Par Dominique Bourra
Rubrique: Sécurité
Publié le 4 décembre 2008

DB: Le conseil scientifique de Checkmarx est présidé par une légende de Tsahal, l’ancien chef d’Etat-major Moshé Yaalon. Checkmarx traite de la vulnérabilité des codes source. Pouvez-vous expliquer simplement à nos lecteurs de quoi il s’agit ? EB : Checkpoint est née dans les années 90 d’un besoin de protéger de façon périphérique l’environnement des entreprises avec les fameux firewalls. Mais on s’est aperçu au fil du temps qu’il ne servait à rien de déployer d’importantes protections périphériques si l’intérieur était vulnérable.

Checkmarx est née de ce besoin-là. Pour employer une métaphore médicale, notre approche consiste à dire qu’il ne sert pas à grand-chose d’enfiler 3 pulls si l’on n’est pas vacciné contre la grippe. Checkmarx a ainsi la capacité de dresser un diagnostic de vulnérabilité au niveau des applications.

DB : Est-ce que les grandes banques, les grandes compagnies d’assurance et de manière générale les grandes multinationales comme les sociétés du CAC 40, le fleuron de l’industrie française, sont suffisamment protégées aujourd’hui ? EB : Franchement ? 100% non. Et même mieux que cela, la plupart du temps, elles ne sont pas conscientes de leur vulnérabilité. Vous savez la notion d’analyse du code source est relativement récente.

Le PCI standard qui est le standard de paiement par carte de crédit commence seulement à définir des obligations en matière de protection des applications. Il y a donc une prise de conscience, une tendance qui se développe mais nous en sommes encore aux balbutiements…

DB : La société israélienne Hacktics qui a participé à vos côtés au forum de sécurité franco-israélien du 17 novembre à la CCIP, a mis en évidence les talons d’Achille de l’industrie financière en présentant les résultats stupéfiants de tests d’intrusions. Quels sont vos arguments pour convaincre vos clients qu’ils sont vulnérables ? EB : Il est vrai que nous utilisons aussi cela quelquefois et ça marche très bien. C’est très choc. Vous savez, quand vous prouvez au PDG d’une société bancaire que l’on peut fracturer son compte, il est évidemment très impressionné.

Hacktics fait les tests de pénétration mais après il faut analyser le code source. Checkmarx est donc plus amont au niveau du développement du code. Nous travaillons avec les développeurs en leur montrant des trajectoires de pénétration que des hackers peuvent utiliser.

Suivant l’ancienne méthode de contrôle de code manuelle, un auditeur peut traiter entre 300 et 500 lignes par heure.

Lorsque l’on parle de millions de lignes de codes changeant constamment (ou dizaines de millions dans le cas d’application comme Windows, SAP, Oracle etc.), cela n’est plus possible. Les « Big Four » comme Deloitte, E&Y, PWC etc. ne peuvent plus faire cela manuellement. Il y a un besoin d’outil automatisé pour traiter le contrôle d’où l’entrée en lice de Checkmarx.

DB : En quoi Checkmarx et plus largement les Israéliens sont-ils meilleurs aujourd’hui en matière de sécurité ? Quels sont les facteurs clés de succès qui, selon vous, placent Israël à l’avant-garde ? EB : Tout commence très tôt à l’armée qui est une ressource formidable pour le high-tech israélien et se poursuit dans des Universités de renommée mondiale telles que le Technion à Haïfa. Ceci est vrai pour le high-tech en général comme pour la sécurité informatique en particulier.

La sécurité est un sujet très sensible en Israël, qu’il s’agisse de sécurité des biens ou des personnes. Il existe une culture très développée en ce sens.

DB : Justement, le conseil scientifique de Checkmarx est présidé par une légende de Tsahal, l’ancien chef d’Etat-major (2002-2005) Moshe Yaalon, alias Bogui pour les militaires. Cela signifie-t-il que le marché de la défense est une cible prioritaire pour vous ? EB : Lorsque je suis allé voir Bogui au tout début, nous étions deux personnes dans Checkmarx. Il a tout de suite compris ce que nous faisions. Dans la mesure où notre action porte sur la protection, la défense des applications.

Il n’a donc pas hésité à accoler son nom à celui de notre start-up. Pour répondre à la question, oui, l’armée en général est toujours un partenaire de choix, et Tsahal en particulier qui est en matière de sécurité un « early adopter ».

Cependant il existe aujourd’hui d’énormes besoins civils vers lesquels nous nous orientons dans le cadre de notre stratégie de développement.

DB : Le fait d’avoir pour investisseur l’un des meilleurs capitaux-risqueurs d’Israel : le Groupe Ofer Hi Tech (OHT) vous met-il à l’abri de la crise financière ? EB : Oui cela aide beaucoup d’avoir un investisseur très solide et cela permet aussi de mesurer la confiance accordée à la société, à son management, à ses orientations, indépendamment des aléas de la conjoncture financière. DB : Peut-on rêver pour Checkmarx d’un destin à la Compugen ou ECI Telecom eux aussi en leur temps poulains de Ofer Hi Tech ? EB : No comment (sourire).

DB : Irez-vous d’abord sur le Nasdaq ou sur Euronext ?

EB : Même chose no comment.

DB : La France est-elle un stop vers l’Europe ou une destination en soi dans la stratégie de Checkmarx ?

EB : La France est absolument un objectif prioritaire en Europe. Les Leaders sont le Royaume-Uni, l’Allemagne, les Pays-Bas et la France. Nous avons choisi la France comme point de départ.

DB : Le fait que vous vous soyez doté d’un business développeur d’élite, Jack Dahan, très connu en France dans le milieu de la sécurité, est-ce un signal pour une implantation forte dans l’hexagone ?

EB : Absolument. Jack a occupé des fonctions importantes en France mais aussi à l’international dans le cadre de ses précédentes activités. Il nous permettra un très fort ancrage en France et un développement européen dynamique fondé sur sa grande expérience.—