Entretiens

Neatsun Ziv, Co-Fondateur et PDG d’OX Security – Série d’entretiens

mm
Publié le
Mis à jour le

Neatsun Ziv, Co-Fondateur et PDG d’OX Security, est à la pointe de la rédefinition de la sécurité de la chaîne d’approvisionnement logicielle pour l’ère DevSecOps. Avant de fonder OX, il a occupé le poste de VP de la cybersécurité chez Check Point, dirigeant des initiatives mondiales et orchestrant des réponses rapides aux menaces de haut profil telles que SolarWinds et NotPetya. Son travail l’a souvent mis en collaboration directe avec Interpol, les CERT nationaux et d’autres agences de répression pendant certaines des cyberattaques les plus critiques de la dernière décennie.

OX Security est une plateforme de sécurité d’application conçue pour faire la part des choses, aidant les organisations à se concentrer sur le petit pourcentage de risques qui compte vraiment. En exploitant l’analyse de l’exploitabilité, de la portée et de l’impact commercial, la plateforme fournit une priorisation fondée sur des preuves à travers l’ensemble du cycle de vie du développement logiciel. Avec une couverture complète du code au cloud, plus de 100 intégrations et des flux de travail sans code, OX intègre une remédiation guidée directement dans les flux de travail des développeurs, garantissant que les mesures de sécurité soient à la fois efficaces et sans friction.

Avant de co-fonder OX Security, vous avez dirigé des réponses majeures aux incidents chez Check Point. Qu’est-ce qui vous a amené à décider qu’il était temps de créer votre propre entreprise, et quel fossé avez-vous constaté dans l’espace de la sécurité des applications ?

En travaillant chez Check Point, j’ai constaté de première main le “Corporate Velocity Gap” – l’entreprise de sécurité traditionnelle évolue à un rythme plus lent. J’ai également vu à quel point les équipes de sécurité étaient inefficaces de diverses manières, en particulier lorsqu’il s’agissait de prioriser correctement les risques.

En même temps, j’ai reconnu que l’intelligence artificielle générative (à l’époque sous-développée) représentait l’avenir de l’évolution des outils de sécurité, et qu’elle avançait à grande vitesse. Plusieurs changements critiques se produisaient simultanément :

L’accélération des acteurs de la menace : les attaquants adoptaient rapidement de nouvelles technologies et techniques, allant plus vite que les solutions de sécurité ne pouvaient suivre.

Le phénomène du “Vibe Coding” : le terme n’existait pas à l’époque, mais j’ai vu les développeurs de plus en plus dépendants des outils de codage assistés par l’IA comme Copilot, changeant fondamentalement la façon dont le logiciel est construit et introduisant de nouvelles considérations de sécurité.

L’évolution des attaques de la chaîne d’approvisionnement : l’accélération des attaques de la chaîne d’approvisionnement logicielle créait un besoin urgent de nouvelles approches de sécurité des applications que les outils existants ne traitaient pas.

Les améliorations incrémentielles au sein des structures d’entreprise existantes ne suffiraient pas pour répondre à ces défis en évolution rapide.

Ma dernière réalisation a été que les menaces avançaient rapidement dans le code – et que la sécurité devait suivre. Nous devions rompre avec les cadres connus et commencer à courir dans une nouvelle course rapide.

La mission principale d’OX est d’aider les développeurs à se concentrer sur les 5 % des vulnérabilités qui comptent vraiment. Quand cette idée a-t-elle cristallisé pour vous, et comment façonne-t-elle les décisions de produit aujourd’hui ?

Ayant géré des opérations de développement de grande envergure, j’ai constaté à quel point le volume écrasant de problèmes de sécurité peut être accablant. Vous devez comprendre ce qui est important et ce qui ne l’est pas. Passer en revue des listes interminables ne fait pas avancer l’entreprise vers la réduction des risques. Au lieu de cela, cela crée de la frustration et peut même éloigner les entreprises de la réduction des risques, car cela consomme tellement de temps et de ressources.

Cela nous a enseigné que nous devons aider les développeurs à se concentrer sur ce qui compte vraiment – et leur expliquer pourquoi cela compte. Ensuite, nous devons leur montrer comment résoudre facilement le problème, ou mieux encore – le résoudre pour eux – ce qui est maintenant possible grâce à des outils comme Agent OX.

