samedi , 28 mai 2022

Licorne de la sécurité applicative, Checkmarx cible 30 millions de développeurs, et leurs successeurs.

Licorne à 16 ans, suite au rachat à 1,15 milliard de dollars par H&F, Checkmarx n’a pas fini de faire parler d’elle. Rencontre avec Emmanuel Benzaquen, son CEO dès l’origine.

Checkmarx

Création avril 2006
Siège Ramat Gan (Israel)
Fondateur Maty Siman
Dirigeant Emmanuel Benzaquen (CEO)
Effectif 750 employés (20 en France),
Financement rachat 1,15 milliard de dollars par H&F
Dernière levée rachat en mars 2020
Investisseurs XT Investments (ex Ofer Hi-Tech), Salesforce, K1 Investment Management, Insight Partners, Hellman & Friedman

La sécurité applicative regroupe un grand nombre de technologies complexes. Et pas toujours les plus sexy, il faut bien le reconnaître….
Néanmoins, comment parler de développement et de déploiement continus sans intégrer des contrôles de sécurité à toutes les étapes du développement? Cela permet de limiter fortement les risques et les retours incessants en arrière, y compris avant la mise en production. Au passage, cette approche limiterait aussi les dérapages sur les coûts et les délais…
Place de l’IT a rencontré Emmanuel Benzaquen, CEO de l’éditeur Checkmarx, l’un des leaders de ce marché encore trop méconnu.
Créée en 2006 par Maty Siman à Ramat Gan (ville limitrophe de Tel-Aviv), la startup a été rachetée pour 1,15 milliard de dollars par le fonds californien Hellman & Friedman en mars 2020.
Aujourd’hui présente dans près de 1500 entreprises sur 71 pays, Checkmarx emploie plus de 750 salariés dans 13 bureaux à travers le monde pour une présence commerciale dans 22 pays.
Elle dispose de 20 représentants en France où elle compte une cinquantaine de clients. Outre son centre de développement à Ramat Gan, elle a ouvert un centre de R&D au Portugal.
Une belle histoire et une réussite prometteuse.

La longue route de la sécurité applicative…

Après son service militaire dans une unité spécialisée en informatique de l’armée israélienne (team leader de l’Information Security Center), Maty Siman devient chef de projet informatique et expert en cybersécurité pour les services du Premier ministre du pays en 2004, à l’âge de 27 ans. Alors qu’il recherche une solution permettant de sécuriser le code (contre les failles et l’exposition aux cyberattaques) pendant le développement jusqu’à la production, il ne trouve rien. Qu’à cela ne tienne, il décide d’en développer une.

Maty Siman, fondateur et CTO chez Checkmarx.
Maty Siman, fondateur et CTO chez Checkmarx.

Pour y parvenir, Maty Siman crée la startup Checkmarx à Ramat Gan en avril 2006. En août 2006, il s’adjoint les services de son ami Emmanuel Benzaquen comme CEO de la société (qui a déjà passé plusieurs années dans la Silicon Valley et à New York). Maty prend alors la caquette de CTO. Objectif de la société: développer une solution pour sécuriser les applications sur tout leur cycle de vie, de la conception à la mise en production, et aux cycles de modification.
«En 2006-2007, le monde est encore à l’ère pré-smartphone. Autant dire que les plateformes de sécurité applicative ne sont pas légion!» rappelle Emmanuel Benzaquen, CEO de Checkmarx dès sa création. «Les entreprises se préoccupaient peu de la cybersécurité ou des attaques encore peu répandues. Pourtant, notre vision était très claire: proposer une plateforme de sécurité applicative complète aux 20 à 30 millions de développeurs à travers le monde, pour tout type de langage via intégration ou création de code. Ce qui nous conduira progressivement à intégrer les librairies open source, les APIs, les containers, les micro-services… Nous souhaitions analyser tout le code créé ou modifié afin d’apporter une visibilité globale sur le niveau de risque de toute application.»
En octobre 2011, la jeune pousse emploie 35 collaborateurs et compte déjà de nombreux clients dans 25 pays où elle a mis sur pied des écosystèmes de partenaires. Elle réalise alors sa première levée (montant non communiqué) auprès du fonds israélien Ofer Hi-Tech et de Salesforce Ventures, son premier grand client historique.
Sa solution propose déjà un moteur de scan des vulnérabilités adaptable aux besoins de l’entreprise (langage de requêtes) et supporte de multiples langages qu’il peut analyser (voire compiler): PHP, Java, Perl, .net, C, C++, Flash, Ruby…
En novembre 2013, Salesforce et les fonds israélien XT Investments (ex Ofer Hi-Tech) et américain K1 Investment Management bouclent un tour de table à 8 millions de dollars.

