Secu
Lupin & Holmes outille la cybersécurité offensive
Par Thierry Parisot, publié le 24 mars 2025
La start-up grenobloise propose une solution pour vérifier la sécurité des composants logiciels d’une application, en s’assurant notamment que leur environnement ne présente pas de failles.
Alertées par les cyberattaques médiatisées et la multiplication des réglementations (CRA, DORA, NIS 2, etc.), les entreprises ont pris la mesure des risques pesant sur leurs systèmes d’information, en particulier leurs applications. Une problématique critique car, dans un monde numérique en mutation rapide (IA, blockchain, IoT, robotisation, etc.), toutes cherchent à fournir en continu de nouveaux produits et services digitaux à leurs collaborateurs, partenaires et clients, souvent en récupérant et assemblant des composants préconstruits. Or, ces composants ou « dépendances » (codes tiers, frameworks, librairies, etc.) peuvent embarquer des failles, comme un malware ou une porte dérobée.
Pour se protéger, de nombreuses organisations ont adopté le « bug bounty ». Cette approche rémunère des experts, « chercheurs » en sécurité ou « hackers éthiques », pour identifier des vulnérabilités. Ces recherches sont pilotées en interne ou via des plateformes spécialisées comme HackerOne, Bugcrowd, ou YesWeHack. Cependant, cette méthode exige des compétences avancées et des ressources importantes. Elle limite aussi les recherches à un périmètre applicatif précis.
Une approche proactive
C’est à partir de ce constat que Roni Carta, passionné depuis toujours par la programmation et devenu expert en cybersécurité, a souhaité accompagner les entreprises sur ce terrain, pour soulager leurs « techniciens du code » et gagner en efficacité. En 2023, après une expérience d’ingénieur sécurité senior chez ManoMano et plusieurs années comme hacker éthique chez HackerOne, il décide de créer avec son frère Oren Carta-Lag une société de R&D en « cybersécurité offensive », Lupin & Holmes, pour détecter et prévenir les menaces de manière proactive. « Tout en poursuivant nos activités dans le bug bounty, par passion et pour financer la société, nous avons consacré la première année à développer et à valider, techniquement et commercialement, la solution que nous souhaitions proposer », explique Roni Carta.
La « software supply chain » dans la boucle
Lancée en novembre, la solution Depi cible la « software supply chain » plus que le code source. Elle couvre les étapes de conception, développement et distribution. Son objectif est de sécuriser l’environnement où chaque dépendance s’insère. « Les faiblesses des plateformes de modification, d’hébergement et de transit des composants logiciels d’une solution fournissent un terrain de jeu idéal pour les intrus et les cybercriminels », assure Michaël Dahan, président de la start-up, précisant que Depi s’intéresse principalement aux environnements GitHub et GitLab. De fait, selon un rapport du Ponemon Institute, 59 % des entreprises auraient déjà subi une attaque contre leur supply chain logicielle, dont plus de la moitié au cours des douze derniers mois. « Pour autant, nous n’avons pas oublié l’importance d’identifier du code malveillant, puisque cette fonctionnalité est également embarquée dans la solution », complète Roni Carta, avec là-aussi une priorité sur les principaux langages : JavaScript, Python et Ruby. La solution propose trois formules tarifaires. Elles varient selon le nombre de dépôts à surveiller et la fréquence des scans. Lupin & Holmes développe déjà d’autres outils pour mieux protéger l’environnement logiciel des entreprises.
LE PITCH
Roni Carta
Cofondateur de Lupin & Holmes
Notre solution permet aux entreprises de vérifier la sécurité des dépendances qu’elles utilisent dans le cadre de leurs projets informatiques, et de bénéficier de recommandations. »
L’ENTREPRISE
CRÉATION : 2023
SIÈGE : Grenoble
EFFECTIF : 4 collaborateurs, 20 contributeurs externes
FINANCEMENT : Primes de « bug bounty »
RÉFÉRENCES : Confidentiel
À LIRE AUSSI :
