La jeune startup parisienne s’est vu remettre le prix de l’innovation par la communauté des Assises de la cybersécurité. Spécialisée dans l’automatisation de tests d’intrusion, principale source de revenus d’un grand nombre de cabinets d’audit, Patrowl.io risque de jeter un pavé dans la manne.
Le test d’intrusion « à l’ancienne », c’est fini ? C’est en tout cas ce que prônent les fondateurs de Patrowl.io. « Pentest is dead ! », provoquent ses fondateurs. « Imaginez passer d’une police municipale jetant un coup d’œil de temps en temps sur votre résidence secondaire à une prestation où les points d’entrée de votre maison sont testés en permanence par des spécialistes de l’intrusion. Eh bien! c’est exactement ce que nous proposons avec Patrowl. io », illustre Vladimir Kolla, CTO chez Patrowl.io. Focalisée sur l’exposition des systèmes d’information des organisations, la solution de Patrowl.io combine PenTest as a Service (PTaaS), External Attack Surface Management (EASM) et Continuous Automated Red Teaming (CART). Dans un contexte où les entreprises manquent de ressources et que les ressources elles-mêmes viennent à manquer, la lauréate de la 18è édition du Prix de l’Innovation a vu sa solution doublement saluée avec le prix du public et du jury, pour son efficacité et sa simplicité d’utilisation.
Un contrôle facile pour garantir la conformité avec les réglementations futures
Avant d’en arriver là, les trois fondateurs ont dû revoir pas mal de choses dans leur façon de faire. Notamment en termes de fonctionnement. « Avant, nous faisions du service, maintenant, nous vendons un produit. Cela implique non seulement des frais d’innovation et de R&D que nous n’avions pas jusque-là et, également, de composer avec un chiffre d’affaires qui n’est pas linéaire », précise Nicolas Mattiocco, CEO de Patrowl.io. « Notre objectif est de renforcer la cybersécurité des organisations grâce à une approche en plusieurs étapes : cartographie en temps réel de tous les actifs, identification des faiblesses, vulnérabilités, problèmes de configuration et automatisation de la correction des problèmes détectés. Notre solution offre un contrôle facile pour garantir la conformité avec les réglementations futures telles que DORA, NIS2, CRA et le CyberScore. L’idée est de rationaliser les efforts des équipes grâce à l’automatisation, réduisant ainsi la charge de travail liée à l’identification et au traitement des vulnérabilités », précise Nicolas Mattiocco.
Des POC pour lever les doutes
Interrogés par la rédaction durant l’évènement, certains RSSI se montrent frileux quant à l’automatisation d’un processus qui représente également une manne financière pour de nombreux cabinets d’audit. A cela, les trois startupers répondent de concert « Testez-nous ! » Depuis leur création, ils proposent en ce sens des POC (Proof Of Concept) à leurs prospects et transforment, en général, l’essai une fois sur deux. « Ceux qui ne signent pas sont bloqués pour des questions de budget mais prévoient de l’intégrer l’année suivante. L’approche et le produit sont majoritairement validés, ce qui prouve que le modèle fonctionne », rapporte Vladimir Kolla. Les mentalités vont, une fois de plus, devoir évoluer. Pour eux, ce double prix est à la fois source d’une grande fierté et de visibilité, mais surtout « comme il nous est remis par un auditoire de prospects, cela nous conforte dans l’idée que nous sommes sur la bonne voie », se réjouit le dirigeant.