L’interview d’Eric Fourrier a été réalisée lors du Forum InCyber qui s’est tenu à Lille du 26 au 28 mars 2024. AE

SDBR News : Pouvez-vous nous rappeler la genèse de Gitguardian* ?

Eric Fourrier : Gitguardian est né d’un “side project” mené, lorsque nous étions étudiants avec mon associé Jérémy, pour créer une société de conseil en « machine learning ». J’avais été « data scientist » et j’avais travaillé à San Francisco où j’avais commencé à voir les développeurs maitriser de plus en plus de technologies ; mais ils avaient finalement une compréhension très mauvaise de la sécurité en générale, notamment du protocole GIT, et en particulier de la sécurisation du code qu’ils produisaient. Avec nos formations d’ingénieurs et de spécialistes en analyse du langage, nous nous sommes demandé si nous pouvions analyser le code pour y trouver des vulnérabilités de sécurité et ainsi aider les développeurs, dans leur quotidien, à éviter de créer du code avec des failles.

SDBR News : Qu’avez-vous fait pour leur éviter de créer du code avec des failles ?

Eric Fourrier : Nous avons créé un projet sur la « détection des secrets », un secret étant un identifiant nécessaire entre deux applications informatiques pour leur permettre de se connecter : comment une application se connecte à une API en utilisant des jetons d’API, des identifiants de bases de données, etc. Pour aller vite, les développeurs font l’erreur de mettre cette information hautement sensible directement dans le code informatique, ce qui crée une très forte vulnérabilité de sécurité, car ce code est aujourd’hui packagé, distribué et partagé avec d’autres développeurs, voire mis en open source.

SDBR News : Donc comment fonctionne votre solution ?

Eric Fourrier : Nous détectons dans le code informatique de l’information sensible qui n’est pas censée y être, en l’occurrence des secrets. Lorsque nous nous sommes lancés, nous avons créé un premier produit « libre d’accès » pour les développeurs, ce qui a fait notre réputation à peu près partout dans le monde : nous analysons tout le code open source publiquement accessible sur GitHub**en temps réel. A chaque fois que nous trouvons un « secret » (jeton d’API, mot de passe, un identifiant de base de données, etc.), nous envoyons un e-mail au développeur pour lui signaler qu’il vient de publier une information qui potentiellement donne accès à ses données ou aux données de son entreprise, sur un espace publiquement accessible où tous les attaquants et les hackers du monde peuvent les voir.

SDBR News : Une excellente façon d’avoir créé le buzz, non ?

Eric Fourrier : Cette démarche de « bon samaritain » a fait notre succès, en effet. Ce succès a agrégé autour de nous une forte communauté de développeurs, ce qui nous a permis ensuite de créer des produits pour sécuriser leur code et scanner leur « code base ». Ensuite, nous avons proposé aux entreprises de leur vendre des produits apportant la même proposition de valeurs que celle faite gratuitement aux développeurs individuels, mais avec un produit orienté entreprise et facturé au nombre de développeurs internes. Le premier produit que nous leur avons proposé s’appelle « public monitoring » : pour n’importe quelle entreprise, nous pouvons analyser le travail de ses développeurs présents sur GitHub et l’alerter en cas de publication de secrets par l’un ou l’autre. Nous continuons à alerter le développeur mais, en prévenant l’entreprise, nous lui permettons de prendre d’éventuelles mesures de sauvegarde contre la divulgation de données sensibles.

SDBR News : Comment arrivez-vous à analyser la totalité de l’open source publié sur GitHub?

Eric Fourrier : Nous avons un miroir total de ce qui est publié en permanence en open source sur GitHub et nous l’analysons en temps réel. Nous avons un moteur de détection de secrets capable de détecter à la fois les secrets spécifiques et génériques tout en produisant très peu de faux positifs. Des clients nous ont demandé de faire ce que nous faisons sur le code publiquement accessible mais sur leur code privé. C’est la logique du « zero trust » mais appliquée au code.

SDBR News : Quelle est la taille de Gitguardian aujourd’hui ?

Eric Fourrier : Nous sommes 140 aujourd’hui (120 en France et 20 aux États-Unis) et la particularité, pour une entreprise française, est que nous avons dès l’origine vendu nos produits aux États-Unis. Ce qui fait que 80% de nos clients sont américains, 10% en Europe et 10% dans le reste du monde (Japon, Australie, Inde, Brésil…). Nos clients sont essentiellement de grandes entreprises, mais de tous les secteurs. Nous avons bien sûr comme clients les principaux éditeurs de cybersécurité américains. Il est possible de déployer Gitguardian en SaaS ou en self-hosted.

SDBR News : Vous avez levé 44 millions de dollars en série B il y a 2 ans et demi. Quel en était l’objectif ?

Eric Fourrier : L’objectif était de faire des nouveaux produits, de continuer le développement interne, de structurer et d’étendre notre implantation aux États-Unis, puis d’aborder d’autres régions du monde. Nous avons ainsi sorti « SCA » (Sotftware Composition Analysis), avec l’idée d’analyser les dépendances et les bibliothèques open source utilisées par les développeurs. Ces dépendances peuvent avoir des vulnérabilités, donc nous faisons en sorte qu’ils n’en héritent pas ou qu’ils les corrigent en temps réel. Par rapport aux acteurs historiques de ce secteur, Gitguardian a une communauté de développeurs très forte, avec l’application de sécurité la plus installée au monde, et nous apportons aux entreprises la valeur qu’elles achètent : nous n’apportons pas que la détection, nous apportons aussi la remédiation. C’est pourquoi les développeurs sont nos meilleurs commerciaux.

SDBR News : Avez-vous des pistes de croissance externe?

Eric Fourrier : Nous réfléchissons à toutes les options car nous sommes dans un marché de forte consolidation : s’allier à une autre entité, racheter une autre société, etc. L’avenir est ouvert.

*Gitguardian : https://www.gitguardian.com

**GitHub : https://github.com

Crédits photos: GitGuardian