eShard, un rempart de la cybersécurité

Dans un monde où les objets connec­tés sont omni­pré­sents, la sécu­ri­té devient une prio­ri­té abso­lue. eShard se dis­tingue par sa pla­te­forme logi­cielle pour maî­tri­ser, conso­li­der et déve­lop­per l’expertise dans les tests de sécu­ri­té de sys­tèmes cri­tiques. Hugues Thie­beauld, CEO et cofon­da­teur de l’entreprise, nous explique com­ment eShard innove pour aug­men­ter la confiance dans les com­po­sants maté­riels et logi­ciels face aux menaces cyber croissantes.

Pourriez-vous nous expliquer comment votre parcours a influencé la création et le développement d’eShard ?

J’ai tout d’abord pas­sé dix ans à bâtir un socle solide d’expertise en sécu­ri­té des objets, notam­ment des cartes ban­caires et des pas­se­ports, chez Ober­thur (deve­nu Ide­mia). Puis j’ai rejoint en Angle­terre le groupe amé­ri­cain UL, lea­der en sécu­ri­té. Si les débuts n’étaient pas faciles, en 5 ans j’ai fina­le­ment fait pas­ser l’activité de 700 000 $ à 9 M€ en déve­lop­pant tout, de l’équipe à l’expertise jusqu’au business.

De der­niers, nous sommes deve­nus les numé­ros un dans l’évaluation des pro­duits de paie­ment. Cette expé­rience m’a don­né confiance en ma capa­ci­té à rele­ver des défis com­plexes. Puis mon rêve d’enfant de créer une entre­prise inno­vante a resur­gi. Et la ren­contre avec Georges Gagne­rot a été déci­sive. J’ai de nou­veau dépla­cé toute ma famille en France pour recom­men­cer de zéro. Dix ans plus tard, nous créons de la valeur pour des clients pres­ti­gieux dans le monde entier. Nous avons réus­si le défi de créer un pro­duit logi­ciel tout en res­tant auto­fi­nan­cés, avec une équipe de 40 passionnés.

Comment les entreprises peuvent-elles gérer les risques de cybersécurité dans les systèmes digitaux critiques ?

Le sec­teur dans lequel eShard se posi­tionne est celui de la confiance dans les objets digi­taux, en par­ti­cu­lier ceux impli­qués dans les sys­tèmes cri­tiques à fort impact. Les smart­phones, voi­tures élec­triques, drones et pompes à insu­line, com­po­sés de plu­sieurs couches logi­cielles et maté­rielles pro­ve­nant de dif­fé­rentes sources, posent des défis de sécurité.

“Il est indispensable de posséder une EXPERTISE dans les attaques susceptibles de compromettre l’objet digital.”

Une pompe à insu­line pira­tée peut être mor­telle, et les voi­tures sont deve­nues des smart­phones sur roues. Les enjeux sont énormes, alors com­ment avoir confiance dans les pro­tec­tions ? Selon moi, il y a un moyen : il faut maî­tri­ser le risque et le gérer. Pour ce faire, il est indis­pen­sable de pos­sé­der une EXPERTISE dans les attaques sus­cep­tibles de com­pro­mettre l’objet digi­tal. Sans cette exper­tise, il est impos­sible de prendre des déci­sions viables et de réagir effi­ca­ce­ment face à une faille ou une crise.

Vous mettez un accent particulier sur la sécurité des objets connectés. Pourquoi ces dispositifs représentent-ils un enjeu crucial ?

Nous met­tons plu­tôt l’accent sur la sécu­ri­té des objets digi­taux sous Win­dows, Linux, Android, iOS ou dans l’IoT. Cela couvre la plu­part des objets ! Nos clients sont ceux pour qui ces enjeux sont cri­tiques. Ils ont tel­le­ment à perdre si une faille de sécu­ri­té est décou­verte. Nous col­la­bo­rons éga­le­ment avec des agences gou­ver­ne­men­tales dont les pré­oc­cu­pa­tions incluent la san­té publique, la défense et les rela­tions inter­na­tio­nales. Par exemple, le télé­phone d’un ministre des Affaires étran­gères qui se fait pira­ter, un logi­ciel mal­veillant de type Pega­sus… Quand ces inci­dents sont décou­verts, le mal est déjà fait. Il s’agit alors de se défendre, mais l’aspect offen­sif a éga­le­ment sa place dans les poli­tiques de défense.

