Hackuity : prioriser les vulnérabilités pour mieux les traiter

Créée par Patrick Ragaru et Pierre Polette en 2019, Hackuity propose aux entreprises, principalement des grands comptes aujourd’hui, une solution de gestion des vulnérabilités en mode SaaS. Lancée juste avant le premier confinement dû à la crise sanitaire, l’offre n’a pris son envol commercial que deux ans plus tard, en 2021. En 2022, la start-up basée à Lyon a levé 12 millions d’euros auprès des fonds Sonae IM et de la Banque des Territoires.

« En 2018, lorsque j’étais encore chez Orange Cyberdefense, j’ai fait le constat qu’il n’existait pas de solution de gestion des vulnérabilités telle que je l’entendais, soit dans les services managés, soit comme client final. Notre objectif a donc été de proposer une solution permettant d’améliorer l’efficacité opérationnelle des équipes en charge des vulnérabilités dans les entreprises », déclare Patrick Ragaru.

Prioriser pour réduire le nombre des vulnérabilités à traiter

La plateforme Hackuity permet d’agréger et d’orchestrer les vulnérabilités issues de l’ensemble des pratiques et outils que l’entreprise met en œuvre : scanners de vulnérabilité, tests d’intrusion, etc. « Nous développons des interfaces avec des pratiques et des outils pour récupérer massivement ces vulnérabilités, les agréger et les normaliser. Ensuite, nous leur appliquons un algorithme de priorisation pour, en fonction du contexte technique de chaque entreprise, de la menace associée aux vulnérabilités et des enjeux spécifiques de chaque actif, permettre aux équipes cybersécurité de se focaliser sur un volume suffisamment petit de vulnérabilités pour qu’il soit traitable à l’échelle humaine », note Patrick Ragaru.

Le processus de remédiation est par ailleurs automatisé, grâce à des mécanismes de triage et d’interfaçage avec des outils d’ITSM (IT service management) ou de remédiation. L’objectif est d’accélérer le temps de traitement des vulnérabilités. « Certains de nos clients ont aujourd’hui des centaines de millions de vulnérabilités à traiter. Dans ce volume, on trouve bien évidemment des vulnérabilités mineures ainsi que des failles critiques. Le but de notre solution est de mettre de côté le ‘bruit’ et de prioriser ce qui a vraiment de l’importance. Nous arrivons généralement à un volume résiduel de vulnérabilités critiques selon notre algorithme équivalent à 1 ou 2 % du volume initial », commente le cofondateur d’Hackuity.

Un véritable cockpit pour RSSI

La solution se définit en tant que cockpit centralisé au sein duquel les RSSI disposent d’une vue exhaustive des vulnérabilités qui concernent, de près ou de loin, leur système d’information, et à partir duquel ils peuvent piloter les actions de remédiation. « Ce cockpit leur permet de s’interfacer avec des outils de patching, mais aussi, et c’est le plus fréquent, de communiquer avec les équipes internes qui ont la responsabilité de patcher les vulnérabilités au travers de leurs outils de ticketing ou via les processus de l’entreprise. En pratique, les équipes opérationnelles en charge de la remédiation sont les utilisateurs quotidiens de notre solution. Dans les faits, nous nous interfaçons avec trois types d’outils : les outils de détection, les bases d’actifs des entreprises et les solutions ou systèmes de remédiation. Nous sommes un tiers orchestrateur de tous ces outils », explique Patrick Ragaru.

Les entreprises clientes d’Hackuity évoluent dans divers secteurs d’activité comme la banque et l’assurance, ou bien encore l’industrie. « Notre modèle économique s’appuie sur le nombre d’actifs informatiques surveillés, comme les postes de travail et les serveurs, sachant que nos clients possèdent aujourd’hui entre 5 000 et 400 000 actifs. Notre finalité est non seulement de traiter le maximum de vulnérabilités parmi celles qui sont les plus critiques, mais surtout de les corriger le plus rapidement possible, c’est-à-dire de réduire le temps entre le moment où nous les recevons, les qualifions et les traitons. Nous divisons en moyenne par trois le temps de traitement d’une vulnérabilité », note Patrick Ragaru.

De nombreux prix et distinctions obtenus

Depuis sa création, l’entreprise Hackuity a remporté de nombreux prix et distinctions, au premier rang desquels figure le Prix du Jury du FIC 2021. La start-up a précédemment été lauréate du concours de l’innovation BPI 2019 et du grand prix « Cybersécurité 2020 » des Banking Innovation Awards, organisés par Wavestone et la Société Générale.

Hackuity a également été lauréate du Grand Défi Cyber, pour les tranches 1 et 2 (en 2021 et 2023), bénéficiant dans ce cadre d’un financement d’1,5 million d’euros. Le Grand Défi Cyber est une initiative du Secrétariat général pour l’investissement qui s’inscrit dans le cadre de la stratégie nationale d’accélération de la cybersécurité et du plan France 2030 annoncé par Emmanuel Macron en 2021. Enfin, elle est certifiée SOC 2 et accréditée IMDA.

« Avec Sanofi, Capgemini, l’Inria et Tenacy, nous travaillons dans le cadre du Grand Défi Cyber sur un projet de recherche concernant un outil de modélisation des chemins d’attaque. L’Attack Path Monitoring, qui repose sur l’utilisation de l’IA et de notre base de vulnérabilités et d’actifs, crée un changement de paradigme majeur dans la pratique de la gestion des vulnérabilités. Il permet de passer d’une stratégie fondée sur le point de vue des défenseurs à une stratégie reposant sur le point de vue des attaquants », précise Patrick Ragaru.

Fin 2023, Hackuity est présente en France, en Espagne, au Royaume-Uni, à Singapour et dans certains pays d’Asie comme l’Indonésie. Elle emploie au total 60 collaborateurs. Depuis son lancement commercial en 2020, l’entreprise a multiplié chaque année par plus de deux son chiffre d’affaires récurrent annuel.