Vicarius, une startup basée à New York qui a développé une plateforme autonome de correction des vulnérabilités, a levé 24 millions de dollars en financement de série A pour protéger les organisations de la prochaine attaque majeure de la chaîne d’approvisionnement.

La situation actuelle de correction des vulnérabilités ne fonctionne pas, déclare Vicarius à TechCrunch. Il s’agit d’un processus réparti entre deux départements : les équipes de sécurité, qui identifient et hiérarchisent les vulnérabilités, et l’informatique, qui les corrige tout en se concentrant sur le bon fonctionnement des opérations, créant ainsi un conflit d’intérêts inhérent. C’est aussi un processus qui reste « super dépendant du fournisseur », selon Michael Assraf, PDG de Vicarius.

Le processus, de la divulgation des vulnérabilités à la publication des correctifs, en passant par le déploiement et les tests, prend en moyenne quatre à six mois, dit-il, et pendant ce temps, de nouvelles vulnérabilités pourraient être introduites, exposant l’organisation au risque d’une intrusion de type SolarWinds ou d’une attaque Log4j.

C’est ce que Vicarius veut changer. La plate-forme basée sur le cloud de la startup consolide le processus de correction des vulnérabilités et analyse les applications propriétaires et tierces pour détecter les vulnérabilités.

Vicarius a des visions plus grandes que la prévention des prochaines grandes retombées de la cybersécurité de la chaîne d’approvisionnement. La société – qui compte actuellement 150 clients, dont le National Health Service du Royaume-Uni et Ingram Micro – a déclaré à TechCrunch qu’elle souhaitait finalement construire une machine qui crée de la valeur pour la sécurité communautaire. Le centre de recherche de la startup, par exemple, met des informations sur les logiciels vulnérables à la disposition du grand public, et son prochain plan est de créer une plateforme sociale pour aider les ingénieurs en sécurité – même s’ils ne sont pas clients de Vicarius.

« Si quelqu’un cherche comment réparer un CVE, par exemple, nous l’offrirons entièrement gratuitement », a déclaré Assraf. « Je pense que c’est quelque chose qui manque aujourd’hui dans la communauté de la sécurité – vous n’avez pas beaucoup de ressources gratuites et tout est…

Voir la source de cette publication