Customer Stories / Internet et logiciels / France

2024

Avec le Cloud AWS, GitGuardian œuvre pour un code plus sûr et libéré de ses vulnérabilités

Les vulnérabilités non identifiées dans le code source des applications ne posent pas uniquement un problème de sécurité dans ces applications : elles peuvent s’étendre à l’ensemble des services qui seront développés en utilisant ce même code. GitGuardian s’appuie sur l’infrastructure et les services du Cloud AWS pour analyser en temps réel chaque ajout ou modification dans des millions de dépôts de code disponibles sur les plates-formes de développement. GitGuardian détecte très en amont les éventuelles vulnérabilités et alerte ses auteurs. Ce faisant, GitGuardian contribue à bâtir un code plus sûr et mieux documenté, pour le bénéfice de l’ensemble de la communauté du développement.

Accélération par 5

des déploiements en production

20 %

de réduction des coûts d'infrastructure

Plus d’un milliard

de commits analysés en 2023

Plus de 60 millions

de dépôts de code surveillés

Aperçu

Une vulnérabilité non identifiée au sein du code source d’une application ne pose pas uniquement un problème de sécurité au niveau de cette application : elle peut potentiellement s’étendre à l’ensemble des services qui seront développés en utilisant ce même code source. Chaque jour, des millions de nouvelles lignes de code sont mises à la disposition de la communauté des développeurs à travers des plates-formes spécialisées, comme GitHub, GitLab, Bitbucket ou Azure Repos. Ces briques de code sont ensuite modifiées, enrichies et assemblées pour donner naissance à de nouvelles applications, dont le code pourrait être à son tour publié en vue de sa réutilisation par des tiers. Cette logique open source, pour vertueuse qu’elle soit, n’en porte pas moins des risques spécifiques : une erreur ou une vulnérabilité au sein de l’une des briques peut ainsi être reproduite à l’infini et faire courir un véritable péril à l’ensemble des services qui y sont associés.

C’est sur ce constat qu’est née GitGuardian en 2017. La start-up française s’est donnée pour mission d’aider les développeurs du monde entier à produire le code le plus sécurisé possible. Et pour ce faire, d’identifier et de documenter les innombrables vulnérabilités, données sensibles ou secrets présents dans les référentiels de code source à leur disposition. Les fondateurs de l’entreprise, eux-mêmes issus de la communauté de développeurs, ont pris conscience de l’importance du phénomène en explorant des données publiques issues des principales plates-formes d’hébergement de code du marché. « Ces bibliothèques sont constituées grâce aux contributions régulières de nouvelles briques de code par des développeurs individuels du monde entier, sans contrôle systématique, indique Eric Fourrier, CEO et co-fondateur de GitGuardian. Il n’est donc pas rare d’y trouver des informations sensibles en clair dans le code source, telles que des clés d’API ou SSH, des certificats, des identifiants, mots de passe et URLs de connexion aux bases de données. Cette pratique peut entraîner des incidents de sécurité en série et faciliter des cyberattaques. Notre objectif est la conséquence directe de cet état de fait : sécuriser le code de façon transparente, simple et pragmatique. »
 

Un outil indispensable pour chaque développeur

Afin de protéger les environnements DevOps de ses utilisateurs, GitGuardian a développé son propre moteur d’analyse de vulnérabilité dans le code, capable d’intervenir dans l’ensemble du cycle de développement logiciel, y compris dans les systèmes de contrôle de version, les pipelines CI/CD et les configurations Infrastructure-as-Code. Mais la plate-forme ne se contente pas de créer des alertes en temps réel lorsqu'elle détecte des secrets exposés : elle accompagne les équipes sécurité et les développeurs dans le processus de remédiation, afin de minimiser le risque d'exposition de secrets et leur exploitation lors de cyberattaques. Elle répond ainsi de façon optimale aux besoins de sécuriser leur cycle de développement logiciel des grandes entreprises, qui emploient parfois plusieurs milliers de développeurs.

La start-up s’est imposée comme le leader dans la détection de secrets dans le code. En 2023, elle a analysé plus d’un milliard de commits publics (c'est-à-dire de publications d’une modification de code) et, sans surprise pour son équipe de chercheurs, plus de 12 millions de secrets ont été identifiés. Le problème est généralisé : les fuites de secrets concernent 1 développeur actif sur 10 sur la plateforme publique de GitHub, comme le montre GitGuardian dans son dernier rapport, The State of Secrets Sprawl 2024.
 

kr_quotemark

« Au regard de notre vaste couverture géographique et de la nature de nos opérations gourmandes en ressources de calculs, l'infrastructure et les services AWS ont été un choix évident pour héberger nos applications. »

