GSM : Pouvez-vous nous présenter votre entreprise ?

Isabelle Gorius : Créée en 2004, Vupen Security est une société de recherche en sécurité informatique spécialisée dans l’analyse et l’exploitation avancée des vulnérabilités. Elle commercialise des solutions de veille en vulnérabilités et des outils de test de sécurité permettant aux professionnels (RSSI, DSI, consultants et ingénieurs) d’évaluer la faiblesse de leurs systèmes en simulant des attaques dans le cadre de tests de sécurité ou d’intrusion réguliers.

Nous proposons également aux éditeurs de solutions de sécurité (gestion des vulnérabilités, antivirus, IDS, IPS, filtrage de contenu, etc) des analyses techniques approfondies des vulnérabilités et des codes d’exploitation leur permettant de développer rapidement des signatures, règles et filtres de protection pour leurs produits afin de détecter, de manière proactive, les menaces réelles ou potentielles.

GSM : quel est votre produit ou service phare pour 2009 ?

Isabelle Gorius : Nous avons lancé, au début de l’année, un service novateur « Vupen Exploits & PoCs » permettant aux professionnels de la sécurité de disposer d’outils de confiance dédiés à l’évaluation de la vulnérabilité de leurs systèmes dans le cadre de tests de sécurité ou d’intrusion réguliers.

Ces outils offensifs permettent de déterminer, en situation réelle, si un accès non autorisé à un système est possible ou si les correctifs de sécurité ont bien été appliqués. Nous développons entre 15 et 20 codes d’exploitation ou preuve-de-concept chaque mois pour les vulnérabilités les plus importantes et les plus critiques. Nos clients peuvent ainsi tester jour après jour la robustesse de leurs systèmes et réseaux contrairement aux tests d’intrusions « classiques » qui ne sont souvent réalisés qu’une fois par an et de manière assez convenu et peu offensive.

Chaque code est accompagné d’une analyse binaire approfondie de la vulnérabilité, décrivant les causes et les méthodes de détection des attaques, ce qui permet aux éditeurs de solutions de sécurité (offensives ou défensives) de se concentrer sur le développement des signatures ou des règles de sécurité sans passer par l’analyse préalable des vulnérabilités, ce qui leur permet de réduire de manière considérable les couts liés à la R&D et d’augmenter leur réactivité par rapport à leurs concurrents.

GSM : A quels segments de clientèle vous adressez-vous ?

Isabelle Gorius : De façon globale, nous nous adressons aux professionnels de la sécurité. Nos solutions sont utilisées par des RSSI, DSI, consultants et ingénieurs en sécurité mais aussi par de grands éditeurs de sécurité. Nous travaillons avec de nombreuses entreprises du Fortune 500, du CAC 40 et des administrations et organismes gouvernementaux à travers le monde.
Avec notre solution « Vupen Exploits & PoC » nous nous adressons plus particulièrement aux spécialistes des tests d’intrusions (ce qui englobe à la fois les SSII, les grands comptes et les gouvernements) et les éditeurs de solutions de sécurité.

GSM : Quels sont les points forts de votre offre ?

Isabelle Gorius :Les codes d’exploitations que nous développons concernent essentiellement des vulnérabilités complexes, pour lesquelles nous ne disposons parfois au départ d’aucun détail technique, et là repose toute la force de notre équipe R&D et donc du service que nous proposons. Nous mettons à disposition de nos clients toute notre expertise technique dans le domaine de l’analyse et l’exploitation des vulnérabilités.

Tous les codes que nous développons font l’objet d’un contrôle de qualité. Nous testons chacun d’entre eux sur différents systèmes d’exploitation, différentes langues (français, européens, américains,…) et différentes versions logicielles pour nous assurer de leur compatibilité et leur bon fonctionnement. Nous fournissons également l’exploit avec son code source complet pour permettre sa modification et/ou personnalisation.

Enfin, nous analysons et développons tous les mois entre 15 et 20 codes d’exploitations pour les systèmes et logiciels les plus utilisés du marché.

GSM : Quelle est votre perception du marché de la sécurité dans votre domaine et de son évolution tant en France qu’en Europe ?

Isabelle Gorius :Les risques liés aux vulnérabilités et aux tentatives d’intrusions restent encore sous évalués par les entreprises françaises malgré les pertes financières élevées qu’elles peuvent engendrer (vol d’informations confidentielles, détournement des ressources de l’entreprise,…). De nombreuses entreprises et même des grands comptes confondent encore aujourd’hui les scans de vulnérabilités avec les tests d’intrusions. Le scan, n’étant pas intrusif, ne permet de donner qu’une vision théorique de la sécurité des systèmes testés alors que le test d’intrusion permet de simuler des attaques réelles en utilisant des outils offensifs et intrusifs. Il est donc important pour ces entreprises de déployer des solutions efficaces pour maîtriser ces risques et d’évaluer de façon récurrente la perméabilité de leurs systèmes aux attaques. C’est la vocation de Vupen Security, seule entreprise française spécialisée dans l’analyse et l’exploitation avancée des vulnérabilités.

GSM : Comment accompagnez-vous vos clients ?

Isabelle Gorius :Nous accompagnons nos clients en étant à l’écoute de leur besoins et en leur apportant des solutions sur mesure qui peuvent être par exemple, pour la veille en vulnérabilités, le développement de nouvelles fonctionnalités spécifiques, et pour les Exploits & PoCs, le développement d’exploits à la demande.

Nous avons récemment ouvert une agence à Paris dont la mission est de renforcer notre présence auprès des grands comptes et des administrations franciliennes. La partie export est quand à elle gérée au siège à Montpellier.

GSM : Pour conclure quel serait votre message à votre clientèle ?

Isabelle Gorius :Evaluer efficacement et régulièrement la sécurité de vos systèmes et réseaux est un enjeu majeur. Vupen Security vous apporte son expertise et des outils performants vous permettant de tester, jour après jour, le niveau de sécurité réel de vos systèmes. Le temps de la sécurité passive laisse désormais la place à la sécurité offensive et nous pourrons vous accompagner dans la mise en œuvre de cette nouvelle démarche.