SDBR News : Comment êtes-vous devenu la référence de la « Cyber défense factory* » ?

Cyrille Vignon : Nous avons été le projet pilote lors du démarrage de la factory en 2019. Le fait pour le ministère des Armées de créer une structure permettant la création d’entreprises était très nouveau, voire surprenant, car ce n’était pas dans l’ADN du ministère. Les quatre fondateurs de GLIMPS, trois civils et un militaire, viennent de la DGA où nous nous sommes connus et nous y avons travaillé pendant 7 ans. Nous sommes très complémentaires tous les quatre. Notre métier d’origine est le « reverse engineering » (ou rétro-ingénierie) qui consiste à vérifier qu’un produit ne comporte pas de vulnérabilités avant de le déployer au sein du ministère des Armées, ou bien à analyser des logiciels malveillants (malwares) un peu spécifiques au sein du Minarm, donc un métier très technique. Nous avons démarré GLIMPS à quatre il y a deux ans et aujourd’hui nous sommes 27, et nous visons un objectif de 100 personnes dans les quatre ans. Mais nous sommes toujours dans l’esprit start-up, agiles et travaillant dans une bonne ambiance. Nous avons eu le « Prix du Public » en 2019 et le « Prix du Jury » en 2020 lors de l’European Cyber Week, et le « Coup de Cœur » aux Assises de la Cybersécurité en octobre 2021.

SDBR News : Que fait vraiment GLIMPS ?

Cyrille Vignon : A l’origine, nous avons mis au point une technologie permettant de comparer de manière efficace des applications entre elles et de retrouver au niveau du code des similarités entre les fonctions même si les logiciels comparés ont subi des modifications telles que l’utilisation de compilateurs différents, ou des architectures cibles différentes par exemple. Cette technologie de conceptualisation permet de retrouver instantanément les similarités entre un fichier analysé et des millions d’autres. Prenons l’exemple du cerveau : si je vous montre une fleur que vous n’avez jamais vue, vous serez tout de même capable de dire que c’est une fleur ; vous ne saurez pas dire quelle variété de fleur mais vous pourrez affirmer que c’est une fleur alors que vous n’avez jamais vu cette variété. Votre cerveau aura été capable de conceptualiser le concept de fleur à partir des éléments de votre connaissance historique : une tige, des pétales, etc. C’est exactement ce que nous avons enseigné à notre intelligence artificielle avec du code informatique compilé : nous lui avons appris à générer des concepts de codes pour les reconnaître très efficacement.

SDBR News : Est-ce que compiler du code informatique signifie constituer une bibliothèque démesurée ?

Cyrille Vignon : L’originalité de notre technologie est de ne pas avoir besoin d’être démesurée. Nous avons eu au départ un gros travail manuel de collecte des données initiales, puis nous avons mis en place des collecteurs automatiques de données et la Cyber défense factory nous a bien aidés en mettant des données à notre disposition. Par exemple, pour détecter des logiciels malveillants, par rapport à des antivirus traditionnels sur signature qui vont avoir besoin d’à peu près tous les échantillons disponibles pour pouvoir bien les détecter (ce qu’on nomme la threat intelligence), notre technologie sera capable à l’aide de quelques échantillons vraiment différents de nourrir notre base de comparaison. En quelques secondes, notre technologie sera capable de faire une analyse comparative exhaustive sur tout le code et non sur un échantillon. Nous utilisons cette technologie comparative dans deux produits : GLIMPS malware et GLIMPS audit.

• GLIMPS Malware : c’est un produit de détection et d’analyse de fichiers sur tous supports. L’intérêt de cette technologie est de pouvoir détecter de nouveaux variants des logiciels malveillants, par comparaison avec les attaques déjà connues, en retrouvant la marque des attaquants. Par exemple, Babuk est un ransomware qui a fait pas mal de dégâts récemment jusqu’à ce qu’il attaque le département de police d’état de Washington : il y a 2 mois le code source de ce malware a été posté sur internet, donc de nouveaux groupes d’attaquants vont sûrement reprendre, en entier ou en partie, ce code pour en faire une nouvelle version. Nous avons pu nous-mêmes reprendre ce code pour l’analyser et montrer que GLIMPS sait parfaitement en identifier de nouveaux variants, alors que les antivirus classiques ne vont pas en être capables.

SDBR News : Votre détection est-elle totalement automatisée ?

Cyrille Vignon : Tout cela est automatisé pour aider à la détection et pour faciliter la réponse. Sur la détection, nous avons des APIs extrêmement simples pour pousser un fichier, l’analyser et avoir un verdict « bon » ou « mauvais » : nous nous intégrons pour cela dans des serveurs mail par exemple. Un autre très bon exemple est l’Open XDR Platform dont nous faisons partie. Dans ce cadre ,nous analysons de manière automatisée les fichiers remontés par nos partenaires captant des fichiers : HarfangLab, Gatewatcher, Vade… Cette proximité nous permet d’échanger rapidement des informations de détections enrichies qui aideront à la bonne prise en charge de la menace.

SDBR News : Parlez-nous de GLIMPS Audit…

Cyrille Vignon : Il s’agit d’un outil de reconnaissance et reverse-engineering automatique d’applications. C’est un peu le produit dont nous rêvions lorsque notre équipe travaillait à DGA-MI. GLIMPS Audit facilite les travaux de reverse-engineering et est destiné aux auditeurs de logiciels souhaitant rapidement identifier les éléments qui composent un binaire. Notre produit GLIMPS Audit va comparer le fichier à des millions de bibliothèques sur étagères pour voir celles qui sont incluses dans ce fichier : c’est un travail fastidieux si on le fait manuellement alors que notre produit le fait automatiquement en quelques secondes. Sur la base de ce produit qui existe, nous travaillons déjà sur une évolution orientée qualité logicielle : par exemple, en fin de production avant de livrer une application, ou bien avant de la déployer dans une entreprise pour un RSSI qui veut s’assurer de la confiance mise dans cette application. Il s’agit d’identifier les éventuelles vulnérabilités connues dans une application avant de la déployer, ou bien des problèmes de licence logicielle. On peut même imaginer, par exemple, intégrer notre produit à une palette d’outils utilisés par des opérateurs de Bug Bounty.

SDBR News : En sortant de la factory, avez-vous fait une levée de fonds ?

Cyrille Vignon : Effectivement, nous avons fait une levée de fonds de 6 millions d’euros en avril 2021 auprès d’ACE Capital et de Breizh Up, le fonds de co-investissement de la Région Bretagne. Nos premiers clients viennent du secteur de l’Energie et de la Banque. Prochaine étape en 2022 avec le début d’une stratégie d’internationalisation, amplifiée en 2023.

https://www.glimps.fr

*Lancée en octobre 2019, la « Cyber défense factory » vise à favoriser l’innovation en offrant un hébergement, l’accès à des données d’intérêt cyber et la capacité à développer et tester les solutions avec des experts et des opérationnels du ministère des Armées. Elle joue le rôle de « couveuse d’entreprise » pour de jeunes start-up prometteuses. Ce lieu expérimental et unique en France est situé à Rennes. Il est supervisé par le commandement de la cyberdéfense (le COMCYBER) en synergie avec le centre d’expertise et d’essais DGA Maîtrise de l’information et l’Agence de l’innovation de défense.

Crédits photos: GLIMPS