Jérémy Mounier est co-fondateur et PDG d'ArxSys, un éditeur logiciel spécialisé dans une solution de collecte et d'analyse des données sur les systèmes informatiques. Il nous parle du Prix de l'Innovation, reçu récemment par son entreprise, et de sa vision de la médecine légale de l'informatique, ce secteur émergent sur lesquels les quatre fondateurs d'ArxSys ont misé dès la fin de leurs études.
Bonjour, Jérémy Mounier. ArxSys vient de recevoir le Prix de l'Innovation lors des Assises de la Sécurité. Pouvez-vous nous détailler la solution qui vous a valu ce prix ?
Le Prix de l'Innovation récompense une entreprise innovante de moins de deux ou trois ans. Nous avions décidé de postuler car nous souhaitons nous rapprocher du milieu de la sécurité. Les Assises de la Sécurité, qui se tiennent depuis une dizaine d'années, réunissent les responsables de la sécurité des systèmes d'information d'entreprises de l'Union européenne. Nous étions vraiment dans les critères, puisque nous avons commencé à développer notre logiciel il y a trois ans, et que notre société a été créée il y a un an.
Pour nous, à l'origine, le logiciel faisait partie d'un projet d'études. C'est un environnement, un framework pour utiliser le terme exact, open-source, qui permet de faire de l'investigation informatique. Il sert à collecter les données, à les préserver et à rechercher différents éléments de preuve contenus sur n'importe quel système. Le coeur est en partie en C++ et en partie en Python, ce qui nous permet de développer avec ces deux langages. Nous avons également développé une interface graphique pour le compléter. Ca nous permet de fournir une interface directement intégrée avec la solution pour faciliter l'utilisation pour des personnes qui n'ont pas forcément la connaissance pour l'utiliser en ligne de commandes.
Plusieurs systèmes de récupération de données existent déjà, pourtant...
Oui, mais ce n'est qu'une composante de notre solution. ArxSys a développé une offre complète en lien avec la médecine légale des systèmes informatiques. Quand il y a un délit avec une composante numérique, comme la cybercriminalité, qui peut aller des fraudes dans les entreprises aux attaques informatiques, il faut des outils qui permettent de figer la scène du cybercrime et de faire une recherche dans un environnement clos, pour trouver différentes traces de l'attaquant et du délit.
C'est un domaine qui peut paraître original, mais parmi les quatre experts en technologies de l'information qui avons fondé l'entreprise, nous souhaitions tous nous lancer dans un projet de fin d'études sur la sécurité des systèmes d'information. Nous nous sommes rendus compte qu'il fallait développer un panel complet pour répondre à une situation d'incident ou de crise. Il y a beaucoup d'autres outils de sécurité, mais ce sont des solutions qui se focalisent sur la prévention et la protection. Il n'y a pas vraiment de logiciels de réponse à un incident... Ce sont pourtant des problématiques largement développées dans le monde anglo-saxon, où deux gros éditeurs se partagent le marché. Il y a aussi un acteur allemand assez important, mais sur le marché français, il n'y avait rien. Il manquait un éditeur dans la médecine légale de l'informatique.
De plus, les outils existants de prévention et de protection sont à notre sens assez figés dans leur architecture. Nous voulions donc proposer une solution plus à jour, tenant compte réellement des situations actuelles. Le monde des technologies est très diversifié, et les produits existants ne permettent pas de répondre à l'ensemble des situations. Nous avons pris le problème par cet aspect : nous voulions un environnement très évolutif, où il est assez aisé d'ajouter des composantes.
En misant sur le côté open-source. Est-ce que ce n'est pas paradoxal de publier un code pour des questions aussi critiques, qui permettront à d'éventuels pirates de connaître votre code par avance ?
Nous avons fait ce choix d'abord pour nous insérer plus facilement sur le marché. C'est un domaine un peu à part, qui a été développé pour les forces de l'ordre à l'origine, notamment aux Etats-Unis. Ensuite, nous souhaitions intégrer le côté très transparent de l'open-source, tant pour confronter la qualité du travail réalisé au niveau du développement, que pour permettre l'émergence d'une communauté. C'est très important dans ce type de projets.
Quant au problème de la divulgation des méthodes d'analyses poussées, dans la majorité des cas, les attaques ne sont pas forcément complexes techniquement. Il pourrait y avoir quelques cas pour lesquels la connaissance du code aiderait à détourner la protection, mais dans l'ensemble ce n'est pas un problème. Et de toute façon ces cas-là sont très techniques, et nécessitent un traitement au cas-par-cas. On ne peut pas l'intégrer en masse dans le logiciel, donc le code n'est tout simplement pas disponible.
Pour l'aspect communautaire, c'est vrai que nous avons surtout des utilisateurs. Nous avons quelques développeurs, mais la grande majorité des 8 à 9 000 téléchargements sont des utilisateurs finaux. Ca nous permet tout de même de voir qu'il y a une communauté qui utilise ce type d'outils. Et de toute façon, si la présence de développeurs est très intéressante et très importante, nous nous sommes concentrés pour l'instant sur les retours d'utilisateurs, pour pouvoir cibler et réparer les problèmes, ou développer d'autres fonctionnalités. Mais nous aurons de toute façon sans doute plus de monde plus tard. Le logiciel open-source est sorti en septembre 2009, et nous prévoyons une version commerciale en octobre de cette année.
Une version open-source et une version commerciale... Quel est le modèle économique derrière ArxSys ?
Nous avons choisi un modèle qui se rapproche de celui du MySQL. Une version gratuite et entièrement open source, et une version commerciale, qui proposera quelques fonctionnalités supplémentaires mais surtout du support, des mises-à-jour, et la garantie d'un contrôle assuré par l'éditeur. Nous réalisons aussi des prestations de service, en développement spécialisé pour ajouter certains plugins pour une entreprise avec des besoins particuliers, par exemple. Nous faisons aussi un peu de réponse sur incidents, auprès des entreprises qui externalisent leurs services de collecte et d'analyse.
Nous nous sommes lancés avec un capital de départ, et nous avons obtenu une subvention du fonds d'amorçage d'Oséo, qui a financé notre budget à hauteur de 30 000 euros. Nous avons gagné un peu d'argent avec les différentes prestations de services, mais de toute façon, il est certain que nous sommes encore en pleine phase de développement. La version commerciale, qui sortira en octobre, inaugurera un nouveau temps, avec le début de réelles démarches pour la commercialisation. Pour l'instant, nous avons des contacts intéressants, mais rien de concret. 80% de notre temps est de toute façon consacré à la recherche et au développement.
Nous visons particulièrement les entreprises. Pour la partie logicielle, je pense que nous pouvons intéresser les grands comptes. Nous pourrons aussi leur proposer de la formation, par exemple, ou du développement spécialisé. Pour les entreprises plus réduites, qui n'ont pas forcément les moyens d'intégrer une cellule dédiée à la collecte et à la gestion des incidents, nous pouvons agir comme prestataire externe, nous déplacer pour intervenir, les guider, les conseiller, et leur garantir l'intégrité de leurs données. A terme, c'est évidemment une solution qui pourra intéresser les forces de l'ordre. Nous sommes en contact avec plusieurs laboratoires, ou unités d'enquête spécialisées. Mais les forces de l'ordre utilisent les appels d'offre pour tous ces types de solutions, donc cela prendra du temps. C'est une relation qui va se construire sur la durée, de toute façon.
Je vous remercie.
