Soutenue par le ministère des Armées, la société de cybersécurité GLIMPS lève 6 millions d’euros

Conformément à l'article 38 de la Loi 78-17 du 6 janvier 1978 modifiée, vous disposez d'un droit d'accès, de modification, de rectification et de suppression des données vous concernant. [Voir les règles de confidentialité]

31 contributions

  1. Arnaud dit :

    Sur le principe, tant mieux si des fonds soutiennent des start-ups françaises. On aurait d’ailleurs aimé autant d’allant pour Photonis.
    En revanche, je suis un peu surpris qu’une start up créée par des anciens ingénieurs de la DGA reçoivent un financement sur la base d’un soutien au projet de la DGA.

    • fabrice dit :

      Pour info et pour mettre en perspective, les levées de fond pour les entreprises cyber en 2020 ont été de 9 mds de $ à l’échelle mondiale dont 2,9 mds de $ pour les cyber israéliennes (dont cinq cyber qui sont devenus des licornes, entreprises valant plus d’un mds de $, par comparaison, la France, tout domaine confondu, n’a que sept licornes).
      Il y a un énorme accroissement en 2021, en un trimestre les cyber israéliennes ont levé 1,7 mds de $ (QUE dans le cyber).
      https://nocamels.com/2021/04/global-israeli-cybersecurity-solutions-attacks/
      C’est juste pour se rendre compte à quel point l’UE et la France apparaissent largué technologiquement. Très peu de start up peu financés. Il reste de grosses boites poussives qui se trainent et qui ont du mal à innover. Le Japon, la Chine, certains pays européens malins (le RU, l’Allemagne, l’Italie) investissent là où ça bouge. En France, on ne veut pas contrarier Alger et on croit aux bienfaits économiques d’une coopération étroite avec le Liban et la Palestine…

    • Plusdepognon dit :

      @ Arnaud
      Certains appellent ça de la chance, d’autres du talent…
      « La fourniture d’un nouveau mortier de 60 mm. Attribué le 23 juin, ce contrat de 16,9 M€ comprend les mortiers M6, un éventail de munitions et des services de formation et de soutien.
       
      Remporté face à un unique autre concurrent, ce contrat sera réalisé en cotraitance avec l’équipementier Munitique, fondé en 2003 à Margival (Aisne) par un ancien de DGA Techniques Terrestres. »
      https://www.forcesoperations.com/le-mortier-m6-dhirtenberger-retenu-par-le-ministere-des-armees/

  2. Thaurac dit :

    Il existait déjà le MCD avant toute analyse, soit le Modèle Conceptuel de Donnée , maintenant c’est la même chose pour le code, pas mal du tout, et amélioration pour les malware car les logiciels qui se servait du modèle heuristique viraient parfois des « exe « qui n’étaient pas des virus ou autres.

  3. Plusdepognon dit :

    Si la France n’a pas les budgets fantastiques de certains pays concurrents, il y a encore la matière grise :
    https://www.challenges.fr/entreprise/defense/a-paris-le-cyber-campus-future-arme-de-la-cyberdefense-francaise_687111

    D’ailleurs c’est une de ces pépites récemment distinguée qui a decouvert la fuite des données médicales et leur mise sur le darkweb:
    https://www.challenges.fr/entreprise/defense/corexalys-convertit-l-intelligence-economique-au-cyber_749000

    https://www.ouest-france.fr/bretagne/rennes-35000/piratage-de-donnees-medicales-un-site-pour-savoir-si-vous-faites-partie-des-patients-concernes-7167415

    • fabrice dit :

      Tiens un cyber campus à Paris, ils se sont enfin rendus compte qu’à Rennes (merci Jean-Yves « la Bretagne d’abord » Le Drian) c’était pas top ?

      • Kali dit :

        Jérusalem mieux que Tel-Aviv ?
        Plus sérieusement, vous avez faux. L’ex CELAR (DGA Maitrise de l’Information) est à Bruz depuis bien longtemps.
        Paris est accusé de macrocéphalie (ce qui est vrai par ailleurs), alors on développe d’autres villes. L’ANSSI ouvre une antenne à Rennes 🙂
        Paris est aussi un repoussoir pour un certain nombres de jeunes ingénieurs.

  4. Sorensen dit :

    Cette pépinière sera demain un monde à elle seule. En espérant que tous les mondes Européens seront unifiés.

