Parce qu’elles cherchent à résoudre des problèmes auxquels ne se sont pas encore attaqués des fournisseurs plus en vue, les startups de la cybersécurité sont souvent un peu en avance sur le courant dominant. Elles peuvent agir plus rapidement que la plupart de ces entreprises pour combler les lacunes ou les besoins émergents. Souvent, elles peuvent innover plus rapidement, car elles ne sont pas limitées par une base installée. Avec parfois un inconvénient : leur manque de ressources évidemment, mais aussi un manque de maturité. C'est donc un risque pour une entreprise de s'engager dans le produit ou la plate-forme d'une startup et cela suppose une autre relation client/fournisseur. Mais les bénéfices peuvent être énormes si l'entreprise gagne un avantage concurrentiel ou peut consacrer moins de ressources à sa sécurité. Toutes fondées ou sorties du mode furtif au cours des deux dernières années, les startups de cette sélection font partie des entreprises parmi les plus intéressantes du secteur. Précisons qu'il s'agit d'une mise à jour de la liste parue en novembre 2022.
Akto
Fondée en 2021, Akto se concentre sur la sécurité des API. La société affirme que sa plateforme, exécutée localement ou dans le cloud, découvre et teste les API internes, externes et tierces. Elle trouve ensuite rapidement les vulnérabilités pendant l'exécution. Akto prend en charge les principales sources de données d'API comme AWS, Google Cloud et Kubernetes. Selon le fournisseur, sa plateforme peut être déployée en à peine une minute.
Axiado
Axiado développe des processeurs de contrôle/unité de calcul de confiance (Trusted Control Unit/TCU) qui offrent des technologies de sécurité basées sur le matériel et pilotées par l'IA. L’entreprise affirme que ses semi-conducteurs permettent une détection préemptive des menaces dans une approche de la sécurité des plateformes pilotée par l'IA contre les ransomwares, la chaîne d'approvisionnement, les canaux latéraux et d'autres cyberattaques contre les datacenters cloud, les réseaux 5G et d'autres réseaux de calcul désagrégés.
Backslash
Backslash Security de Backlash est une solution de sécurité des applications natives du cloud pour les équipes AppSec des entreprises. Elle fournit une sécurité unifiée et un contexte métier au risque relatif au code natif du cloud, ainsi qu'une modélisation automatisée des menaces, une priorisation du risque de code et une remédiation simplifiée à travers les applications et les équipes. La plateforme de l'entreprise cible les combinaisons de code à haut risque, appelées « flux de code toxiques », dans les applications natives du cloud.
Binarly
La plateforme analytique SaaS de Binarly détecte les failles de sécurité au niveau du matériel et des firmwares grâce à ce que l'entreprise appelle une « technologie d'inspection du code profond au niveau binaire ». La plateforme identifie, évalue et hiérarchise les problèmes potentiels en inspectant les instantanés des appareils à la recherche de modèles de codes malveillants, d'anomalies et de vulnérabilités, ainsi que de mauvaises configurations. Elle génère ensuite un rapport contenant des conseils exploitables. Binarly a été fondée en 2021.
BoostSecurity
Sortie du mode furtif en 2022, BoostSecurity propose une plateforme d'automatisation DevSecOps qui, selon la startup, permet de détecter les vulnérabilités et d'y remédier tout en permettant au DevOps de travailler à son propre rythme. Elle facilite également la création et la gestion des politiques à travers le code, le cloud et les flux CI/CD. Un plan de contrôle unique offre une visibilité sur les risques de la chaîne d'approvisionnement des logiciels.
BreachQuest
Cette startup, fondée en 2021, travaille sur une plateforme de réponse aux incidents appelée Priori, capable de collecter et d'analyser rapidement les données des événements de sécurité afin d'étendre et de contenir les attaques, mais aussi d'accélérer la récupération. Priori surveille en permanence les systèmes pour y rechercher des activités malveillantes. En cas d’intrusion, la plateforme de BreachQuest envoie immédiatement une alerte avec des informations sur les points finaux éventuellement compromis. Pour l’instant, BreachQuest n'a pas encore livré sa plateforme.