… mène Checkmarx jusqu’au statut de licorne

En juin 2015, la startup a déjà levé “un total de 14,5 millions de dollars”, et Insight Partners la rachète pour 84 millions de dollars.
«Vers 2015, les entreprises se familiarisent avec le concept de sécurité applicative. Les approches DevOps et le développement agile favorisent cette prise de conscience,» rapporte le CEO. «En effet, ces évolutions ont favorisé la prise en compte de la sécurité et la nécessité impérieuse de l’intégrer en continu pendant toutes les étapes du développement, afin d’éviter les bouclages stériles et chronophages. Un raisonnement qui vaut également pour la mise en production, et les modifications en continu -ou pas.»

Emmanuel Benzaquen, CEO chez Checkmarx
Emmanuel Benzaquen, CEO chez Checkmarx

En juillet 2017, Checkmarx rachète Codebashing, spécialiste de la sécurité dispensant des formations sur ce thème via une plateforme de gaming, afin de sensibiliser les développeurs à la sécurité. Et en novembre 2018, elle jette son dévolu sur Custodela afin d’intégrer le DevSecOps à sa plateforme.
Les effectifs de la société explosent, passant de 395 à 534 employés entre 2018 et 2019. En 2020, la startup dépasse même les 700 employés.
En mars 2020, le fonds d’investissement californien Hellman & Friedman rachète Checkmarx à Insight Partners pour 1,15 milliard de dollars (après que Thomas Bravo a racheté Veracode pour 950 millions en janvier 2019, et que F5 Networks s’est emparée de Shape Security pour un milliard de dollars en décembre 2019).
Peut-on alors envisager une entrée en bourse? «Checkmarx ne souhaite pas forcément entrer en bourse et préfèrerait préserver sa liberté de travailler sur le moyen et long terme, en s’épargnant la pression des actionnaires,» rétorque le CEO.
En août 2021, Checkmarx s’offre Dustico et sa plateforme SaaS détectant les brèches et autres backdoors (exposant les applications aux attaques cyber de type supply chain) dans les packages open source.

La plateforme AST (Application Security Testing) de Checkmarx pour développer et exécuter des applications plus sûres.
La plateforme AST (Application Security Testing) de Checkmarx pour développer et exécuter des applications plus sûres.

Une solution multi-technologies et non intrusive

L’architecture a été conçue pour exécuter des moteurs spécialisés sur divers éléments ou technologies afin de scanner du code de développement traditionnel ou en mode “cloud native”, des librairies et composants open source, de l’Infrastructure as Code, des APIs, des containers, de la sécurité contre les attaques de type supply chain (via de multiples corrélations)… Et la plateforme utilise des algorithmes de corrélation sur l’ensemble de ces résultats.
«Ainsi, notre solution analyse les librairies open source et met en corrélation la réputation des développeurs impliqués dans le projet open source, la fiabilité du package (lui-même ou via ses liens avec d’autres package utilisés), et son comportement à l’exécution. Et tout cela est entièrement automatisé,» précise Emmanuel Benzaquen.
A l’heure des applications distribuées et/ou multiformes (API internes et externes, open source, containers, microservices…), la plateforme scanne tout le code d’un projet grâce à ces divers moteurs afin d’évaluer le niveau de risque et d’établir un rapport via des tableaux de bord à destination des développeurs, mais aussi du DSI, du Siso, etc.
«Aux côtés des multiples outils de la chaîne du développement jusqu’à la mise en production (CI/CD ou autres), notre devise est simple: “Loved by Dev et trusted by CSO” répète le dirigeant. «La plateforme de Checkmarx fonctionne en mode ”stand alone” et peut s’intégrer sans rien modifier dans les environnements de développement (IDE) des programmeurs. Les scans de vulnérabilité sont réalisés automatiquement, et le développeur peut aussi les activer et consulter les résultats depuis son IDE.»
Au-dessus, une couche de corrélation analyse les diverses vulnérabilités détectées et les met en relation avec le reste de l’application pour révéler d’éventuelles nouvelles failles ou vulnérabilités. «Si aucun risque n’est détecté dans le code, et que l’Infrastructure as Code représente un risque même mineur, l’association des deux peut parfois représenter un risque grave, qui s’avère indétectable de façon isolée,» ajoute Emmanuel Benzaquen. «D’où la nécessité des multiples corrélations entre les résultats des différents moteurs.»

L’éditeur mène aujourd’hui divers projets pour rendre sa plateforme multitenant dans le cloud public, pour réaliser une cartographie de la topologie de l’application afin de définir sa posture de sécurité et la confronter aux attentes de l’entreprise, ou encore pour intégrer ses technologies chez les hyperscalers en mode “cloud native”. A suivre.

S’abonner pour accès illimité 1 an

250,00 HT

Vous pouvez lire aussi

Thierry Lottin, directeur général pour la France et l’Afrique du Nord et de l’Ouest chez Veeam

+85% de budget Protection des données pour les entreprises françaises. Cela suffira-t-il?

Cyberattaques, ransomwares… Une étude Vason Bourne/Veeam peint le tableau noir de la protection des données, comme nous le Veeam avec Thierry Lottin, son DG.