Aujourd’hui, je vous propose une interview d’Emmanuel Gras et de Luc Delsalle, les deux fondateurs et dirigeants de la startup française ALSID. Vous en avez sûrement entendu parler ces derniers mois car elle a gagné plusieurs prix de l’innovation. Elle fait également un carton auprès des RSSI du CAC40 ! Sa spécialité : améliorer la sécurité du coeur du système d’information de chaque organisation, son annuaire Active Directory, en offrant à ses clients une visibilité étendue sur ce dernier lui permettant d’identifier ses vulnérabilités et les tentatives de compromissions.
ALSID, créée en 2016, fait partie des startups, de plus en plus nombreuses, à avoir été lancées récemment par des anciens agents de l’ANSSI. Une intéressante perspective ! J’aurais l’occasion de vous en reparler dans de futurs billets et de prochaines interviews 🙂
Bonjour Emmanuel. Bonjour Luc. Et merci encore d’avoir accepté de vous prêter à cet entretien. Avant de commencer, pouvez-vous nous présenter brièvement vos parcours professionnels et comment vous en êtes arrivés à lancer votre startup ALSID ?
« Nous sommes tous les deux des ingénieurs de formation, ayant travaillé dans le domaine de la cybersécurité depuis la fin de nos études. Après une première expérience professionnelle (Luc chez Apple, Emmanuel chez Orange), nous nous sommes rencontrés au sein du Centre Opérationnel de l’ANSSI. Nous faisions partie du bureau Audits, dont la mission consiste à sécuriser les entités publiques et les OIV (Opérateurs d’Importance Vitale) à travers la réalisation d’audits et de tests d’intrusion.
Nous étions aussi mobilisés lors d’incidents de sécurité (les fameuses « affaires »). Notre rôle était d’aider la victime à reprendre le contrôle de son système d’information compromis. Ainsi, nous avons eu l’occasion de nous mesurer à des attaquants de haut niveau à de nombreuses reprises. C’est de cette expérience de terrain qu’est née Alsid : comment éviter aux entreprises de se retrouver dans cette situation désagréable et dangereuse. En analysant les modes d’attaques utilisés dans les compromissions ciblées, nous avons identifié la cible privilégiée : les infrastructures Active Directory.
Nous avons donc pris notre courage à deux mains et décidé de nous lancer dans l’aventure entrepreneuriale en 2016, afin de mettre en application notre savoir-faire et notre expérience dans la protection des SI.
Quelle est la valeur ajoutée de votre solution face aux cybermenaces auxquelles font face quotidiennement les entreprises et administrations ? Votre solution adresse-t-elle uniquement les attaques les plus ciblées ou permet-elle d’améliorer plus globalement le niveau de sécurité du système d’information d’une organisation ?
L’approche que nous avons choisie est celle de la sécurisation du cœur de l’entreprise, à savoir son annuaire. Notre constat est simple : pour renforcer la sécurité périmétrique, le RSSI a le choix entre des dizaines d’anti-virus, pare-feux et autres proxies pour s’équiper. S’il souhaite disposer de capacités de supervision et de pilotage de la sécurité des équipements au cœur de son système d’information (les fameux services d’infrastructure), il en est réduit à faire réaliser un audit manuel plus ou moins régulièrement. Ces audits de sécurité ne sont malheureusement pas adaptés à une infrastructure Active Directory où plusieurs dizaines d’opérations sont réalisées par minute. Sachant que ces opérations sont toutes susceptibles de créer une nouvelle brèche pour l’infrastructure, on comprend assez vite les limites de ce type de prestations. Nous apportons une réponse nouvelle à ces problématiques en proposant une technologie novatrice et sans alternative aujourd’hui.
Quel que soit le point d’entrée de l’attaquant, celui-ci cherchera à compromettre l’annuaire pour élever ses privilèges. Le produit Alsid intègre une multitude de scénarios d’attaque mis à jour régulièrement et répond à ce risque d’attaque ciblée. En bénéficiant d’une visibilité quotidienne sur l’évolution des vulnérabilités présentes dans le système d’information, il est possible de piloter intelligemment les travaux de sécurisation menés sur l’infrastructure.
Selon votre expérience, quel est le niveau de maturité des entreprises et administration en matière d’Active Directory ? Les DSI et RSSI ont-ils pris aujourd’hui conscience de l’importance de bien sécuriser ce composant central et critique de leur système d’information ?
Au travers de notre expérience, nous avons été confrontés à des systèmes d’information variés, aussi bien d’un point de vue de taille que de secteur d’activité ou de localisation géographique, nous permettant d’établir quelques constats généralistes.
Tout d’abord, le sujet est maintenant bien pris en compte par les DSI et les RSSI en France. Les actions de communication de l’ANSSI ainsi que les récentes attaques relayées dans les médias ont mis l’accent sur l’importance de ces systèmes. Le niveau de sécurité est donc en évolution.
Cette prise de conscience n’est malheureusement pas générale d’un point de vue international. Ainsi, nous travaillons avec plusieurs entreprises européennes ayant laissé ces infrastructures en friches depuis plusieurs années. Parfois, leur gestion est même complètement sous-traitée, et le RSSI ne dispose d’aucune vision sur les mesures de sécurité implémentées. Nous les aidons à reprendre le contrôle et vérifier le travail du sous-traitant : comme il est de bon ton de dire entre auditeurs, « la confiance n’exclut pas le contrôle ».
Quel que soit le pays, on remarque néanmoins que les entreprises de certains secteurs d’activité ont en moyenne un niveau de sécurité plus élevé. Le secteur financier, par exemple, dispose en général d’un extrêmement bon niveau. Cela s’explique probablement par des investissements dans la cybersécurité depuis plusieurs années, alors que d’autres entreprises ont entrepris les démarches plus récemment.
ALSID a remporté plusieurs prix de l’innovation ces deux dernières années. Comment vous ont-ils permis de développer votre startup ? Vous ont-ils également aidé à exporter votre solution au-delà des frontières de la France ?
Nous avons en effet été honorés de recevoir plusieurs prix saluant notre entreprise et l’innovation que nous apportons à travers notre technologie.
Ces prix représentent un maillon indispensable dans le domaine de l’innovation, et permettent d’asseoir notre crédibilité auprès de nos prospects. L’offre de cybersécurité est pléthorique, une reconnaissance remise par un jury prestigieux permet de valider que notre technologie répond à un besoin pressant des RSSI. Les prix ne sont malheureusement pas reconnus en dehors de France. Nous avons cependant la chance de travailler avec des entreprises internationales dont la marque est bien connue en dehors de nos frontières. Ce sont ces références qui nous permettent d’élargir nos horizons à l’international et nous aident dans notre croissance.
Quelles sont les ambitions d’ALSID pour ces prochaines années ?
Nous avons validé l’intérêt de notre solution auprès d’entreprises françaises. Nous voulons maintenant explorer de nouveaux pays, afin de tester notre potentiel à l’étranger. Nous revenons d’ailleurs de plusieurs voyages aux Etats-Unis et en Asie, où nous avons rencontré de nombreux acteurs du domaine (prospects, intégrateurs, distributeurs, investisseurs). Les connaissances que nous avons accumulées pendant cette exploration nous permettront de planifier les prochaines étapes de développement d’Alsid.
Nous avons pour ambition de faire d’Alsid un acteur incontournable dans le domaine de la sécurisation des infrastructures d’entreprises. »
