Escape Technologies sécurise les API avec l’IA générative

Les biarrots d’Escape Technologies cherchent à améliorer la sécurité applicative en testant les API en profondeur. Leur approche se base sur l’IA pour analyser leur sécurité jusque dans leur logique métier.

C’est après avoir interrogé des spécialistes de la sécurité applicative que Tristan Kalos, actuel CEO, et Antoine Carossio, CTO, décident de créer Escape Technologies sur une idée simple : renforcer la sécurité des API. L’absence d’inventaire à jour et, surtout, la criticité des données véhiculées via les API représentent en effet un risque majeur pour les entreprises. Pour répondre à ce besoin, ces entrepreneurs ont créé une plateforme SaaS dédiée à leur détection et à leur sécurisation. Sa première brique fonctionnelle a pour objectif de recenser l’intégralité des API exposées par l’entreprise. Elle utilise des fonctions de découverte automatique à partir d’un nom de domaine ou en s’interfaçant avec un dépôt de code comme GitHub, GitLab et les outils de développeurs tels que Postman ou Backstage. Mais la valeur ajoutée de la solution proposée par la start-up par rapport aux nombreuses solutions DAST (Dynamic application security testing) du marché réside surtout dans la façon dont les API sont testées. Pour ce faire, le logiciel examine leur conformité vis-à-vis de différents modèles de sécurité, notamment l’OWASP Top 10. Le résultat est obtenu d’un simple clic et nécessite très peu de configuration. « Il s’agit simplement de saisir un header d’identification lorsque c’est nécessaire pour le test, explique Antoine Carossio qui ajoute : Ensuite, nous avons une innovation technologique majeure avec l’IA générative qui nous permet d’analyser en profondeur la logique métier des API. Il s’agit pour cela de créer des séquences de requêtes qui ont du sens pour l’API. »

Une IA entrainée avec LLaMA

Les solutions plus classiques lancent des requêtes en force brute sur les API, dont les données incohérentes ne passent pas la couche de validation des données et finalement rendent le taux de couverture de ces outils très faible. L’approche d’Escape Technologies vise plutôt à comprendre comment fonctionnent les API, pour générer des séquences de requêtes légitimes, réinjecter des données pertinentes avec des vrais identifiants d’utilisateurs trouvés dans les requêtes précédentes ou créés par le scanner pour avoir des chaînes d’attaque qui ont du sens. C’est là que l’IA entre en jeu. « Notre offre s’appuie sur une IA générative qui n’est pas un LLM. Nous avons notre propre réseau de neurones basé sur LLaMA que nous avons entraîné pour faire certaines tâches spécifiques, en particulier en début de séquence de scan. Lorsqu’on ne dispose pas de beaucoup d’informations sur l’API, le modèle va générer des requêtes pertinentes en fonction des endpoints découverts dans l’inventaire, du nom des paramètres, etc. »

Des vulnérabilités contextualisées

Outre cette détection des vulnérabilités en profondeur, l’éditeur s’attache à contextualiser le risque, afin de ne plus se limiter à signaler simplement les 100 API susceptibles d’être attaquées par injection SQL, mais plutôt pour pointer les risques d’injection SQL sur une API qui manipule des données sensibles et qui est exposée à Internet sans token d’authentification. « Cette contextualisation permet aux équipes de sécurité de se concentrer sur ce qui compte vraiment », ajoute Antoine Carossio, qui souhaite aussi impliquer les développeurs bien plus précocement dans le cycle de production : « L’intégration avec le CI/CD doit permettre que les développeurs remédient aux vulnérabilités à chaque commit, dès qu’ils exposent une nouvelle application ou qu’ils la mettent à jour. » Le CTO estime que la contextualisation de la vulnérabilité détectée apportera un plus aux équipes.

LE PITCH

L’ENTREPRISE

CRÉATION : 2020
SIÈGE : Biarritz (64)
EFFECTIF : 15 collaborateurs
FINANCEMENT : 3,9 M€ de fonds « seed » levés auprès de divers business angels et investisseurs
RÉFÉRENCES : Société Générale, 20 Minutes, Sorare

Abonnez-vous à la newsletter hebdo d'IT for Business !

Rejoignez notre liste de diffusion pour recevoir toutes les semaines une sélection d'articles et quelques autres surprises préparées spécialement pour vous par notre rédaction.

ABONNEZ-VOUS !

Nous vous envoyons un e-mail de validation !