Eric Fourrier
CEO et co-fondateur, GitGuardian

AWS : un soutien essentiel à la culture d’excellence de GitGuardian

Pour accompagner sa croissance et piloter son changement d’échelle, qui nécessite le provisionnement de ressources importantes au gré des pics de demandes, l’entreprise a choisi de nouer un partenariat avec Amazon Web Services (AWS). L’infrastructure mise à sa disposition lui offre en effet toute la souplesse et la performance dont elle a besoin pour accompagner sa croissance tout en garantissant à son modèle SaaS une parfaite élasticité pour absorber les charges de travail les plus exigeantes. Et ce n’est pas le seul services d’AWS apprécié par les équipes IT de l’entreprise. Ces dernières utilisent notamment de manière intensive Key Management Services (KMS) et les groupes de sécurité pour garantir que chaque ressource ait accès uniquement aux services strictement nécessaires à son activité. Depuis fin 2022, elles utilisent également Amazon Elastic Kubernetes Service (EKS) et ArgoCD pour améliorer la vélocité des services et réduire la durée des cycles de développement.

Ces services permettent à l’équipe de développeurs de se concentrer sur la création de valeur pour ses clients plutôt que sur la gestion de l'infrastructure. « Nous livrons en continu et très rapidement avec AWS, note Mathis Raguin, ingénieur en qualité opérationnelle chez GitGuardian. Cette flexibilité et fiabilité nouvellement développées ont permis de réduire de 20 % les coûts liés à l'infrastructure tout en améliorant la qualité de service fourni à nos clients. »
 

S’imposer comme un leader de la sécurité des entreprises

« Chaque année, nous alertons plus d'un million de développeurs dans le monde entier après avoir identifié des secrets ou des clés d'authentification dans le code qu’ils hébergent sur la plateforme GitHub, se félicite Eric Fourrier. Au regard de notre vaste couverture géographique et de la nature de nos opérations gourmandes en ressources de calculs, l'infrastructure et les services AWS ont été un choix évident pour héberger nos applications. »

Pour GitGuardian, l'aventure ne fait que commencer. Les secrets et clés d'authentification ne sont qu'une vulnérabilité parmi d'autres que les développeurs introduisent par erreur dans le code. L'entreprise a récemment annoncé de nouvelles fonctionnalités pour améliorer la posture de sécurité des entreprises.
 

À propos de GitGuardian

GitGuardian est une start-up française de cybersécurité spécialiste de la sécurité du code. Elle propose notamment, via sa plateforme, des solutions de détection des secrets automatisée, de sécurité des dépendances open-source, et Honeytoken. GitGuardian est disponible sur l'AWS Marketplace.

Services AWS utilisés

Amazon EKS

Le moyen le plus sûr de démarrer, d'exécuter et de mettre à l'échelle Kubernetes.

En savoir plus »

Amazon KMS

Créez et contrôlez les clés utilisées pour chiffrer ou signer numériquement vos données.

En savoir plus »

AWS Lambda

AWS Lambda est un service de calcul qui exécute votre code en réponse à des événements et gère automatiquement les ressources de calcul, ce qui en fait le moyen le plus rapide de transformer une idée en une application moderne, de production et sans serveur.

En savoir plus »

Amazon Cognito

Mettez en œuvre une gestion des identités et des accès des clients sécurisée et transparente qui évolue.

En savoir plus »

Success-stories de clients AWS

Des millions de clients dont certaines des startups les plus dynamiques au monde, de très grandes entreprises et des agences fédérales de premier plan utilisent AWS pour réduire leurs coûts, gagner en agilité et innover plus rapidement.

Autres témoignages de clients Internet et logiciels

Showing results: 1-4
Total results: 35

no items found 

  • France

    Probayes redéfinit les standards du…

    Probayes, pionnier de l’intelligence artificielle en France et filiale du Groupe La Poste, s’appuie sur AWS pour lancer docIA, sa première plateforme SaaS à grande échelle.
    2024
  • France

    Gladia : Révolutionner la reconnaissance vocale…

    Plongez dans l'univers de Gladia, une pépite technologique française qui redéfinit les standards de la reconnaissance vocale multilingue. Cette success story met en lumière la puissance de l'innovation cloud et de l'IA générative.
    2024
  • France

    LightOn : Accélérer le déploiement de l'IA…

    Entrez dans l'univers fascinant de LightOn, où l'intelligence artificielle générative rencontre l'expertise cloud. Cette pépite technologique française a donné naissance à Alfred, un modèle d'IA révolutionnaire spécialisé dans la génération augmentée par recherche (RAG).
    2024
  • France

    Etude de cas AWS : Cycloid

    Cycloid est une plateforme DevOps permettant d’industrialiser l’approche DevOps et l’accélération / adoption du Cloud. L’objectif: simplifier l’interaction entre les dev et les Ops sur les sujets d’infra / infra as code, favorisant le respect des bonnes pratiques, sans lock-in car implémentant de l’Open Source et complètement interopérable avec tout ce qui se fait en API.
    2020
1 9

Démarrer

Les organisations de toutes tailles et de tous secteurs transforment leur activité et exécutent leurs missions au quotidien à l'aide d'AWS. Contactez nos experts et démarrez votre transition vers AWS dès aujourd'hui.