Camelot Secure
Spécialisée dans l'identification et l'atténuation des menaces, Camelot Secure propose une « approche offensive » de la cybersécurité en offrant des évaluations de vulnérabilité, des évaluations de risques, des équipes rouges, la chasse aux cybermenaces et l'analyse du renseignement sur les cybermenaces en utilisant l'intelligence artificielle et l'apprentissage machine. L'entreprise emploie des experts issus de l'armée, de la communauté du renseignement et du secteur privé.
Circle Security
Selon l’entreprise de cybersécurité Circle Security, sa plateforme « spécialement conçue » protège contre les menaces basées sur les identifiants et les attaques dans le cloud. Basée sur une architecture décentralisée, Circle est disponible sous forme de service natif, d’application mobile, de solution basée sur un navigateur et d'API destinée aux développeurs. « La plateforme décentralisée de Circle garantit un accès sécurisé aux données et aux applications cloud tout en protégeant les données lors de la connexion et tout au long du parcours de l'utilisateur, quel que soit l'endroit où voyagent les données », a déclaré l'entreprise dans un communiqué.
CommandK
Fondée en 2022, CommandK propose des solutions de gestion pour le cycle de vie complet des données sensibles dans le cloud privé virtuel (Virtual Private Cloud, VPC) de l’entreprise cliente. Sa plateforme garantit l'absence de dépendance des développeurs dans la gestion des données sensibles, ce qui permet aux équipes de sécurité d'atteindre un niveau élevé de sécurité tout en laissant les développeurs se concentrer sur la création de fonctionnalités. CommandK est déployé en tant que solution managée au sein du cloud privé virtuel de l’entreprise cliente, garantissant que les données sensibles restent à l'intérieur du réseau de l'entreprise.
Conveyor
Également fondée en 2021, Conveyor propose, sous forme de service en ligne, une solution qui facilite le remplissage des questionnaires de sécurité. Les fournisseurs peuvent télécharger des documents de sécurité pertinents et des réponses aux questions courantes dans la plateforme de confiance des clients de Conveyor. Les clients peuvent ensuite accéder à ce contenu par l'intermédiaire de la plateforme sécurisée Vendor Trust Platform de Conveyor. Un accord de non-divulgation est demandé pour bénéficier de l’accès au service. Les clients peuvent aussi comparer la posture de sécurité de plusieurs fournisseurs.
Descope
Descope est une plateforme d'authentification et de gestion des utilisateurs pour l'authentification sans mot de passe. Elle offre aux développeurs des outils qui leur permettent d'ajouter facilement des capacités d'authentification, de gestion des utilisateurs et d'autorisation aux applications. La plateforme protège contre les attaques de robots sur les pages de connexion, la fraude par prise de contrôle de compte et le vol de session en identifiant les signaux d'utilisateurs à risque pour mettre en œuvre une authentification progressive. La société a été fondée en 2022.
DoControl
La plateforme événementielle sans agent éponyme de DoControl fournit des outils automatisés en libre-service pour la surveillance de l'accès aux données, l'orchestration et la correction des applications SaaS. Elle est capable d'identifier les informations sensibles et de les empêcher de quitter l'instance cloud d'une organisation. L'entreprise a été fondée en 2020.
Hush
Fondée en 2021, cette startup propose des services de protection de la vie privée numérique basés sur l'intelligence artificielle pour les particuliers et les familles. Mais elle dispose aussi d'un produit de protection de la vie privée des employés de niveau entreprise. Une fois le service Hush déployé par l’entreprise, les employés peuvent gérer leurs propres profils Hush, ce qui peur permet notamment de surveiller et de signaler les problèmes de confidentialité et de remédier aux problèmes qui mettent leur vie privée en danger. Hush met également à disposition du client un « défenseur de la vie privée » joignable par téléphone ou en ligne.
Inside-Out Defense
Lancée en 2023, Inside-Out Defense se présente comme « la première plateforme de l'industrie de la cybersécurité capable de résoudre les compromissions des d’accès à privilèges ». L'offre de l'entreprise fournit de l’accès automatisé, une détection en temps réel et une remédiation en ligne par le biais d'une plateforme SaaS. « La plateforme permet de déterminer les écarts entre les comportements abusifs connus et inconnus, mettant ainsi fin aux abus de privilèges en temps réel et à grande échelle », a expliqué Inside-Out Defense.
