singkham - Fotolia
Défié sur la détection de secrets, GitGuardian diversifie son offre
Malgré l’intégration des outils de détection de secrets dans les plateformes DevOps GitHub et GitLab, GitGuardian croit avoir quelques cartes à jouer pour exister sur le marché de l’AppSec.
Depuis 2021, GitHub propose des fonctions de détection de secrets à ses clients et les a rendus gratuitement disponibles pour les utilisateurs de dépôts publics. GitLab fait de même après le lancement de sa version 11.9 en 2019.
Fondée en novembre 2017, la startup française GitGuardian avait jusqu’alors l’avantage sur les suites bâties sur Git dans ce domaine de niche. Toutefois, en 2023, GitHub et GitLab se sont grandement améliorés dans la détection et la révocation de secrets. La filiale de Microsoft et l’éditeur affichent leur volonté de proposer « LA » plateforme DevOps des entreprises.
« Effectivement, notre plus gros concurrent, c’est GitHub, donc Microsoft depuis son rachat en 2019 », indique Éric Fourrier, CEO et cofondateur de GitGuardian. « GitHub est une entreprise qui fournit des outils pour les développeurs et n’est pas forcément une boîte de sécurité », nuance-t-il.
Plus précisément, l’offre GitHub Avanced Security concurrence GitGuardian Internal Monitoring. « Ça ne change pas notre mission. C’est à nous de montrer aux développeurs et aux entreprises que notre exécution est meilleure », considère Éric Fourrier.
À ce titre, la startup vante toujours sa position de leader de la sécurité sur la place de marché de GitHub depuis laquelle la version gratuite de son scanner a été installée plus de 329 000 fois. Cette popularité, au passage, qui n’a pas été entravée par la filiale de Microsoft.
« Best of breed » contre plateforme unique
GitGuardian entend se différencier non pas par la détection de secrets, mais par la remédiation des fuites. « Historiquement et encore aujourd’hui, n’importe quelle entreprise dans le monde peut lancer un essai de GitGuardian, scanner toute sa base de code, détecter des secrets, les exporter au format CSV et ne pas payer », assure Éric Fourrier.
« La valeur se trouve réellement dans la mise en place de flux de travail, de processus, dans le déploiement d’outils au bon endroit pour éviter que les développeurs fassent des erreurs de sécurité », avance-t-il.
L’objectif est de révoquer les secrets, puis d’enclencher leur rotation. « Cela exige une connaissance de la manière dont les applications sont déployées et quand les secrets sont partagés ».
Or GitHub et Microsoft n’auraient la maîtrise que de leurs plateformes respectives. « Ces grandes plateformes ont leurs avantages, mais elles exigent un verrouillage propriétaire pour obtenir la maîtrise attendue par les entreprises », souligne Éric Fourrier.
Pourtant, GitHub a mis en œuvre un système de rotation de clés dans les dépôts de code publics et les paquets npm, des rotations gérées par plus de 200 partenaires propriétaires des solutions qui génèrent ces clés, y compris celles d’AWS et de GCP.
« C’est une bonne chose pour les développeurs, mais ce n’est pas, selon moi, une bonne vision de la sécurité », juge Éric Fourrier. « Ce n’est pas aux fournisseurs d’API d’être propriétaires de la logique de rotation des clés ».
De plus, cela conduirait à une décentralisation des alertes, affirme le PDG de GitGuardian. « Une entreprise qui a plusieurs milliers de développeurs subit régulièrement des fuites de secrets. Si je laisse chaque fournisseur créer sa logique d’alerting, cela provoque de la fatigue et potentiellement un manque de vision d’ensemble pour les équipes de sécurité ».
GitGuardian, lui, prône la centralisation des alertes liées aux secrets et des processus de rotation dans une seule plateforme spécialisée.
Eric FourrierCEO et cofondateur, GitGuardian
« Nos clients qui utilisent souvent GitHub se posent la question du choix d’une approche “best of breed” ou plateforme », explique le CEO de GitGuardian. « Cela revient à répondre à la question suivante : “est-ce que je veux un outil moins puissant, natif de ma plateforme DevOps avec lequel je suis prêt à prendre plus de risques ou inversement, dois-je adopter un outil plus performant, mais qui exige que son éditeur fasse des efforts pour s’intégrer au mieux dans ma chaîne d’outils ?” », résume-t-il.
À ce jeu, Éric Fourrier reconnaît que GitGuardian et ses concurrents s’affrontent – sur certains aspects – à coup d’arguments marketing. Par exemple, il est attendu d’un moteur de détection qu’il repère le plus de types de secrets possible, qu’il soit générique ou non. Si cette couverture numéraire est nécessaire, c’est davantage la performance algorithmique que l’éditeur met en avant auprès de ses clients.
« Nous suivons plus particulièrement deux métriques. La première, c’est le rappel (recall) : combien de secrets nos détecteurs trouvent-ils par rapport au nombre total de secrets présents dans une base de code ? Et la deuxième, c’est la précision : parmi tous les secrets que nous avons détectés, lesquels ne sont pas de véritables secrets. C’est un trade-off permanent ».
