{VIDEO} - Roni Carta, Lupin & Holmes : « Avec la cybersécurité offensive, notre objectif est de lutter contre les failles de la supply chain logicielle»
Publié par Philippe Leroy le - mis à jour à
Hacker éthique reconnu dans le secteur du Bug Bounty, en France et à l'international, Roni Carta a co-fondé la société Lupin & Holmes, spécialisée dans la cybersécurité offensive. Pour Silicon, il expose son projet, sa vision de la cybersécurité offensive et revient sur ses exploits de bug hunter.
Extraits de l'interview de Roni Carta
Silicon - Vous avez créé Lupin & Holmes en 2023, quel est votre positionnement sur le marché de la cybersécurité ?
Roni Carta - Luper & Holmes est une entreprise de recherche et développement en cybersécurité offensive. Notre objectif, c'est de découvrir les failles de demain. Des failles de sécurité qui vont être activement exploitées dans tous les écosystèmes et dans les différentes industries, mais qu'on ne regarde pas assez aujourd'hui. Le premier écosystème auquel on voulait s'attaquer c'est l'univers de la Software Supply Chain (la chaîne d'approvisionnement logicielle) et l'utilisation de composants préconstruits dans les systèmes d'information de nos clients.
Silicon - Vous avez un exemple de compromission de Software Supply Chain ?
Roni Carta - En 2020-2021, il y a l'exemple de SolarWinds qui a eu un impact énorme sur l'économie mondiale. C'est aujourd'hui le plus grand exemple d'attaque sur la Software Supply Chain. Plus récemment on peut penser à Bybit où un développeur compromis de l'entreprise Safe a donné accès au crypto wallet de Bybit avec une exfiltration de 1,4 milliard de dollars en cryptomonnaie.
Silicon - C'est pour adresser cette problématique que vous avez lancé Depi, une plateforme en mode SaaS. Quels types de problèmes peut-on résoudre avec ?
Roni Carta - Pour comprendre ce qu'est Depi, il faut comprendre toute la complexité de la Software Supply Chain. Notre définition, c'est l'entièreté des processus qui permettent de construire et de déployer des applications dans les systèmes d'information. En gros, quand on utilise des composants préconstruits, on crée une chaîne d'approvisionnement logicielle. Ce faisant, il y a beaucoup de failles de sécurité différentes qui peuvent survenir. Le but de Depi, c'est de montrer de manière proactive tous les points d'entrée qu'un attaquant peut prendre dans la Supply Chain logicielle de nos clients.
Silicon - Quelles catégories de clients visez-vous ? Des entreprises internationales qui procèdent régulièrement à des acquisitions ?
Roni Carta - Il faut regarder les entreprises qui auraient l'intérêt d'utiliser Depi. Aujourd'hui, on est dans un écosystème de développement continu et donc à chaque fois qu'on va développer de manière continue, il faut aller de plus en plus vite et donc on utilise tous ces composants préconstruits. Donc toutes les entreprises qui sont ancrées dans le développement continu, que ce soit dans n'importe quelle industrie, sont des cibles potentielles. On est dans une phase de "go to market" : on va plutôt cibler les grandes entreprises françaises, le Fortune 500 et peut-être des GAFAM si on en a la chance.
Silicon - Une autre spécificité de Lupin & Holmes, c'est la manière dont vous avez financé sa création ?
Roni Carta - Oui, je pense que c'est une histoire assez atypique. Depuis mes 17 ans (Il en a 23 aujourd'hui, NDLR) à travers le Bug Bounty, je me suis rendu compte que la Software Supply Chain était un point d'entrée super facile et super impactant. Je suis allé voir mon frère qui est développeur back-end et je lui ai dit : toi tu fais du développement, moi je fais de la recherche en sécurité et on crée une boîte de R & D. La recherche de bugs nous a permis de gagner des primes qu'on a réinvesties dans le développement de Depi.