Interpres Security
Sortie du mode furtif en décembre 2022, la startup Interpres Security propose une plateforme qui permet aux entreprises de mieux gérer leur « surface de défense ». Elle montre ce que leurs outils de sécurité actuels peuvent détecter et contre quoi ils peuvent se défendre. La plateforme aide également à identifier les lacunes et les inefficacités des cyberdéfenses, ce qui permet aux équipes de sécurité d'utiliser une approche fondée sur les données pour améliorer la posture de sécurité.
Kintent
La plateforme Trust Cloud de Kintent vise à aider les entreprises à passer les audits, à gérer les risques et à mener à bien les analyses de sécurité. Elle utilise un contrôle programmatique basé sur l'API et la vérification des risques, de façon à automatiser les workflows et la collecte de preuves. Trust Cloud peut analyser un programme de conformité et le faire correspondre à plusieurs normes. Elle dispose aussi d'une fonction basée sur l'IA qui aide à remplir les questionnaires de sécurité. Kintent a été fondée en 2020.
Naxo Labs
Fondée en 2022 par un groupe d'experts renommés et d'anciens agents spéciaux du FBI, Naxo Labs fournit des services d'investigation et de médecine légale. L'entreprise travaille sur des cybercrimes, en particulier des menaces d'initiés ou des vols de propriété intellectuelle, et collecte des preuves pour les autorités judiciaires ou pour résoudre des litiges. Naxo fournit aussi des services d’analyses de blockchain et de crypto-monnaies ainsi de récupération de données.
Nudge Security
La solution de Nudge Security gère la sécurité des logiciels en tant que service (SaaS) dans un contexte de travail distribué. Sa plateforme permet de découvrir les actifs SaaS dans le cloud, créés sans qu'il soit nécessaire de modifier le réseau, d'utiliser des agents de point de terminaison ou des extensions de navigateur. La startup affirme que sa sloution offre une visibilité sur l'ensemble de la surface d'attaque SaaS, y compris les comptes gérés et non gérés, les connexions OAuth et les ressources. Elle envoie aussi une notification en cas de création de nouveaux comptes SaaS. Nudge a été fondée en 2022.
Oligo Security
Fondée en 2022, Oligo propose une plateforme de sécurité open-source qui détecte et prévient les attaques du genre Log4Shell en surveillant les activités malveillantes au niveau des bibliothèques. La startup affirme que sa surveillance de l'exécution des bibliothèques open-source se concentre uniquement sur les vulnérabilités pertinentes. La plateforme fonctionne avec la plupart des langages de développement modernes comme Python, Go, Java et Node, ainsi qu'avec tous les fournisseurs de services cloud comme GCP, Azure et AWS.
Piiano
Piiano propose deux produits appelés Piiano Scanner et Piiano Vault. Piiano Scanner analyse le code source à la recherche de références à des informations personnelles identifiables (PII), et Piiano Vault sécurise les données sensibles tout en permettant leur utilisation. Le scanner peut analyser n'importe quel projet GitHub Java ou Python en un seul clic et vise à améliorer la collaboration entre les équipes de développement et les équipes chargées de la protection de la vie privée. L'infrastructure basée sur l'API de Vault permet de stocker en toute sécurité des données sensibles et d'assurer la conformité avec le RGPD (Règlement général sur la protection des données) et le CCPA (California Consumer Privacy Act). Piiano a été fondée en 2021.
Privya
Fondée en 2021, la plateforme Privya propose une approche cloud-native de la confidentialité des données dès la conception. La startup affirme qu'elle permettra aux entreprises de mieux intégrer la protection de la vie privée et des données dans le processus de cycle de vie du développement. La plateforme Privya est capable de découvrir et d'identifier les données personnelles à travers de multiples sources de données et de cartographier le flux de données et la logique d'entreprise. Elle fournit également une architecture automatisée pour mieux répondre aux exigences de conformité.
Sharepass
Fondée en 2020, Sharepass permet de partager des informations confidentielles en toute sécurité entre différentes plateformes. La startup affirme que son produit basé sur le web ne laisse aucune trace numérique quand des données sont partagées. Sharepass crypte d'abord les informations partagées et envoie un lien au destinataire. Ce lien devient inactif dès que le destinataire l'ouvre. Les expéditeurs peuvent spécifier des adresses électroniques, fixer des limites de temps pour la validité du lien ou exiger un code PIN.
