Rechercher
Rechercher
ProvenRun

ProvenRun : l’expert du Security by Design

Vie des Entreprises
Dossier : CybersécuritéMagazine N°773 Mars 2022
Par Dominique BOLIGNANO
PDF de l'article

Dominique Bolig­nano, prési­dent et fon­da­teur de Proven­Run, revient sur l’approche avant-gardiste en matière de sécu­rité adop­tée par son entre­prise. Il nous en dit plus sur cette démarche, les solu­tions pro­posées et les ambi­tions de crois­sance. Rencontre.

Quel est le métier de ProvenRun ?

Dans le domaine de la cyber­sécu­rité, il y a deux approches com­plé­men­taires. La pre­mière con­siste à réa­gir suite à une attaque puis à men­er des actions cor­rec­tives. La sec­onde est une approche préven­tive pour anticiper, lim­iter, voire éviter les attaques. On par­le alors de secu­ri­ty by design ou sécu­rité par con­struc­tion. C’est cette sec­onde approche qui est notre cœur de métier. 

Très sou­vent, les sys­tèmes sont conçus sans inté­gr­er la dimen­sion sécu­rité. La seule option restante pour la sécuri­sa­tion de ces sys­tèmes est de faire de la sécu­rité par réac­tion, ce qui lim­ite le niveau de sécu­rité que l’on peut attein­dre. Nous prenons la démarche inverse en inté­grant la sécu­rité dès les pre­mières phas­es d’un pro­jet et du design d’un sys­tème pour que son état soit le plus proche de l’inviolabilité. L’idée est de ren­dre une cyber­at­taque con­tre ce sys­tème dif­fi­cile au point que les attaquants n’aient aucun mod­èle économique val­able pour l’attaquer.

J’ai créé la société il y a main­tenant onze ans. Pen­dant les sept pre­mières années, nous avons eu une phase de développe­ment des pro­duits que nous avons ensuite cer­ti­fiés. Depuis deux ans et demi, nous com­mer­cial­isons notre solution. 

Plus concrètement, quelle est votre approche de la cybersécurité ?

Au cours des dernières décen­nies, nous sommes passés d’attaques dites physiques ou de prox­im­ité, qui n’avaient pas de mod­èle économique très intéres­sant pour les attaquants, à des attaques dites logiques et dis­tantes qui peu­vent pren­dre dif­férentes formes : prise de con­trôle de véhicules, d’avions, ou de trains à dis­tance ; coupure d’un réseau d’énergie ; attaque con­tre des cen­tres hos­pi­tal­iers… En ayant recours à ce type d’attaques, les cyber­at­taquants peu­vent, par exem­ple, faire chanter un fab­ri­cant auto­mo­bile en le menaçant d’attaquer une gamme de véhicules con­tre une somme d’argent. Plus par­ti­c­ulière­ment, sur ce type d’attaques, les cyber­crim­inels ne pren­nent aucun risque, parce qu’il est qua­si impos­si­ble de les tracer. 

“Notre parti pris est donc de préparer les éléments clés qui permettront de protéger les architectures existantes, mais aussi les prochaines générations.”

Dans un monde où toutes les nou­velles infra­struc­tures numériques s’appuient sur l’informatique et la con­nec­tiv­ité numérique, l’enjeu de pro­tec­tion et d’anticipation de la men­ace est clé. Notre par­ti pris est donc de pré­par­er les élé­ments clés qui per­me­t­tront de pro­téger les archi­tec­tures exis­tantes, mais aus­si les prochaines généra­tions (cloud, IoT, sys­tèmes embar­qués…). De manière générale, ces attaques exploitent des erreurs au niveau des spé­ci­fi­ca­tions, de la con­fig­u­ra­tion, de l’initialisation, mais essen­tielle­ment des erreurs d’implémentation (les bugs). Les cyber­at­taquants essayent d’identifier des bugs pour les com­bin­er et men­er des attaques. Pour réduire ce risque, il faut que la base de con­fi­ance du logi­ciel soit exempte de bugs, et plus générale­ment d’erreurs. Or, il s’agit là d’un prob­lème de génie logi­ciel et infor­ma­tique qui ne peut pas être solu­tion­né par des approches tra­di­tion­nelles. Tous les ana­lystes et les études mon­trent qu’il y a un planch­er de verre sur les sys­tèmes com­plex­es et le nom­bre de bug : à par­tir d’un cer­tain niveau de qual­ité, à chaque fois qu’on cor­rige un bug, il y a une forte prob­a­bil­ité de rajouter un nou­veau bug.