Pour cela, il faut maî­tri­ser l’EXPERTISE des attaques, des sys­tèmes et des pro­tec­tions ain­si que celle des tests de sécu­ri­té. Pour vali­der la robus­tesse d’une pro­tec­tion cyber­lo­gi­cielle d’une voi­ture, il faut pou­voir la tes­ter en met­tant en œuvre l’attaque dont elle est cen­sée se pro­té­ger. De même, pour com­prendre le logi­ciel Pega­sus, il faut avoir les tech­niques de reverse engi­nee­ring (rétro­con­cep­tion) pour iden­ti­fier la faille.

Selon moi, l’EXPERTISE dans les tests de sécu­ri­té repose sur un trip­tyque : les experts, les outils et le savoir-faire (ou la connais­sance). C’est un enjeu cru­cial, mais il est com­pli­qué à déve­lop­per. C’est un peu comme la confiance : il faut des années pour la construire, mais très peu de temps pour la perdre.

eShard est reconnu pour ses solutions innovantes comme esDynamic et esReverse. Pouvez-vous nous les expliquer ?

Spé­cia­listes de tests de sécu­ri­té, nous nous adres­sons aux indus­triels et aux agences gou­ver­ne­men­tales, tant sur le maté­riel avec esDy­na­mic que sur le logi­ciel avec esRe­verse. Notre offre repose d’abord sur une même pla­te­forme logi­cielle qui récon­ci­lie le trip­tyque : per­mettre aux experts de col­la­bo­rer, ser­vir de centre de res­sources pour trou­ver les outils néces­saires et par­ta­ger les connais­sances. La pla­te­forme est conçue pour que les experts tra­vaillent sur un espace com­mun, héber­gé chez nos clients, donc com­pa­tible à des enjeux cri­tiques de confi­den­tia­li­té. L’environnement très flexible per­met d’agréger d’autres outils, de les confi­gu­rer et de mener des tests de sécurité.

Cette pla­te­forme favo­rise le déve­lop­pe­ment incré­men­tal de l’expertise et sa conso­li­da­tion. Nos ana­lystes de sécu­ri­té expé­ri­mentent cette méthode de tra­vail col­la­bo­ra­tive pour déve­lop­per et vendre notre exper­tise et nos connais­sances sous forme de cata­logues à dis­po­si­tion de nos clients. Notre pre­mier domaine d’expertise, esDy­na­mic, concerne les attaques maté­rielles sur les puces élec­tro­niques. Dans cette offre, la pla­te­forme est l’élément cen­tral de solu­tions de labo­ra­toire que nous pou­vons four­nir. En près de dix ans, nous avons consti­tué un cata­logue unique au monde de tech­niques d’analyse sur les implé­men­ta­tions d’algorithmes de cryp­to­gra­phie. En ce moment, nous le fai­sons évo­luer avec la PQC (Post Quan­tum Cryptographie).

Notre second domaine, esRe­verse, est l’analyse des codes binaires via le reverse engi­nee­ring logi­ciel, pour com­prendre le code ou pour vali­der la sécu­ri­té du code tel qu’il se pré­sente dans l’objet. Nous déve­lop­pons un outil puis­sant, le Time Tra­vel Ana­ly­sis ou Debug­ging, qui enre­gistre et ana­lyse les séquences d’exécution d’un logi­ciel sur un sys­tème, offrant une vision détaillée de l’exécution. Nous avons acquis une exper­tise en ému­la­tion de sys­tèmes, et nous avons atteint un jalon avec l’émulation d’un iPhone, une pre­mière mondiale.

