La sécurité des développeurs, nouvel enjeu technologique et financier

Cyberattaques à répétition, entreprises désarmées, dispositifs vulnérables, la cybersécurité est régulièrement dans l’actualité. Au sein de la grande famille de la sécurité informatique, il y a un membre qui prend de plus en plus de place : la sécurité des développeurs. Représentée par l’acronyme DevSecOps, c’est l’un des marchés en plein boom au sein d’un secteur qui ne s’arrête plus de générer de la valeur et de l’innovation.

On ne parle pas ici de gardes du corps suivant chaque développeur, mais d’une protection des lignes de code produites par les développeurs lors de la création des applications et logiciels. L’idée est d’amener une couche de sécurité dès le départ de l’élaboration du code plutôt que de se poser la question en fin de parcours de production. La référence dans le domaine est une start-up américaine, Snyk. Snyk a récolté la bagatelle de 830 millions de dollars rien qu’en 2021 et est déjà capitalisée à 8,5 milliards de dollars. Après trois acquisitions et un qualificatif d'entreprise "visionnaire" par Gartner, elle attire les investisseurs du monde entier. Nous avons rencontré son fondateur et président Guy Podjarny, la nouvelle star du secteur.

Pourquoi avoir fondé Snyk en 2015 alors que personne ne parlait de sécurité des développeurs ou du développement?

Quand on a créé Snyk, on était aux prémices de ce qui s’appelle aujourd’hui le DevSecOps. Les développeurs à ce moment-là faisaient face à un processus de développement qui consistait à rédiger quelques lignes de code, les faire valider, les adapter et recommencer. Au plus vite ce processus se fait, au mieux se porte le business. Sauf que la sécurité le ralentissait considérablement. L’idée était donc de trouver une solution et d’amener la couche de sécurité nécessaire directement lors du développement. Le but était de faire un outil pour les développeurs, pas une entreprise de sécurité informatique.

Pourquoi faut-il aujourd’hui tant investir dans la "Dev Security"?

Les équipes de développement peuvent être comparées aux équipes IT d’il y a 10 ou 20 ans. On est passé de la personne qu’on allait voir, car on avait une mise à jour à faire sur son ordinateur, à un maillon essentiel d’une entreprise qui peut en faire un gagnant ou un perdant de son secteur. C’est exactement le même chose pour les développeurs aujourd’hui.

Dans ce contexte, qu’est-ce qui fait le succès actuel de Snyk?

Nous nous concentrons uniquement sur les développeurs. Vous pouvez bâtir la meilleure sécurité et la meilleure technologie, s’ils ne l’utilisent pas, cela ne sert à rien. Nous avons réussi à construire un outil de protection que des millions de développeurs ont choisi d’adopter. Pas un produit que quelqu’un de leur entreprise leur a imposé. Nous avons aussi la meilleure base de données de vulnérabilité du marché.

Comment expliquez-vous que vous êtes méconnus en Europe alors que les investisseurs vous harcèlent aux États-Unis ?

(Rires) L’Europe a été plus lente à adopter la sécurité du développement. Nous sommes pourtant assez connus en Europe, mais pas par ceux qui prennent les décisions. Les développeurs nous connaissent, mais pas les exécutifs. Nous nous adressions uniquement aux développeurs. À l’inverse de certains grands noms de la cybersécurité, nous ne sommes pas populaires auprès du grand public. Peu de gens savent que nous avons levé plus de 800 millions de dollars cette année. Nous allons essayer de nous faire mieux connaître de tous.

Vos deux dernières levées de fonds de 530 et 300 millions de dollars vous ont donné un nouveau statut?

Les levées de fonds aident effectivement à faire du bruit même si ce n’est pas la raison principale pour laquelle nous les faisons. Nous avons encore beaucoup à faire pour toucher l’ensemble des développeurs et nous faire connaître. Il reste encore beaucoup de types d’application et de logiciel à sécuriser. Nous avons une grande mission à accomplir : sécuriser le monde du développement pour garantir un monde numérique plus sûr.

Quel est le prochain défi de votre industrie?

Pas celui que vous imaginez: la diversité. Nous investissons chaque année dans la diversité en interne, c’est quelque chose de fondamental pour moi. C’est essentiel pour la société en général, mais aussi d’un point de vue purement business, car si l’on n'agit pas, il n’y aura jamais assez de talents pour tous les postes à pourvoir dans la sécurité informatique.

Qu’est-ce qui est le plus dur à sécuriser dans le développement d’un logiciel ou d’une application?

La plupart des hackers sont des fainéants. Il faut donc, comme pour une maison, garder au maximum les portes et fenêtres fermées. Cela assure déjà une sécurité de base qui en fera fuir beaucoup, notamment toutes les attaques automatiques. Mais les applications sont devenues tellement complexes qu’il est plus facile de créer du chaos que de l’organiser. Je reste pourtant optimiste.