’ingénierie afin qu’ils puissent utiliser eux-mêmes une capacité de modélisation des menaces… Nous avons augmenté nos revenus annuels récurrents de plus de 106 % par an- d’une année sur l’autre au cours des deux dernières années et affichent actuellement un taux de croissance de 120 % d’une année sur l’autre. »

IriusRisk compte aujourd’hui 137 collaborateurs et prévoit de porter ses effectifs à 160 d’ici la fin de l’année.

A lire également