90% des données créées par l’humanité l’ont été pendant les deux dernières années. L’accélération considérable de la production et de l’échange des données numériques n’a épargné presque aucun secteur, de la finance à la santé, des pouvoirs publics aux particuliers, en passant par les entreprises. Ces échanges d’informations sur internet reposent dans une immense majorité sur une technologie méconnue du grand public : les API (Application Programming Interface ou Interface de Programmation d’Application). Les API sont des protocoles de communications. Elles permettent à la quasi-totalité des appareils informatiques existants d’échanger des données au travers du réseau. Ce sont des API qui permettent à une application mobile de commander un taxi, à un site web de déclencher un paiement bancaire, à chacun de poster un message sur Twitter, ou de passer des appels en visioconférence. En 2019, elles représentaient 83% du trafic web mondial. Cependant, les API sont, par nature, extrêmement difficiles à sécuriser : sauf à investir massivement dans la cybersécurité, ce que seuls des grands comptes peuvent se permettre, il est aujourd’hui impossible pour les entreprises de protéger efficacement les API qu’elles développent. Par conséquent, chaque API comprend en moyenne 26.7 failles de sécurité critiques. Les cybercriminels peuvent ainsi les exploiter pour voler des données sensibles ou interrompre les entreprises dans leurs opérations. Ces fuites de données coûtent à l’entreprise qui en est victime 3,83 millions d’euros en moyenne. Sachant qu’une organisation dépend souvent de plusieurs milliers d’API, les cyberattaques peuvent donc coûter plusieurs dizaines voire centaines de millions d’euros chaque année à une seule entreprise.
Passionnés de longue date par la cybersécurité, nous avons, avec mon associé Antoine Carossio, pris conscience de l’ampleur du problème lors de nos études à l’Université de Californie, à Berkeley, en février 2020. Pendant les cinq mois qui ont suivi, nous avons mené une étude de marché approfondie en contactant plus de 60 experts du secteur pour comprendre pourquoi les API étaient insuffisamment sécurisées. Nous avons identifié que la principale raison était liée à l’absence d’outils permettant aux développeurs d’automatiser la détection des failles de sécurité, forçant ainsi les entreprises à recourir à des processus manuels coûteux, non adaptés aux méthodes modernes de développement agiles, et réalisés par des experts très rares sur le marché du travail. Dès notre retour en France, nous avons décidé de mettre à profit notre passion et nos compétences en intelligence artificielle pour résoudre ce problème de cybersécurité. Ainsi, pendant plusieurs mois, nous avons conçu une technologie capable de détecter les failles dans les API GraphQL durant leur processus de développement, avant même qu’elles soient accessibles publiquement. En parallèle, nous avons fondé Escape dans le but de développer et commercialiser cette technologie.
Le produit développé par Escape forme une rupture avec les solutions de sécurité applicatives traditionnelles. Il offre, en effet, une qualité de détection supérieure aux outils de tests dynamiques (DAST), un plus faible taux de faux positifs que les outils d’analyse statiques (SAST) et aucun impact sur les performances contrairement aux modules d’autoprotection (RASP). De plus, la solution Escape s’installe en une ligne de code au sein d’un processus de développement existant. Il s’agit enfin de l’unique pure player sur le marché de la sécurisation des APIs GraphQL.