La seule tech­nique qui per­met d’obtenir zéro défaut est la preuve formelle, c’est-à-dire la preuve math­é­ma­tique que la base de con­fi­ance est très proche du zéro bug. Pour les sys­tèmes com­plex­es, il s’agit de prou­ver que tous les chemins d’exécution ne présen­tent aucun prob­lème de sécu­rité. Cela revient à faire des tests sym­bol­iques et exhaus­tifs par preuve, un niveau d’exhaustivité qui ne peut pas être obtenu avec des tech­niques habituelles de test.

“Nous visons 50 à 100 % de croissance annuelle chacune des trois à cinq prochaines années. Pour atteindre notre objectif, notre principal enjeu est le recrutement de personnel à haut potentiel, ainsi que la formation et l’intégration de nouvelles compétences. C’est un axe clé pour conserver notre leadership sur ces sujets.”

C’est à ce niveau que nous nous dif­féren­cions : nous appliquons la preuve de pro­gramme pour sécuris­er les briques essen­tielles d’une archi­tec­ture de sécu­rité (OS, hyper­viseur ou noy­au). Vient ensuite la sécuri­sa­tion des autres appli­ca­tions qui est une démarche beau­coup moins com­plexe. Il nous a fal­lu sept ans pour dévelop­per cette approche et la faire cer­ti­fi­er. Nous sommes ain­si le pre­mier acteur mon­di­al à avoir conçu un sys­tème d’exploitation avec sa base de con­fi­ance prou­vé : Proven­Core. Et pour ce pro­duit, nous avons atteint le plus haut niveau de sécu­rité jamais atteint pour un OS. En par­al­lèle, nous con­stru­isons aus­si des com­posants qui peu­vent être util­isés pour la sécuri­sa­tion de n’importe quelle archi­tec­ture dans le monde. 

Nous pro­posons donc des briques logi­cielles man­quantes pour dévelop­per des archi­tec­tures de sécu­rité ouvertes et mod­ernes. Cette capac­ité à com­bin­er la preuve formelle et un très haut niveau de cyber­sécu­rité nous dif­féren­cie sur le marché. 

Comment intégrez-vous les évolutions rapides et intenses connues par le secteur de la cybersécurité ?

Nous nous sommes tou­jours inscrits dans une démarche d’anticipation. Dans ce cadre, nous accom­pa­gnons de grands acteurs du domaine comme Azure (Microsoft) ; de grandes entre­pris­es de l’aéronautique (Safran) ; des fab­ri­cants de com­posants ; des opéra­teurs de télé­com­mu­ni­ca­tions (Orange, Tata Com­mu­ni­ca­tion Inde)… 

Ils vien­nent avant tout chercher une solu­tion d’architecture sécurisée pour pro­téger leurs sys­tèmes con­tre les attaques dis­tantes que j’ai précédem­ment men­tion­nées. D’autres entre­pris­es vien­nent chercher des briques pour ren­forcer leur archi­tec­ture ou pour béné­fici­er d’un accom­pa­g­ne­ment afin de résoudre plus rapi­de­ment et effi­cace­ment leurs problématiques. 

Quelles sont vos perspectives de croissances et vos enjeux ?

Nous visons 50 à 100 % de crois­sance annuelle cha­cune des trois à cinq prochaines années. Pour attein­dre notre objec­tif, notre prin­ci­pal enjeu est le recrute­ment de per­son­nel à haut poten­tiel, ain­si que la for­ma­tion et l’intégration de nou­velles com­pé­tences. C’est un axe clé pour con­serv­er notre lead­er­ship sur ces sujets. 

Je pense que nous avons les com­pé­tences, le savoir-faire et les exper­tis­es pour con­serv­er ce posi­tion­nement. Nous sommes con­va­in­cus de la valeur que nous appor­tons au monde numérique et dig­i­tal au tra­vers de nos solu­tions de sécurité. 



Articles similaires :

Default ThumbnailDes exper­tis­es sec­to­rielles pour des usages opti­misés et une trans­for­ma­tion réussie TEHTRISCyber­sécu­rité : faire face à l’imprévisible Erium mieux se préparer aux attaques CyberRevenir aux fon­da­men­taux : chal­lenger les solu­tions Cyber et mieux se pré­par­er aux attaques Default ThumbnailLa con­fi­den­tial­ité au ser­vice de la sou­veraineté des données HeadMind Partners est un des membres fondateurs du Campus CyberIA et Cyber­sécu­rité : des syn­er­gies et des perspectives Default ThumbnailCyber­sécu­rité et emploi : « La demande des entre­pris­es devrait être forte et sta­ble pour plusieurs années »

Poster un commentaire