Cybersécurité : la start-up Lockself cible les données utilisateurs

AuthentificationDSIPolitique de sécuritéProjetsSécurité
2 101 Donnez votre avis

La start-up Lockself aborde la sécurité par la gestion des données. Pour l’heure, la solution est composée d’un gestionnaire de mots de passe et d’une solution de chiffrement des pièces jointes Outlook.

Oubliées les signatures de malwares, qui demeurent le principe de fonctionnement clef des antivirus ? La jeune start-up Lockself, créée par deux anciens de l’Epitech, Lucas Tadajewski et Julien Tessier, accompagnés par un profil plus commercial (Joseph Tresca), préfère en tout cas se concentrer sur les données des utilisateurs. Un parti pris notamment inspiré du parcours de Julien Tessier, hacker repenti tombé amoureux de l’informatique à 12-13 ans (au centre de la photo). « Je piratais des sites officiels par défi, explique-t-il aujourd’hui. Mais, au fil du temps, je me suis aperçu que cela devenait de plus en plus difficile côté serveurs ; ils étaient de mieux en mieux sécurisés. Il est donc logique que les hackers aient déporté leurs attaques vers les postes des utilisateurs, en employant souvent un mélange d’ingénierie sociale et de compromission de certains postes. » Les récentes affaires touchant le réseau interbancaire Swift ou la campagne démocrate aux Etats-Unis viennent confirmer cette tendance.

D’où l’idée de Lockself de se concentrer sur la gestion des données des utilisateurs. Si le concept est né au sein du Bocal, l’incubateur de l’Epitech, il a réellement pris forme quand les deux compères ont décidé de se consacrer pleinement au projet, il y a un an. « Nous voulions amener aux utilisateurs une solution simple masquant de puissants algorithmes en arrière-plan », dit Lucas Tadajewski. En l’occurrence ici, algorithme de chiffrement AES 256, utilisation d’une paire de clefs RSA, double authentification avec login/mot de passe et code PIN ainsi que support des protocoles HTTPS évidemment, mais aussi HSTS (vérification de la validité des certificats).

Reproduire la hiérarchie de l’entreprise

Lockself2
La gestion des droits des utilisateurs.

D’abord orientée vers le grand public, la solution a été réorientée vers les entreprises et propose aujourd’hui un gestionnaire de mots de passe (LockPass) et un module de sécurisation des transferts de fichiers dans Outlook (LockTransfer). Les deux anciens de l’Epitech assurent que leur offre est vouée à s’étendre à d’autres types de données. « Surtout, la réelle valeur ajoutée de la solution réside dans la gestion des utilisateurs, qui permet de reproduire dans l’accès aux données la hiérarchie de l’entreprise avec autant de niveaux de délégation que nécessaire », assure Julien Tessier.

Lockself1
Les rapports de suivi sur les pièces jointes.

La solution s’intègre à Active Directory, même si elle n’en récupère pas automatiquement la hiérarchie. « Car, dans de très nombreuses entreprises, les données des Active Directory ne sont à 100 % propres », justifie Lucas Tadajewski. Sur les pièces jointes aux e-mails, le module d’administration permet aussi d’accéder à un rapport de suivi, répertoriant les accès aux fichiers, leur disponibilité, etc. Au-delà de ce premier niveau amenant de la traçabilité sur l’accès à l’information, Lockself prévoit de proposer des alertes en cas de comportement suspect d’un ou plusieurs utilisateurs. Un développement sur lequel les deux compères ont prévu de travailler d’ici quelques semaines.

Lockself et la visibilité sur les accès

Pour s’intégrer simplement aux environnements existants, Lockself se base sur des plug-ins pour Chrome et Firefox (en matière de gestion des mots de passe) et Outlook (pour la gestion des fichiers). « Pour l’instant, la solution chiffre les pièces jointes, mais une prochaine version amènera le chiffrement complet des e-mails », précise Julien Tessier. Disponible dans le Cloud (sur AWS), Lockself l’est également en installation sur site.

Car la jeune start-up, qui s’est pour l’heure contentée de lever 45 000 euros auprès de proches (et devrait prochainement attirer 60 000 euros de plus), a l’ambition de répondre à de nombreuses problématiques des grandes entreprises. Celles des OIV par exemple. Ces co-cofondateurs insistent aussi sur le respect de la condition 8 de la norme PCI-DSS (relative à la gestion des accès) et sur les réponses que fournit leur solution au règlement européen sur la protection des données personnelles (RGPD). « Quand je piratais les entreprises il y a une dizaine d’années, environ une centaine de personnes disposaient des compétences requises en France, relève Julien Tessier. Aujourd’hui, on parle de dizaines de milliers de personnes ayant les connaissances nécessaires. Face à ce paysage, le manque de visibilité dans les entreprises sur qui accède à quelle information constitue une énorme faille. Nous sommes persuadés que des produits de type Lockself seront indispensables pour répondre à ce défi. »

Pour l’heure, la société dit n’avoir aucun concurrent direct en France, même s’il existe évidemment d’autres coffres-forts de mots de passe (comme Dashlane ou Keepass). Dans le Cloud ou sur site, le couple LockPass et LockTransfer coûte 30 euros par an et par utilisateur (au-delà de 1 000 personnes). Lockself, pour l’instant hébergée dans une structure de services appelée MyWebTailors, explique avoir déjà un client dans l’industrie, avec 2 000 licences actives, et s’être lancé dans une poignée de prototypes avec des prospects.

A lire aussi :

Cybersécurité : la pénurie de compétences est mondiale

Gestion des mots de passe : la CNIL durcit ses préconisations (tribune)

 


Lire la biographie de l´auteur  Masquer la biographie de l´auteur