Alain Establier : Le 10 Octobre 2019 à Monaco, aux Assises de la Sécurité et des Systèmes d’Information, vous allez recevoir le Prix de l’Innovation pour votre plateforme SaaS d’audit de sécurité automatisé pour les logiciels embarqués et l’Internet des Objets (IoT). Pouvez-vous nous expliquer simplement à quoi cette plateforme peut servir ?

Jonathan Brossard : La plateforme Moabi répond à 2 constats. Tout d’abord, les objets connectés et leur prolifération créent de nouveaux risques critiques, notamment si on pense à la e-santé (ex : les pompes à insuline) ou aux véhicules connectés. Ensuite, la meilleure protection de ces objets est d’inclure la sécurité dès la conception des produits, pour en faire une qualité intrinsèque. Le problème est que les solutions à notre disposition sont soit partielles, soit extrêmement coûteuses. En phase de développement, les outils d’analyses et de tests de code source ont des limitations simples : vu leur coût, ils ne sont pas utilisés pour couvrir l’open source. Et faute d’accès au code source des fournisseurs, l’analyse des développements externes est exclue. En fin de phase d’intégration, les tests d’intrusions, les « pentests », requièrent des ressources rares et chères, et ils vont lancer des analyses manuelles sur une partie seulement des projets délivrés. La plateforme Moabi quant à elle mesure, contrôle et améliore le niveau de sécurité des logiciels et des objets connectés, y compris ceux venant des fournisseurs. La solution couvre tout le cycle de développement : la conception, le développement, l’intégration et la maintenance, à des coûts adaptés et de façon automatisée.

Nous travaillons sur les applications, les OS et les firmwares : les binaires, les exécutables de ces logiciels, sont chargés simplement sur la plateforme déployée dans un Cloud privé. Sans configuration aucune, le niveau de sécurité, appelé surface de défense, est calculé grâce à 5 critères (dette technique, défense en profondeur, force de la cryptographie, conformité aux règles de sécurité de code, vulnérabilités existantes et 0Days) permettant une analyse complète et exhaustive. Moabi fournit alors des mesures selon ses critères et des rapports de remédiations pour corriger et améliorer ce niveau de sécurité.

Alain Establier : Vous dites être une spin-off de Toucan System qui a 10 ans d’existence. Pourquoi avoir développé Moabi en dehors de Toucan System et créé une entité juridique nouvelle en avril 2019 ?

Jonathan Brossard : Toucan System est une société de conseil. Nous intervenons auprès de nos clients pour des services de pilotage de la sécurité, de tests d’intrusion et de Redteam, en France et aux États-Unis, ainsi qu’en Australie par le passé. Nous faisons un effort continu en matière de recherche de sécurité, et nous publions fréquemment nos travaux, notamment à des conférences comme Blackhat : en 2012 par exemple, avec la première identification de backdoor logiciel, ou en 2015 avec les premières vulnérabilités de Windows10. Moabi est un éditeur de logiciel : la structuration de la société, nos modalités d’engagement clients, nos recrutements et notre modèle d’affaire sont bien distincts. Quand il s’est agi de lancer la plateforme Moabi début 2019, se sont posées les questions des meilleurs moyens et de l’environnement le plus propice pour cette activité. Ayant vécu aux États-Unis ces dernières années, j’avais aussi la possibilité de créer l’activité à San Francisco. Nous avons étudié les différents paramètres d’un lancement réussi avec mes associés basés en France. Finalement, nous avons fait le choix de créer cette nouvelle société à Paris pour des raisons très simples : l’écosystème start-up y est aujourd’hui très favorable. De nombreux incubateurs existent et l’environnement financier et technique (BPI, pôle de compétitivité, laboratoires universitaires, mais également statuts JEI, CIR et CII) apportent un soutien important. Par ailleurs, il y a en France des expertises fortes en cybersécurité et des développeurs de talents sur lesquels nous allons nous appuyer pour continuer à développer notre plateforme. La création d’un Comité Stratégique de Filière en France montre également une attention soutenue du politique sur notre domaine. Tous ces signaux positifs ont contribué à notre décision de fonder la société en France et nous sommes d’ailleurs ravis de recevoir le « Prix de l’Innovation des Assises » cette année ; il nous permettra de bénéficier d’une visibilité inédite lors de l’événement à Monaco. Lorsque notre base française sera établie, nous avons vocation à nous développer sur de nouveaux marchés comme les États-Unis, où nous avons déjà pris des premiers contacts.

Alain Establier : Vous vous intéressez, je crois, au secteur de la Défense. Qu’avez-vous de spécifique à proposer dans ce secteur ?

Jonathan Brossard : Pour le secteur de la Défense, nous apportons une forte expertise sur la cybersécurité dans les véhicules connectés. Nos premiers clients et utilisateurs sont d’ailleurs des constructeurs ou des fournisseurs automobiles pour les nouveaux véhicules dont la technologie logicielle embarquée joue un rôle de plus en plus prépondérant. Nous constatons aujourd’hui un vif intérêt pour transposer notre solution vers les véhicules connectés du secteur de la Défense (Air, Terre et Mer). Même si les contextes et les impacts de sureté sont sensiblement différents, nous observons des objectifs de cybersécurité similaires, pour mesurer les niveaux de sécurité des projets délivrés, évaluer la sécurité des produits de tous les fournisseurs, faire croître la culture et la qualité cyber dans les chaînes de fournisseurs. Aujourd’hui, il y a consensus entre l’ANSSI, la DGA, les ensembliers et grands intégrateurs systèmes sur la nécessité de faire croître la performance cyber et l’amélioration continue des processus sur toute cette chaîne de fournisseurs. Dans ce cadre, notre solution apporte 2 innovations majeures :  

- la plateforme Moabi apporte un référentiel de mesures qui va permettre d’évaluer les niveaux de cybersécurité des développements logiciels internes et externes, et de comparer des versions, ou des fournisseurs, sur la base de métriques stables et cohérents. Ces mesures sont essentielles dans l’évaluation des risques et la communication des objectifs de cybersécurité vers les différents acteurs de la sécurité (depuis la direction jusqu’aux fournisseurs).

- Notre technologie fournit en outre une automatisation poussée des audits sécurité sur les binaires, avec des analyses et tests sur le niveau technique de la cybersécurité avec notamment la détection des vulnérabilités existantes et des 0days. Ce niveau d’automatisation permet d’envisager la couverture sécurité de projets complets à des coûts adaptés et dans des délais très courts.

Alain Establier : Pourquoi choisir de travailler avec Moabi plutôt qu’avec une des 60 entreprises ayant le Label France Cyber Security ?

Jonathan Brossard : Notre solution Moabi répond aujourd’hui à des problématiques d’évaluation du niveau de sécurité des objets et véhicules connectés dans le cycle de développement sécurisé des logiciels pour les développements internes, open source et externes. Nous offrons des mesures techniques essentielles pour l’évaluation de la performance des fournisseurs et la mise en place de processus cybersécurité dans la production. Ces enjeux ne sont pas adressés par les acteurs ayant le Label France Cyber Security : notre domaine de marché est celui de l’« application security » et seules deux sociétés labellisées œuvrent dans ce domaine, avec des approches sur le mobile et les applications de smartphone d’une part, sur la recherche de bugs sur les projets déployés par bug bounty d’autre part. Notre solution d’audits sécurité automatisés a donc une position unique et qui vient compléter l’offre de ces 60 entreprises. Ce Label France Cyber Security est un label important pour l’export et nous envisageons de travailler à son acquisition pour accompagner et soutenir notre développement à l’international.

https://moabi.com

Crédit Photo : Moabi