SnapAttack
Fondée en 2021, SnapAttack fournit une plateforme de purple-teaming qui, selon l'entreprise, traite l'ensemble du processus de détection des menaces. Dans le jargon de la cybersécurité, Purple-Team désigne une équipe temporaire qui a pour fonction transitoire de superviser et d'optimiser l'exercice des équipes rouge et bleue. La plateforme comprend une bibliothèque de signaux d'attaque qui répertorie les menaces et les simulations d'attaque. Les équipes rouges et bleues peuvent créer leurs propres sessions d'attaque. SnapAttack permet aux équipes violettes d'identifier les lacunes par rapport à la matrice ATT@CK de MITRE et de créer une logique de détection avec un constructeur de détection no-code.
SquareX
Le produit de cybersécurité développé par SquareX est basé sur un navigateur pour assurer la sécurité des consommateurs en ligne. Le produit vise à répondre à des menaces comme le phishing, le vol d'identité, le détournement de session et d'autres attaques basées sur le navigateur en utilisant une extension de navigateur qui surveille et protège les utilisateurs pendant qu'ils vaquent à leurs activités en ligne. L'entreprise, fondée en 2023, prévoit de lancer une version bêta dès le mois de mai.
Stack Identity
Spécialisée dans la gestion des identités et des accès (Identity and access management, IAM), Stack Identity s'attaque au problème de l'accès fantôme, c'est-à-dire aux schémas d'accès non autorisés, non surveillés et invisibles aux données du cloud créés par la myriade d'identités humaines et de machines accédant au cloud. « Nous sommes convaincus que la sécurité dans le cloud doit être axée sur l'identité, l'accès et un contexte approfondi des données, des applications et des logiciels », a expliqué Venkat Raghavan, CEO et fondateur de l'entreprise. Stack utilise son algorithme Breach Prediction Index pour réduire le risque de vulnérabilités dans le cloud et améliorer les audits IAM, la conformité et la gouvernance.
Valence Security
Fondée en 2021, cette startup propose une plateforme pour remédier aux risques de sécurité SaaS autour de l'intégration de tiers, de l'identité, de la mauvaise configuration et du partage de données. La plateforme de Valence Security fournit son propre modèle de données et de permissions cross-SaaS en vue de maintenir le contrôle d'accès. Elle est également livrée avec un ensemble de workflows automatisés de remédiation de la sécurité SaaS afin que leur mise en place puisse se faire avec un minimum de connaissances spécialisées.
Vanta
Le produit Vendor Risk Management lancé par Vanta, un développeur de plateformes de gestion fiduciaire, permet d'évaluer la sécurité des fournisseurs tiers et de procéder à des vérifications préalables. L'idée de l’offre est de réduire le temps et le coût de l'examen, de la gestion et de l'établissement de rapports sur les risques liés aux fournisseurs tiers. La startup a été lancée en 2018.
Vaultree
Fondée en 2020, Vaultree a développé ce qu'elle présente comme le premier kit de développement logiciel (SDK) « entièrement fonctionnel » de cryptage des données en cours d'utilisation. Le produit supprime le risque de fuite ou de vol de données en clair. Selon Vaultree, il permet de traiter, de rechercher et de calculer des données à grande échelle sans livrer les clés de chiffrement ni décrypter les données côté serveur.
Veza
Fondée en 2020, Veza fournit une plateforme d'autorisation pour les données à utiliser dans des environnements hybrides et multiclouds. Selon la startup, sa plateforme permet aux entreprises de mieux comprendre, gérer et contrôler qui est autorisé à effectuer des actions sur les données. Veza se concentre sur la rationalisation de la gouvernance de l'accès aux données, la mise en œuvre de la sécurité des lacs de données, la gestion des droits dans le cloud et la modernisation de l'accès à privilège.
Wing Security
La plateforme de Wing détecte les menaces contre les applications SaaS et y remédie automatiquement. Elle surveille en permanence ce que fait chaque utilisateur, application et fichier. La plateforme peut bloquer ce qu'elle considère comme des connexions risquées entre applications, restreindre et régir les données partagées avec des utilisateurs externes via des applications SaaS, et gérer les vulnérabilités pouvant résulter de comportements à risque des utilisateurs. Elle peut également gérer les jetons et les autorisations des applications SaaS. Wing a été fondée en 2020.
Commentaire