La chaîne d'approvisionnement de logiciels est confrontée à des menaces de toutes parts. Un rapport de 2024 du Ponemon Institute révèle que plus de la moitié des organisations ont subi une attaque de leur chaîne d'approvisionnement de logiciels, et 54 % d'entre elles en ont subi une au cours de l'année écoulée.
Les attaques contre la chaîne d'approvisionnement visent généralement les services de fournisseurs tiers ou les logiciels open source qui constituent la pile technologique d'une entreprise, et peuvent avoir des conséquences financières désastreuses pour l'entreprise. Selon une étude de Juniper Research, les cyberattaques contre la chaîne d'approvisionnement pourraient coûter à l'économie mondiale près de 81 milliards de dollars en pertes de revenus et en dommages d'ici 2026. La Maison Blanche a indiqué qu'elle s'engageait à s'attaquer au problème plus large de la sécurité de la chaîne d'approvisionnement des logiciels, en déclarant ouvertement qu'il s'agissait d'un problème de sécurité nationale et en publiant un décret visant à établir des normes d'atténuation.
Cette menace a alimenté la demande de plateformes capables de détecter – et, dans un monde parfait, d'atténuer – les attaques contre la chaîne d'approvisionnement en logiciels d'une entreprise. Une start-up qui a créé une telle plateforme, Lineaje (une orthographe semi-phonétique de « lignée »), a clôturé aujourd'hui un tour de financement de série A de 20 millions de dollars.
Fondée en 2021 par Javed Hasan et Anand Revashetti, Lineaje développe des outils permettant de détecter les logiciels altérés dans la chaîne d'approvisionnement d'une organisation, ainsi que les logiciels open source obsolètes et potentiellement vulnérables. Une fois que Lineaje a trouvé une vulnérabilité potentielle, elle recommande des correctifs (le cas échéant) et met en garde contre la mise en œuvre de ceux qui pourraient endommager le logiciel.
« Pour les entreprises soucieuses des risques que leurs logiciels représentent pour elles-mêmes et leurs clients, il est essentiel de se concentrer sur ce risque et de le gérer », a déclaré Hasan, PDG de Lineaje, à TechCrunch. « Lineaje a été créée pour découvrir, gérer et sécuriser les logiciels, quel que soit l'endroit où ils sont créés. »
Hasan et Revashetti sont tous deux issus du secteur de la cybersécurité, ayant travaillé chez des fournisseurs tels que Symantec, McAfee et Norton. Leurs chemins se sont croisés alors qu'ils travaillaient chez McAfee, où Revashetti était fellow et architecte en chef.
« Les attaques et les inquiétudes liées à la chaîne d’approvisionnement des logiciels sont en constante augmentation », a déclaré Hasan. « En examinant ce secteur, il est apparu clairement que la chaîne d’approvisionnement était l’une des trois principales préoccupations des RSSI et du gouvernement américain. »
Lineaje occupe un marché encombré. Kusari, Ox Security, Chainguard, Dustico et Endor font partie de ses concurrents, et les grandes entreprises technologiques telles que Google, Amazon et Microsoft multiplient les efforts pour améliorer la sécurité générale des logiciels open source.
Mais Lineaje tente de se démarquer en s’engageant dans des activités liées à la défense. Hasan affirme que la société a un contrat avec l’US Air Force pour soutenir son programme antiterroriste « Eagle Eyes » ainsi que des relations avec d’autres agences fédérales non nommées.
Les agences du secteur public sont confrontées à des défis en matière de chaîne d'approvisionnement en logiciels similaires à ceux rencontrés par le secteur privé. Un rapport récent publié par le ministère américain de la Sécurité intérieure a révélé qu'une agence gouvernementale américaine a passé des mois à répondre à une vulnérabilité dans la bibliothèque Log4j2 d'Apache, un utilitaire de journalisation basé sur Java, en partie parce que ses équipes de sécurité avaient du mal à identifier où se trouvaient les packages vulnérables dans leurs environnements logiciels.
Les fonds récoltés par la série A de Lineaje, qui portent le total levé par la startup à 27 millions de dollars, renforceront ses efforts pour acquérir encore plus de clientèle du secteur public américain, a poursuivi Hasan.
« Le tour de financement de série A nous couvrira jusqu'au début de l'année 2027 au moins », a-t-il déclaré, ajoutant que l'année dernière était la première année de revenus de Lineaje. « Nous avons actuellement une trentaine d'employés et nous prévoyons de doubler nos effectifs d'ici la fin de l'année. »
Le tour a été codirigé par Prosperity7 Ventures, Neotribe et Hitachi avec la participation de Tenable Ventures, Carahsoft, Wipro Ventures, SecureOctane et AlumniVentures.