Dans un contexte où les failles de sécurité dans la chaîne d’approvisionnement logicielle représentent un risque majeur pour 88% des entreprises, la startup Socket lève 40 millions de dollars pour développer ses outils innovants de détection des vulnérabilités dans les composants open source. Avec un marché de la sécurité de la supply chain estimé à 3,5 milliards de dollars d’ici 2027, Socket se positionne comme un acteur clé pour relever ce défi crucial.
Un usage croissant de l’open source, une surface d’attaque élargie
Aujourd’hui, 95% des entreprises recourent à l’open source, attirées par sa flexibilité et sa rapidité de déploiement. Mais cette tendance expose aussi les organisations à de nouveaux risques, les composants externes introduisant des failles potentielles difficiles à détecter et à gérer. Selon une étude de Synopsys, 89% des codebases d’entreprise contiennent des outils open source datant de plus de 4 ans.
Même avec des révisions de code internes rigoureuses, les dépendances externes introduisent le risque d’attaques sur la chaîne d’approvisionnement logicielle qui sont difficiles à détecter et à gérer.
Feross Aboukhadijeh, CEO et fondateur de Socket
L’IA au service de l’analyse de code et de la détection des menaces
Pour répondre à cet enjeu, Socket propose un scanner capable d’analyser les composants open source et de détecter les activités malveillantes comme les portes dérobées ou le code obfusqué. Intégré au workflow des développeurs, l’outil alerte en temps réel lorsque des dépendances sont mises à jour ou ajoutées.
Via des intégrations avec les API d’IA générative d’Anthropic et d’OpenAI, Socket peut aussi générer des résumés des vulnérabilités détectées. De plus, la plateforme vérifie que le code open source est correctement licencié pour être réutilisé en toute légalité.
Une approche unique pour détecter les attaques zero-day
Selon son fondateur, la force de Socket réside dans sa capacité à repérer des failles passant sous les radars des autres outils, notamment le code visant à exfiltrer des données sensibles. La startup affirme détecter plus de 100 attaques zero-day sur la supply chain chaque semaine.
Cette approche séduit des clients prestigieux comme Anthropic, Figma, Vercel, ou encore une des quatre plus grandes banques américaines. Socket revendique plus de 100 clients, protégeant 7500 organisations, 300 000 repositories de code et plus d’un million de développeurs dans le monde.
Un tour de table à 40M$ pour accélérer dans un marché en plein essor
Ce nouveau financement en série B porte le total levé par Socket à 65 millions de dollars. Un tour de table « préemptif » selon le CEO, la startup n’ayant pas encore consommé les fonds levés en série A en août dernier. Socket vise une croissance de son chiffre d’affaires de 400% en 2024.
Avec l’essor de l’IA générative pour écrire du code, de nouveaux vecteurs d’attaque apparaissent, rendant d’autant plus cruciale la sécurisation de la chaîne logicielle. Socket compte passer de 32 à 50 employés d’ici fin 2023 pour répondre à cette demande croissante et s’imposer sur un marché estimé à 3,5 milliards de dollars à horizon 2027.
Les défis de la sécurité logicielle à l’ère de l’IA
À l’heure où l’open source et l’IA deviennent des piliers du développement logiciel, gérer les risques liés à la chaîne d’approvisionnement est un enjeu business et une priorité cyber. Les outils comme Socket apportent une réponse et une visibilité essentielles dans un écosystème logiciel de plus en plus complexe et distribué.
- 88% des entreprises considèrent les failles dans la supply chain logicielle comme un risque à l’échelle de l’organisation
- Plus de la moitié des organisations ont subi une attaque de leur chaîne d’approvisionnement en 2023, avec un coût estimé à 81 milliards de dollars de pertes d’ici 2026
- 89% des codebases en entreprise reposent sur des composants open source datant de plus de 4 ans
Socket répond à ces enjeux en apportant une intelligence et une automatisation essentielles pour sécuriser les dépendances open source, un maillon critique et trop souvent négligé. En levant 40 millions de dollars, la startup se donne les moyens d’accélérer sur un marché stratégique, porté par le boom de l’IA et du logiciel libre, afin d’aider les entreprises à innover en toute sécurité.