Cette idée est devenue la fondation sur laquelle nous avons construit l’entreprise, et c’est ce qui guide toutes nos décisions de produit aujourd’hui. Chaque fonctionnalité, chaque capacité que nous développons commence par la question : “Est-ce que cela aide les développeurs à se concentrer sur ce qui compte vraiment ? Est-ce que cela réduit les risques ?”

La plateforme est centrée sur la “Projection de code” pour cartographier les risques à travers le SDLC. Pouvez-vous expliquer comment fonctionne cette technologie et ce qui la distingue des autres outils de gestion des vulnérabilités ?

La projection de code est fondamentalement une technologie qui voit un problème dans le code et sait à l’avance comment il se comportera lorsqu’il atteindra le cloud. Cela permet de résoudre les problèmes longtemps avant qu’ils ne soient exécutés en production – lorsque le risque est déjà exposé.

Elle fonctionne en comprenant que chaque pièce de code a un processus qui le construit et le met dans le cloud – CI/CD. Nous pouvons lire le code et interpréter ce qu’il signifie. Pour donner un exemple brutal – ce qui est exposé à Internet a évidemment des implications différentes de ce qui ne l’est pas.

La différence clé avec les autres produits est que la plupart des outils terminent leur travail avec une longue liste de problèmes. Sans être capable de se concentrer sur les 5 % ou moins de risques vraiment significatifs, filtrer ces problèmes – vous finissez par des délais qui sont presque sans importance. Vous ne savez pas non plus quel développeur attribuer le problème.

Notre approche change cela entièrement – nous n’identifions pas seulement les problèmes, nous fournissons un contexte, une priorisation et une propriété claire.

Vous offrez une intégration complète à travers les outils de scan, la gestion des secrets, le SBOM, la découverte de SaaS et plus. Quels ont été les défis techniques les plus difficiles à relever pour unifier tout cela en une expérience de développement sans faille ?

Le problème le plus difficile est de transformer les données en connaissances. Les données sont tout ce que vous avez mentionné. Mais les développeurs ont besoin de clarté, de points clés et de raisonnement. Communication ciblée. Comment transformer des montagnes de données en connaissances actionnables – c’est le plus grand défi de l’industrie.

Synthétiser ces informations d’une manière qui raconte une histoire cohérente et fournit des actions claires et priorisées que les développeurs peuvent réellement exécuter – c’était le plus grand défi.

PBOM (Pipeline Bill of Materials) est une innovation d’OX. Comment diffère-t-elle du SBOM, et pourquoi est-elle essentielle pour sécuriser les chaînes d’approvisionnement logicielles modernes ?

PBOM est la capacité de regarder tout ce qui se passe au logiciel depuis le moment où il est écrit jusqu’à ce qu’il soit en production. SBOM est un composant à l’intérieur – il regarde tous les packages logiciels qui sont à l’intérieur d’une application.

Pour répondre à la question précédente – PBOM est en fait la fondation qui nous permet de transformer les données en connaissances, car il regarde une image beaucoup plus large – toutes les données. Il capture l’ensemble du parcours et de la transformation du code, et non seulement les composants finals.

Cette vue complète est essentielle car les outils de sécurité traditionnels ne voient que le résultat final, manquant des vecteurs d’attaque critiques tels que les outils de construction compromis, les commits malveillants ou la manipulation des pipelines qui se produisent pendant le développement et le déploiement.

OX vient de dévoiler Agent OX – une nouvelle architecture multi-agents où chaque modèle d’IA est axé sur des types de vulnérabilités et des langages de programmation spécifiques. Qu’est-ce qui a motivé cette décision de conception, et comment vous assurez-vous que les correctifs qu’il propose sont à la fois explicables et fiables dans la pratique ?

Nous avons créé cette approche multi-agents en regardant comment les humains développent l’expertise et en appliquant le même principe à l’IA. Pour être un expert en quelque chose, un développeur doit être un expert dans le langage, l’architecture spécifique et l’organisation spécifique. Un seul développeur ne peut pas résoudre tous les problèmes, et de la même logique, un seul agent d’IA ne peut pas atteindre ce niveau d’expertise. De plus, vous voulez un agent qui puisse gérer l’assurance qualité.

Chaque agent développe donc une expertise approfondie dans son domaine spécifique, tout comme les spécialistes humains le font.