Comme ses concurrents, l’éditeur doit donc ajouter des types de secrets à sa liste et mettre régulièrement à jour ses détecteurs. En janvier, il a ajouté sept détecteurs pour CircleCI, Claude d’Anthropic, Grafana, Klaviyo, Bunny.net, Hugging Face, Square, et en a mis à jour neuf.
Remédiation, remédiation, remédiation
Toutefois, Éric Fourrier considère que la détection de secrets est un « problème maîtrisé ». Comme la centralisation des alertes, cet aspect fait l’objet « d’améliorations continues », poursuit le dirigeant. Non, l’éditeur se concentre davantage sur l’optimisation de deux métriques que sont le MTTR, le temps moyen de remédiation et le nombre d’incidents liés à des secrets résolus au cours du temps.
Eric FourrierCEO et cofondateur, GitGuardian
« Pour moi, c’est plus important que de centraliser toutes les alertes de sécurité, ce qui n’est pas la vision du marché aujourd’hui. Sans la remédiation, j’estime que notre produit ne vaut pas le prix que nos clients paient actuellement », insiste Éric Fourrier.
La plateforme de l’éditeur intègre déjà des moyens de superviser les incidents et de les prioriser. Elle offre également des playbooks pour automatiser la remédiation, des playbooks que les utilisateurs peuvent personnaliser.
À partir de cette année, Gitguardian compte multiplier les partenariats avec les éditeurs de solutions de gestionnaires de secrets, de KMS et de HSM afin de fluidifier cette étape.
SCA et IaC : deux voies d’expansion pour GitGuardian
L’autre voie pour l’éditeur français passe par la diversification de son activité. Il a lancé en septembre 2022 un module nommé Infrastructure as Code Security qui permet d’automatiser la détection de secrets et de 117 mauvaises configurations (exposition de données, erreurs réseau, problèmes de permissions, etc.) dans le code des outils IaC, en commençant par Terraform. En bêta privée, GitGuardian développe une solution similaire aux outils de remédiation présents dans Internal Monitoring pour les secrets.
En outre, la startup développe un outil SCA (Software Composition Analysis) qui s’appuie sur les bases de données CVE open source pour détecter les vulnérabilités présentes dans les dépôts de code. Pour l’heure, cette capacité est expérimentale. Après la détection, les ingénieurs entendent proposer à nouveau des chemins de remédiations.
« Ce n’était pas forcément le cas il y a cinq ans, mais l’accès aux bases de données de vulnérabilités et même l’analyse des fichiers de dépendances sont devenus des commodités. Ce n’est pas très compliqué à faire », estime Éric Fourrier. « La difficulté consiste à aider les utilisateurs à régler les problèmes et à représenter les informations pour qu’elles soient aisément visibles », insiste-t-il.
Eric FourrierCEO et cofondateur, GitGuardian
Les différents scanners sont ou seront accessibles depuis le CLI GGshield et le GUI de la plateforme. Dans les domaines de la SCA et de la sécurisation de l’IaC, la startup se retrouve face à GitHub, GitLab, HashiCorp (sur certains aspects), Checkmarx, Synopsys, Mend.io, Aqua ou encore JFrog. Concernant Snyk, qui lui aussi est un spécialiste de l’analyse de la composition logicielle, c’est un peu différent. GitGuardian a entamé un partenariat en 2023 avec cet acteur.
Un marché principalement américain
Pour Éric Fourrier, cette compétition généralisée est une « bonne chose ». « Cela pousse tout le marché vers le haut », pense-t-il.
Commercialement, la startup poursuit son expansion aux États-Unis où elle a embauché une vingtaine de commerciaux et de rôles marketing dans la région de Boston et sur la côte ouest des États-Unis. « Aujourd’hui, nous faisons 80 % de nos revenus aux États-Unis », explique Éric Fourrier.
Le CEO est toutefois prudent sur les effets de ces recrutements. « Nous ciblons de grands comptes, les cycles de vente sont donc assez longs. Je pense qu’il faut attendre un peu avant de dire que cette expansion est réussie, mais nos commerciaux aux États-Unis ont déjà signé de gros contrats », renseigne-t-il.
En Europe, le dirigeant estime que la situation des DSI est propice à l’adoption de GitGuardian. « Je crois beaucoup à notre potentiel sur les marchés français et européens, car les entreprises rattrapent leur retard sur les migrations cloud, les sujets du DevOps et du DevSecOps. Nous arrivons au bon moment ».
Interrogé par LeMagIT sur la croissance de sa société, le CEO invoque le secret des résultats. Il assure cependant que GitGuardian a réalisé deux bons trimestres en fin d’année dernière. « En début d’année 2023, il y a eu gel des dépenses avec la crise, mais cela semble repartir à la hausse, c’est prometteur », envisage-t-il.
Quant aux opportunités de levées de fonds, d’acquisitions ou de fusion, l’avenir de GitGuardian est ouvert. Il se jouera en fonction « des évolutions du marché, de la manière dont l’écosystème se structure », conclut Éric Fourrier.