CodeCybear, une innovation québécoise pour protéger les codes
Emmanuel Martinez|Édition de la mi‑octobre 2024
Anthony Place, président et cofondateur de CodeCybear (Photo: courtoisie)
CYBERSÉCURITÉ. L’expression « Shadow IT » ressemble drôlement à un titre de film d’horreur, mais c’est plutôt ce qui donne des cauchemars aux responsables de la cybersécurité en entreprise.
Ce terme fait référence aux applications, aux plateformes et aux services informatiques qui sont utilisés par des employés sans que les chefs de la cybersécurité le sachent, ce qui rend l’entreprise vulnérable contre des rançongiciels.
La start-up montréalaise CodeCybear s’attaque à une partie du problème en créant un outil de signature numérique qui sécurise les macros qui sont très populaires dans des logiciels comme Excel et Word. Une macro est une série de commandes et d’instruction qui sont regroupées pour exécuter automatiquement une tâche récurrente. Elles sont très répandues en entreprise, mais elles peuvent servir d’entrées pour des acteurs malveillants.
L’outil de CodeCybear vient également authentifier les codes utilisés par des programmeurs. « Notre produit scanne le code, et grâce à l’IA, on peut facilement détecter plusieurs types de vulnérabilités et comparer aussi ce code avec les meilleures pratiques et les normes de l’industrie, explique Anthony Place, président et cofondateur de CodeCybear. L’outil compare donc le code avec toutes ces références-là et produit un rapport vraiment précis avec des recommandations pour optimiser et corriger les erreurs. »
Une fois ce travail fait, l’instrument créé par CodeCybear vient protéger la propriété intellectuelle développée en apposant une signature numérique au code visé. Il s’agit d’une sorte de certificat d’authenticité.
« Cette signature protège le code contre les modifications, note l’entrepreneur. Il est scellé et si jamais il y a une modification, par exemple si un criminel y ajoute un code malicieux, la signature est brisée. On peut ainsi détecter qu’il y a eu une altération. Cela permet de préserver la réputation de celui qui l’a livré au client. En cas de problème ou de poursuite, on peut voir si l’intégrité du code a été affectée. »
Meilleurs contrôles
Anthony Place estime que sa solution s’intègre bien dans une stratégie zéro confiance (« zero trust ») qui consiste à minimiser les risques de cybersécurité en n’accordant aucune confiance implicite et en vérifiant tous les actifs informatiques. Cette approche signifie que tout est bloqué par défaut avant d’avoir été authentifié.
« On veut autoriser seulement ce qui est légitime, mais pour pouvoir le déterminer, il faut un moyen d’identifier, explique-t-il. La signature numérique permet cela. En venant signer du code, notre produit permet aux organisations d’empêcher sur tous les postes de travail l’exécution d’un code qui n’a pas été autorisé. Si tu télécharges quelque chose d’Internet ou si tu fais un copié-collé de ChatGPT et que tu essayes de l’exécuter, cela ne marchera pas parce que ça ne sera pas authentifié par notre outil. Cela va vraiment améliorer les contrôles, réduire la surface d’attaque et empêcher les actes malveillants ainsi que les erreurs humaines qui sont en grande partie responsables des brèches de données. »
De gros clients visés
Les dangers que représentent les macros et autres codes, qui peuvent être glanés sur Internet pour bâtir des solutions fait en interne, ne sont pas très connus du public, mais les grandes entreprises ont été alertées lors d’audits par des firmes comme Deloitte et KPMG, note le patron de CodeCybear. « Ceux qui font de la gestion de risque sont souvent au courant », dit-il.
La jeune pousse vise donc à commercialiser son outil auprès de grandes organisations, d’éditeurs de logiciels et celles qui font de la programmation. Il est disponible sur la boutique Azure de Microsoft.
« Notre produit est déjà utilisable dans la version SaaS [“logiciel en tant que service”], souligne Anthony Place. Vous pouvez créer un compte, envoyer vos fichiers sur Internet, puis ils seront analysés et signés. En ce moment, on travaille sur la version entreprise pour celles qui veulent une intégration dans leur propre environnement infonuagique. Les informations restent dans l’infrastructure de l’organisation parce que c’est une exigence de cybersécurité des grandes entreprises. Il n’y a pas de données qui sortent de chez elles. »
Fondée en 2022, la jeune pousse espère compter sur deux gros clients d’ici la fin de l’année pour engranger environ 500 000 dollars en services d’intégration et de licence. Le cap du million de dollars est visé pour l’an prochain.
La start-up souhaite ainsi que son innovation permette aux spécialistes de la cybersécurité de mieux dormir la nuit.
