Le stockage dispersé des informations confidentielles dans plusieurs endroits, autrement dit « secret sprawl », pose-t-il problème aux entreprises cherchant à éviter les failles de sécurité ? Les entreprises peuvent avoir des centaines de secrets, tels que des clés API, des mots de passe ou des jetons d’accès à des bases de données, répartis dans toute leur infrastructure. N’est-il pas alors difficile de garder une trace de ce qui est stocké où, qui y a accès et si certaines de ces données se sont retrouvées dans le domaine public par inadvertance ?
Prenons par exemple le cas d’Uber qui, en 2017, a révélé une importante violation qui a exposé les données personnelles de quelque 57 millions de clients. Et la cause principale ? Les pirates ont trouvé une clé d’accès AWS dans un dépôt GitHub d’un développeur Uber. Alors, face à cette toile de fond, n’avons-nous pas vu émerger une myriade de start-ups et d’outils Big Tech destinés à aider les entreprises à gérer leur secret sprawl ?
« Le secret sprawl, un défi croissant pour la sécurité des entreprises »
Au centre de l’action, nous trouvons la société basée à San Francisco, Infisical, qui vient d’annoncer avoir levé 2,8 millions de dollars lors d’un tour de financement initial mené par Gradient Ventures de Google. L’objectif ? Aider les entreprises de toutes tailles à centraliser leur gestion des secrets. Mais, comment Infisical se positionne-t-elle sur le marché ?
Infisical se présente comme une plateforme de gestion des secrets holistique, combinant tous les éléments dont une entreprise a besoin, un peu comme ce que Rippling a fait dans l’espace de la gestion de la main-d’œuvre, mais pour les secrets selon le co-fondateur Vlad Matsiiako. Cela inclut-t-il un tableau de bord pour gérer les secrets à travers différents projets et environnements ; des SDK clients ; une interface de ligne de commande (CLI) ; des intégrations natives avec des plateformes comme GitHub, Netlify et Vercel ; une version de secret et un « point de récupération dans le temps » ; des journaux d’audit ; et un balayage secret ?
Et en matière de modèle économique, comment Infisical génère-t-elle des revenus ? Infisical semble séduire les entreprises à travers son incarnation hébergée en cloud, qu’elle vend en tant que SaaS, et à travers sa version auto-hébergée où elle vend des fonctionnalités de niveau entreprise.
Infisical se positionne comme une plateforme SecretOps « open source », mais un rapide coup d’œil à sa licence sur GitHub révèle qu’elle est peut-être plus alignée avec le domaine du coeur ouvert ou de la source disponible, qu’avec la sphère purement open source. Autrement dit, si une grande partie de la fonctionnalité de base de la plateforme est apparemment disponible pour utilisation sous la licence permissive MIT, elle a conservé beaucoup de fonctionnalités sous une licence propriétaire dans une édition entreprise séparée (EE). Comment comprendre cela ?
L’objectif est vraiment de ne facturer que les grandes entreprises, a ajouté Matsiiako. Mais face à des outils similaires déjà présents sur le marché, y compris le projet open source Vault du géant des infrastructures cloud HashiCorp qui a pratiquement établi la norme pour le secteur de la gestion des secrets, comment Infisical se distingue-t-elle ?
Enfin, qu’en est-il de l’histoire d’Infisical jusqu’à présent ? La société a été fondée par trois camarades de l’Université Cornell, qui ont travaillé dans diverses entreprises telles que AWS, Figma et Bung, avant de se retrouver pour lancer leur nouvelle aventure ensemble à San Francisco en août dernier. Depuis, Infisical a levé 500 000 $ grâce à sa participation au programme hiver ’23 de Y Combinator (YC), et elle a récemment fait sa première embauche en ingénierie, un ancien de Red hat.
Source : Techcrunch