Pour la fiabilité et l’explicabilité, chaque agent propose non seulement des correctifs, mais explique également son raisonnement, montre son travail et permet aux développeurs de comprendre exactement pourquoi une solution particulière a été choisie.

Qu’est-ce qui vous a amené à vous concentrer sur la remédiation en un seul clic directement dans les flux de travail des développeurs ? Et comment vous assurez-vous que les développeurs maintiennent le contrôle et ne rencontrent pas d’effets secondaires involontaires ?

L’idée principale est de réduire la friction et d’améliorer les correctifs de sécurité. Nous donnons aux développeurs un contrôle total pour examiner et valider la correction proposée avant de l’accepter.

La clé est que “un seul clic” ne signifie pas “automatique” – cela signifie fluidifié. Les développeurs peuvent voir exactement ce qui sera modifié, comprendre pourquoi, examiner la solution proposée, puis choisir de l’appliquer avec une seule action. Le contrôle et la prise de décision restent entièrement entre leurs mains, mais nous éliminons le travail manuel fastidieux de recherche et de mise en œuvre de la correction.

Vous comptez Microsoft, IBM et SoFi parmi vos clients. Comment ces relations d’entreprise façonnent-elles votre feuille de route et votre processus de rétroaction pour des outils comme Agent OX ?

Nous travaillons avec des centaines de clients, et des dizaines d’entre eux partagent ouvertement avec nous les défis qu’ils rencontrent. Ces discussions approfondies sur la feuille de route et les modèles de conception sont la pierre angulaire de notre capacité à affiner la solution proposée. Nous attachons une grande importance aux relations que nous avons avec nos clients et les considérons comme une priorité absolue pour notre entreprise, car elles nous guident dans la compréhension des besoins du monde réel et la création de solutions pour les résoudre.

À mesure que les outils de sécurité basés sur l’IA deviennent plus courants, comment équilibrez-vous l’automatisation avec la confiance et le contrôle des développeurs ? Où tracez-vous la limite entre l’assistance et l’autonomie ?

Comme nous l’avons vu dans les révolutions précédentes, ceux qui ne montent pas dans le wagon ne survivent pas. Nous commençons à voir des organisations avec lesquelles nous travaillons qui ont déplacé toutes leurs ressources vers l’adoption de l’IA, car elles comprennent que nous sommes témoins d’une révolution.

Ce sont en fait nos clients les plus collaboratifs, car ils sont confrontés à une nouvelle tension inexplorée : leurs développeurs doivent aller vite avec les outils d’IA, mais ils s’inquiètent de perdre le contrôle. Ils sont même prêts à accepter le risque et la perte temporaire de contrôle pour gagner un avantage concurrentiel, mais ils ont besoin de nous pour les aider à retrouver confiance. Notre rôle est de leur permettre la vitesse dont ils ont besoin, tout en reconstruisant la confiance dans le processus.

Vous venez de clôturer un financement de série B de 60 millions de dollars. Comment ce financement accélérera-t-il la prochaine phase de croissance d’OX – que ce soit sur le plan technologique, de l’approche marché ou de l’expansion internationale ?

Le nouveau financement est fondamentalement axé sur l’expansion et nous aidera également à améliorer nos capacités pour identifier les risques dérivés du code généré par l’IA, que nous commençons à voir avec le lancement d’Agent OX.

Nous analysons déjà plus de 100 millions de lignes de code par jour pour plus de 200 clients payants. Ce financement nous permettra de faire évoluer cette incidence à l’échelle mondiale tout en maintenant notre focus sur les questions fondamentales qui nous ont toujours guidés : “Est-ce que cela aide les développeurs à se concentrer sur ce qui compte ? Est-ce que cela réduit les risques ?”

Merci pour cette grande interview, les lecteurs qui souhaitent en savoir plus peuvent visiter OX Security.

mm

Antoine est un leader visionnaire et associé fondateur de Unite.AI, animé par une passion inébranlable pour façonner et promouvoir l'avenir de l'IA et de la robotique. Un entrepreneur en série, il croit que l'IA sera aussi perturbatrice pour la société que l'électricité, et on le surprend souvent en train de vanter le potentiel des technologies perturbatrices et de l'AGI.

En tant que futuriste, il se consacre à explorer comment ces innovations vont façonner notre monde. En outre, il est le fondateur de Securities.io, une plateforme axée sur l'investissement dans les technologies de pointe qui redéfinissent l'avenir et remodelent des secteurs entiers.