Détection et gestion de secrets : le Français GitGuardian lève 50 millions de dollars

GitGuardian veut confirmer sa progression commerciale

GitGuardian dit ainsi maintenir « délibérément » l’équilibre entre les capitaux américains et européens, sans qu’il y ait forcément une égalité parfaite entre les deux. « Nous avons des investisseurs à impact dans les deux régions, par exemple Insight Partners d’un côté de l’Atlantique et Eurazeo, de l’autre », déclare Carole Winqwist, Chief Marketing Officer chez GitGuardian, auprès du MagIT. « C’est important pour nous de conserver notre ADN européen. Notre plateau de développement est en Europe, pas aux États-Unis, pays dans lequel nous avons principalement des responsables go-to-market et customer sucess ».

L’entreprise lancée en 2017 réalise toutefois 70 % de son chiffre d’affaires aux États-Unis, contre 80 % en 2024. Elle y avait ouvert un bureau à Boston en 2022, avant de s’installer à New York, il y a un peu plus d’un an. « Nous avons des responsables de compte sur une partie du territoire. Nous avons une présence sur la côte Ouest également, mais pas de bureau officiel », indique Carole Winqwist. Au total, GitGuardian compte 150 employés.

En Europe, GitGuardian a réussi à convaincre ING, BASF, Deutsche Telekom, Orange, Doctolib ou encore Euronext. En 2024, auprès du MagIT, Éric Fourrier, CEO et cofondateur de GitGuardian évoquaient des cycles de vente longs du fait de ce recentrage sur les grands comptes. « Nous commençons à avoir une belle traction sur le marché allemand. Outre Deutsche Telekom et BASF, nous avons signé un très gros éditeur de logiciels », renseigne la directrice marketing. La stratégie du long terme semble effective : GitGuardian indique que 60 % des nouveaux clients sont engagés sur des contrats pluriannuels.

La levée de fonds va permettre de renforcer sa présence en Espagne, dans les pays nordiques, dans la région DACH (Allemagne, Autriche, Suisse), au Royaume-Uni, en France, mais aussi de s’installer en Asie, en Amérique Latine (depuis l’Espagne) et au Moyen-Orient. Au total, l’éditeur affirme que sa solution est utilisée pour surveiller plus de 610 000 dépôts, dont ceux des 115 000 développeurs de ses clients grands comptes.

Toutefois, 80 % des nouveaux revenus récurrents proviennent d’Amérique du Nord. « Notre marché principal demeure les éditeurs de logiciels et les fournisseurs de cybersécurité. Nous avons aussi convaincu un certain nombre de banques et d’assurances aux États-Unis et au Canada », indique Carole Winqwist. « Nous ciblons de plus en plus les verticaux de la pharmaceutique, la santé, l’industrie pétrolière et gazière », liste-t-elle. Bref, l’ensemble des secteurs où la pression réglementaire augmente.

Face à GitHub et GitLab, GitGuardian prétend conserver l’avantage de l’expert

La plateforme de GitGuardian (SaaS ou autohébergée) n’est toutefois pas verticalisée. Au contraire, la startup unifie ses deux produits consacrés à la détection et la gestion de secrets publics et privés.

En 2024, l’éditeur a diversifié son offre en proposant des pistes pour la remédiation de fuite de secrets. De plus en plus, les plateformes telles GitHub et GitLab tendent à inclure nativement la détection de secrets et à proposer des moyens pour faciliter leur rotation. GitGuardian est agnostique du système de gestion de version de code. Et la société n’a pas perdu sa place de numéro 1 sur la marketplace de GitHub.

« GitHub Push Protection fonctionne, mais sur des clés qui sont connues. Problème, les livraisons logicielles sont tellement rapides que [le système de détection] a six mois, voire un an de retard », affirme Carole Winqwist.

Certains types de secrets sont bien suivis par GitHub, dont celles associées aux API OpenAI et les efforts de la filiale de Microsoft au sein des dépôts publics sont bienvenus, juge-t-elle. Mais l’enjeu pour GitGuardian est de protéger les secrets dans les dépôts internes des entreprises. « Pour un secret dans un dépôt public, il y en a six à huit dans un dépôt privé », assure-t-elle.

L’enjeu de la gestion des identités machines à l’ère de l’IA agentique

D’autant que la sécurité des identités machines, sujet qui intéresse la startup depuis deux ans, devient cruciale à l’ère de l’IA agentique. « Le secret est un élément cœur de l’identité machine », affirme la directrice marketing. « Notre but est d’étendre la visualisation au-delà du secret fuité, d’observer les secrets sous toutes leurs formes, qu’ils soient dans des dépôts ou des coffres-forts et dans tous les contextes, en fonction des politiques de conformité de l’entreprise ».

En sus des dépôts Git, GitGuardian a étendu ses intégrations avec les « vaults » et les solutions IAM du marché.

Il s’agit de trier les anomalies : les fuites, mais aussi les trop grandes largesses en matière de permission, le non-respect des durées de rotation, etc. Les responsables de la sécurité peuvent ensuite prioriser la remédiation et l’automatiser quand la clé n’est pas utilisée en production.

« Nous sommes capables d’établir un graphe qui indique les endroits où une clé secrète est utilisée », souligne Carole Winqwist. Outre les détections et la réduction des faux positifs obtenus en partie à l’aide d’algorithmes de machine learning, GitGuardian mobilise des LLM pour produire des recommandations et générer des vues spécifiques. La startup a également mis à disposition son serveur MCP afin d’automatiser les scans à partir des assistants et des agents IA.

Et l’identité de l’agent IA dans tout cela ? « La seule différence avec une machine, c’est qu’au lieu d’utiliser un secret, les agents IA en utilisent dix », lance Carole Winqwist. « Malheureusement, ils sont dotés de droits excessifs pour garantir leur bon fonctionnement. Pour nous, c’est une suite logique. Nous sommes également capables de répertorier les agents, leurs usages, les contextes dans lesquels ils opèrent, leurs accès, leurs objectifs, etc. ».

En 2025, l’entreprise dit avoir participé à la détection et à la remédiation de 350 000 secrets exposés, soit une multiplication par cinq en un an. « Notre plateforme traite déjà des téraoctets de données de sécurité chaque mois, mais nous nous préparons à quelque chose de plus grand », écrit Henri Hubert, responsable senior de l’ingénierie chez GitGuardian, dans un billet de blog. « Avec la croissance rapide de notre clientèle et les nouvelles fonctionnalités qui se profilent à l’horizon, nous devons gérer un volume de données multiplié par 10 sans augmentation proportionnelle des coûts ou de la latence ».

Les ingénieurs sont en train de revoir l’architecture afin d’optimiser fortement les performances des scans, ils comptent améliorer le système orienté graphe pour mieux suivre les secrets utilisés par les agents IA, terminé l’unification technique des outils GitGuardian (ggshield, ggscout, honeytoken, etc.) et adopter les agents IA dans leur propre flux de développement.

GitGuardian souhaite par ailleurs mieux couvrir la surface d’attaque que représente l’environnement de travail du développeur. La startup a ouvert une vingtaine de postes supplémentaires en vue de relever ses défis techniques et commerciaux.