Symbiotic Security, qui annonce aujourd’hui une levée de fonds de 3 millions d’euros, surveille les développeurs pendant qu’ils codent et signale en temps réel les problèmes de sécurité potentiels. Bien que d’autres entreprises suivent cette approche, Symbiotic se concentre également sur une étape cruciale : enseigner aux développeurs comment éviter ces erreurs dès le départ.
Une approche proactive de la sécurité
Idéalement, cela signifie que les développeurs pourront corriger les bugs de sécurité avant qu’ils n’atteignent un dépôt de code, ce qui devrait également accélérer l’ensemble du processus de développement. En apprenant sur le tas dans l’environnement où ils travaillent déjà, les développeurs sont beaucoup plus susceptibles d’apporter les modifications nécessaires. Cela s’avère plus efficace que de les soumettre à une formation annuelle en matière de sécurité.
Un MVP axé sur les langages Infrastructure-as-Code
Lancée plus tôt cette année, l’entreprise a publié son produit minimum viable (MVP) il y a environ un mois, en se concentrant sur des langages comme Terraform, représentatifs des infrastructures en tant que code. Comme l’a expliqué Jerome Robert, co-fondateur et PDG de Symbiotic, cette première version permet de prouver la vision de l’entreprise. À terme, l’équipe prévoit d’élargir sa portée à l’ensemble de la pile applicative et d’ajouter le support pour des langages comme Python et JavaScript.
Une aide pour les développeurs
Robert a souligné que même les outils de sécurité les plus adaptés aux développeurs restent, à leur cœur, des outils pour les équipes de sécurité. « Ils permettent aux équipes de sécurité d’être de meilleurs contrôleurs. Ce ne sont pas des outils qui font des développeurs des « gentils » », a-t-il déclaré. Ces outils permettent aux équipes de sécurité d’envoyer des centaines de messages chaque semaine, disant : « Vous avez fait une erreur. Vous devez la corriger. »
Les développeurs doivent constamment jongler entre la correction des problèmes de sécurité et le développement de nouvelles fonctionnalités.
Aider les développeurs à corriger les bugs
L’idée derrière Symbiotic Security est de guider les développeurs dans la bonne direction, de manière similaire aux outils de complétion de code qu’ils connaissent déjà. Symbiotic peut aider les développeurs à corriger les bugs en temps réel, tout en codant, bien avant que les plateformes d’intégration continue et de livraison n’examinent le code. Une fois que cela se produit, le processus ralentit immédiatement, avec des tickets Jira et des processus de révision de code supplémentaires prenant le relais.
Formation intégrée à la pratique
Symbiotic va encore plus loin. « Il ne suffirait pas de leur permettre de corriger les problèmes et de les détecter, » a expliqué Robert. « Nous devons également les former à la sécurité — et les développeurs adorent s’entraîner ; c’est une certitude. Cependant, les formations en sécurité peuvent être pénibles. »
Pour les développeurs, la formation sur le terrain est plus pertinente. Elle se concentre sur leurs besoins immédiats, au lieu d’être un concept abstrait, et elle ne dure que quelques minutes.
Actuellement, ces leçons et vidéos de formation sont préenregistrées, mais à terme, elles pourraient devenir davantage alimentées par l’intelligence artificielle, permettant à Symbiotic de les rendre encore plus pertinentes pour les problèmes spécifiques rencontrés par les développeurs.
Un projet à long terme pour la collecte de données
Pour former un modèle capable de corriger automatiquement les problèmes de sécurité, il est nécessaire de disposer d’un corpus de code contenant des bugs de sécurité et les versions corrigées de ces extraits de code. Puisque Symbiotic identifie les problèmes et indique aux développeurs comment les corriger, il pourrait idéalement créer un ensemble de données de haute qualité pour construire un modèle de remédiation. Cependant, cela reste un projet à long terme.
Un soutien solide pour l’innovation
Symbiotic bénéficie du soutien d’investisseurs tels que Lerer Hippeau, Axeleo Capital et Factorial Capital. « Jerome et son co-fondateur Edouard Viot comprennent bien les problèmes sous-jacents à la sécurité du code traditionnel et ont démontré une vision remarquable avec leur approche face à la demande croissante de solutions de sécurité shift-left », a déclaré Graham Brown, partenaire directeur chez Lerer Hippeau. « Symbiotic a le potentiel de transformer l’industrie, en habilitant à la fois les développeurs et les équipes de sécurité. »