    • Czar dit :

      salut Boris, pour moi ce sera deux menus sashimis

      ça avance cette république grand-burgonde ? Vous avez enfin acheté une grange ?

  5. asvard dit :

    Pas vraiment, ça peu être une façon pour une société (lici la DGA) de dégraisser du personnel en aidant les partants à la création d’entreprise.

  6. farragut dit :

    Si le principe du produit est basé sur l’analyse du code et de la comparaison de formes avec d’autres structures de logiciel, cela ressemble beaucoup à la qualimétrie des logiciels des années 1980…
    Pourquoi n’avoir pas utilisé cette technique dans le monde civil pour augmenter la qualité du code produit, et éviter les erreurs de type MCAS sur le B-737 MAX lors des certifications ?
    https://www.latribune.fr/entreprises-finance/industrie/aeronautique-defense/boeing-737-max-je-n-ai-toujours-pas-ete-pardonne-par-dieu-pour-ce-que-j-ai-dissimule-836857.html

    Cela aurait évité des morts inutiles. Mais ce n’est peut-être pas « bankable » comme la cybersécurité ?
    Et quid des « logiciels » de l’Armée comme « Louvois », ou autres catastrophes industrielles qui coûtent des millions au contribuable ?
    Pourquoi la DGA ne les certifierait pas avec GLIMPS Audit AVANT déploiement ?

    • Kali dit :

      « Si le principe du produit est basé sur l’analyse du code et de la comparaison de formes avec d’autres structures de logiciel, cela ressemble beaucoup à la qualimétrie des logiciels des années 1980… »

      Oui et non. La qualité logicielle est très loin d’être seulement une analyse automatique du code à la recherche de problèmes de sécurité, de programmes malveillants, etc.

      « Pourquoi n’avoir pas utilisé cette technique dans le monde civil pour augmenter la qualité du code produit, et éviter les erreurs de type MCAS sur le B-737 MAX lors des certifications ?
      https://www.latribune.fr/entreprises-finance/industrie/aeronautique-defense/boeing-737-max-je-n-ai-toujours-pas-ete-pardonne-par-dieu-pour-ce-que-j-ai-dissimule-836857.html »

      Demandez à Boeing.
      PS : Lignes automatiques du métro de Paris.

      « Cela aurait évité des morts inutiles. Mais ce n’est peut-être pas « bankable » comme la cybersécurité ? »

      Le secteur des transports est l’un des plus soumis à des normes diverses et variées.

      « Et quid des « logiciels » de l’Armée comme « Louvois », ou autres catastrophes industrielles qui coûtent des millions au contribuable ? »

      Sujet très différent. Les problèmes de Louvois ne sont jamais venus d’une compromission du code source…

      « Pourquoi la DGA ne les certifierait pas avec GLIMPS Audit AVANT déploiement ? »

      C’est un outil possible parmi d’autres. C’est de l’aide à la rétro-ingénierie. Je ne ferais pas mieux que M. Lagneau, aller lire leur site web…

      Je crois que vous confondez la qualité logicielle et la sécurité applicative.

      • Kali dit :

        *venu
        *allez

      • farragut dit :

        @Kali
        Quand vous mentionner la compromission d’un logiciel, je suppose que vous faites référence à l’opération Sunburst pour modifier un logiciel d’administration réseau.
        Est-ce à dire que GIMPS Audit serait capable de surveiller l’éventuelle modification d’un logiciel en temps-réel, quand il est en opération et déployé chez les clients ?
        Si c’est seulement de l’audit statique chez le fournisseur, qu’est-ce qui garantit que le logiciel s’exécutant chez un client est bien le même qui a été audité ?
        En gros, un tel outil aurait-il empéché une opération comme Sunburst ?

        • Kali dit :

          @farragut
          Solarwinds Orion / Sunburst est la référence la plus récente.
          Les attaques sur les raffineries saoudiennes en 2017 un autre (malware Triton / Trisis).

          « Est-ce à dire que GIMPS Audit serait capable de surveiller l’éventuelle modification d’un logiciel en temps-réel, quand il est en opération et déployé chez les clients ?
          Si c’est seulement de l’audit statique chez le fournisseur, qu’est-ce qui garantit que le logiciel s’exécutant chez un client est bien le même qui a été audité ? »

          Le but de Glimps Audit est de documenter le code à partir du binaire, donc du langage machine. L’assembleur et donc le code source remonté sont équivalent du point de vue logique, mais peuvent être différents dans la suite d’instructions.
          Un exemple ultra basique est l’équivalence entre :
          xor eax, eax et
          mov eax, 0

          A un plus haut niveau, cela veut dire que les noms de variables ne seront pas les mêmes, etc.

