Sécurité applicative : Yagaan veut fluidifier la détection de vulnérabilités dans le code

C’est en janvier 2017 qu’Hervé Le Goff et Antoine Floc’h ont fondé Yagaan. Tous les deux connaissent bien le monde de l’informatique et en particulier celui de la cybersécurité. Avant la création de Yagaan, Hervé Le Goff est resté de longues années à Direction générale de l’armement (DGA). Antoine Floc’h est quant à lui docteur en informatique de l’université de Rennes 1. Surtout, il a travaillé plus de 10 ans sur les outils et méthodes d’analyse statique du code. De quoi bien en mesurer les forces et les faiblesses. Et ce n’est pas superflu, car Yagaan se concentre sur la sécurité applicative et sa prise en compte tout au long du cycle de développement. Hervé Le Goff explique ainsi la démarche : « nous sommes partis du constat que, pour développer des applications sûres, il faut fournir des outils pertinents aux équipes de développement afin qu’elles puissent intégrer la sécurité dès le début ».

Et voilà, pour lui, les principaux outils d’analyse statique souffrent d’un même mal : « il remonter beaucoup d’informations qu’il faut retraiter manuellement ». Et de citer en particulier les « faux positifs et les doublons : une vulnérabilité dans un composant peut se manifester à plusieurs endroits et donc générer plusieurs alertes ». Tous les outils d’analyse statique ne sont pas concernés, mais en substance, pour l’essentiel, le marché comprendrait d’un côté des outils peu chers à l’acquisition mais onéreux en coûts d’exploitation, et de l’autre, des outils potentiellement plus efficaces, mais marqués par des tarifs très élevés. Et d’évoquer notamment là des Veracode, Checkmarx ou Fortify. Yagaan se veut quelque part entre les deux extrêmes.

Hervé Le Goff reconnaît un périmètre d’application plus restreint que les grandes solutions commerciales. Mais il revendique un avantage distinctif : « nous ajoutons à l’analyse statique du code de l’apprentissage automatique [supervisé] pour avoir un outil apprenant, capitalisant sur le retour d’expérience des utilisateurs pour automatiser la classification des alertes ». Une couche d’automatisation, donc, qui vise à « permettre au développeur, utilisateur ou auditeur de se concentrer sur les failles et les alertes pertinentes dans son contexte ». Pour l’heure, les outils de Yagaan supportent nativement Java et PHP. D'autres languages comme JavaScript, Python ou Go sont prévus et supportés en attendant par l'intégration de scanners open source. L’objectif est de couvrir les applications Web et en se concentrant, pour commencer, sur le top ten de l’Owasp des vulnérabilités. Et tout cela en s’intégrant aux environnements intégrés de développement (IDE) et outils d’intégration continue : Maven, Gradle, mais Jenkins et Github.

Surtout, Yagaan ne se contente pas de traiter les vulnérabilités identifiées dans le code source sous le seul angle technique. Hervé Le Goff souligne une volonté : « établir un lien entre la partie technique et la partie métier ». Pour cela, les outils de la jeune pousse permettent « d’intégrer une description des fonctionnalités métiers des applications pour pouvoir ensuite relier les vulnérabilités techniques identifiées aux fonctionnalités applicatives ». De quoi aider à apprécier le risque et à hiérarchiser les efforts de correction.