En quoi consiste l’approche de sécurité « in depth » ?

La sécu­ri­té « in depth » exige la sécu­ri­té de chaque com­po­sant indi­vi­duel­le­ment, créant ain­si plu­sieurs couches de pro­tec­tion. Bien que cela puisse sem­bler coû­teux, une sécu­ri­té inté­grée dès la concep­tion offre un bon com­pro­mis entre coût et qua­li­té. Les tests de sécu­ri­té doivent être inté­grés à chaque niveau, et ce dès la sélec­tion des com­po­sants et tout au long du cycle de déve­lop­pe­ment. L’expertise et les outils spé­cia­li­sés sont indis­pen­sables pour simu­ler des attaques et vali­der les pro­tec­tions, ce qui est une prio­ri­té chez eShard.

Et à propos de l’écosystème cyber français ?

Mal­gré les appa­rences, l’écosystème fran­çais me semble imma­ture en matière de col­la­bo­ra­tion. La cyber­sé­cu­ri­té est un sec­teur où la tech­no­lo­gie joue un rôle très impor­tant. Pas­ser de la tech­no­lo­gie au pro­duit consti­tue un défi majeur auquel beau­coup sont confron­tés. La tech­no­lo­gie peut être pro­met­teuse, mais trans­for­mer cette pro­messe en pro­duit est essen­tiel pour réus­sir : cela prend du temps, c’est coû­teux, et cela néces­site de nom­breuses com­pé­tences, notam­ment en mar­ke­ting, en com­merce et en déve­lop­pe­ment de produit.

Pour­quoi avons-nous moins de suc­cès que les Israé­liens dans ce domaine ? Ils semblent mieux appré­hen­der la dif­fi­cul­té de pas­ser de la tech­no­lo­gie au pro­duit. À regar­der la pro­po­si­tion de Team8, c’est un exemple d’écosystème rap­pro­ché où les tech­no­lo­gies sont expo­sées tôt aux uti­li­sa­teurs ou don­neurs d’ordre, avec une logique bien­veillante, exi­geante et constructive.

En France, je n’ai pas encore vu cela. Je pense que nous nous consi­dé­rons trop rapi­de­ment comme des concur­rents, et pas assez comme des par­te­naires dans un éco­sys­tème mature. Mais l’exemple Team8 est une bonne ins­pi­ra­tion pour la direc­tion à suivre.

Nous avons un ter­reau incroyable pour ima­gi­ner des tech­no­lo­gies. Cepen­dant notre éco­sys­tème de finan­ce­ment est trop axé sur les pro­duits déjà com­mer­cia­li­sés, qui n’ont plus qu’à être accé­lé­rés. Lever des fonds pour une tech­no­lo­gie qui a besoin de moyens pour deve­nir un pro­duit reste une excep­tion. Pour­tant, c’est exac­te­ment sur ce sujet que nous devons pro­gres­ser, pour ne pas ris­quer de décro­cher : les USA et la Chine montrent des finan­ce­ments impor­tants pour des tech­no­lo­gies non commercialisées…

Il faut par­ve­nir à faire évo­luer notre culture pour rap­pro­cher les concep­teurs de tech­no­lo­gie et les don­neurs d’ordre, avec des finan­ce­ments moins axés sur le court terme. Car je reste convain­cu que nous avons tout pour aug­men­ter nos réus­sites dans la cybersécurité.

https://eshard.com/

---

Articles similaires :

Cam­pus Cyber : la vitrine de l’excellence fran­çaise en cybersécurité Connaître et anti­ci­per la menace : un enjeu déci­sif pour se pro­té­ger efficacement Des accès sécu­ri­sés pour un sys­tème d’information mieux protégé ! Pro­ven­Run : l’expert du Secu­ri­ty by Design Cyber­sé­cu­ri­té : une offre inté­grée et au plus proche des entreprises