          L’analyse est dynamique, chez le client d’après leur documentation.
          L’analyse débouche sur un rapport. Celui-ci nécessite, pour moi, une action humaine derrière.

          D’après ce que je comprends de Glimps Audit, c’est un outil d’aide à l’analyse de malware, métier très spécialisé et complètement différent de l’administration des systèmes ou des réseaux.

          La vérification est en général effectuée par condensats (hashs), avec des algos non prouvés faibes (donc exit SHA 0, SHA 1, MD4, MD5).
          https://fr.wikipedia.org/wiki/Fonction_de_hachage

          « En gros, un tel outil aurait-il empéché une opération comme Sunburst ? »

          A ma connaissance l’erreur première pour Sunburst est humaine (gestion des droits). Donc non pour la primo-infection.
          Pour le maintien et la propagation dans le système, peut-être, mais plutôt grâce à Glimps Malware.
          Pour la diffusion chez les clients, si le fournisseur ou le client passe un coup d’audit à chaque mise à jour d’un logiciel, oui.

          En analyse automatique du trafic non, ce serait du ressort de Glimps Malware.

      • Jack2 dit :

        Il y a eu des codes qui étaient qualifiés de très bonne qualité par les logiciels de mesure de qualité mais qui ne remplissaient pas la fonction demandée.
        Pour comprendre le fonctionnement d’un logiciel un peu gros, il faut arriver à identifier des briques fonctionnelles assez grosses et cela semble être ce qu’aide à faire GLIMPS audit.
        Le problème du MCAS du Boeing 737 max est que cela a été un rajout mal spécifié (fonctionnalités du produit non complètes, il y manquait l’analyse de tous les cas possibles de panne), mal programmé (fait en Inde à un coût dérisoire) et avec la volonté de le cacher pour continuer à soutenir qu’aucune formation des pilotes sur simulateur n’était nécessaire. Quelle honte !!! Je ne croies pas que GLIMPS aurait pu le voir.

  7. will dit :

    et moi je suis surpris qu’un industriel francais de la cyberdefense soit autorisé a ouvrir un bureau en amerique du nord et donc soit autorisé a ce mettre de facto sous juridiction (et espionnage) des USA…

    • Kali dit :

      Les USA n’ont pas besoin d’une succursale dans leur pays pour espionner…
      Quant aux problèmes juridictionnels, ils interviennent dès que vous utilisez un serveur américain ou apparetenant à une société américaine dans vos communications (SCA / CLOUD Act / Patriot Act). Essayez de garantir un non passage par un tel serveur…

  8. Jm dit :

    En effet, fondée par quatre anciens ingénieurs de la Direction générale de l’armement [DGA]

    En plus, si j’ai bonne mémoire, quand on quitte le Ministère des Armées, on signe de facto une clause qui interdit de travailler dans un secteur identique ou en lien direct avec celui au sein duquel on œuvrait au sein de la Défense, et ce, pendant 5 ans.

    Ca doit être inscrit dans la 2500, si j’ai bonne mémoire.

    Y aurait-il des passe-droits ?
    Dans le milieu financier, on appelle ça un délit d’initié !!!

  9. Olivier dit :

    Bonjour il faut développer notre savoir en matière de défense et surtout elle doit rester francaise

  10. Thierry dit :

    Startup = pompe à fric du contribuable, ils lèvent de gros capitaux, se versent des salaires indécent pour éponger jusqu’au dernier centime et la banque qui est derrière ça après s’être versé de généreux dividende la revend avant que la coquille vide ne soit dévalué faute de création de valeurs. Et voilà la fusion acquisition si cher à macron qui refait une virginité au bistouri pour mieux continuer sous un autre sigle.

    C’est de la privatisation forcené à l’ancienne, le décorum sonne marketing et il n’y a que la façade qui a une existence réel, le reste c’est copinage et partage du butin.

    • fabrice dit :

      Thierry
      Les start up ne sont pas financés par le contribuable ni par les banques mais par des fonds essentiellement privés de capital risque.

      • Thierry dit :

        c’est pourtant bien à ces startup que va l’argent du contribuable quand l’état fait appel à eux pour des services qui pourraient très bien être réalisé en interne et pour un coût bien moindre.
        Nous surpayons les amis à macron.