Varun Badhwar, Fondateur & PDG d’Endor Labs – Série d’entretiens

Varun Badhwar, Fondateur & PDG d’Endor Labs, est un entrepreneur en cybersécurité reconnu pour avoir construit et dirigé des entreprises à la pointe de la sécurité cloud et de la sécurité des applications. Depuis 2021, il dirige Endor Labs, qui se concentre sur la sécurisation du développement de logiciels basé sur l’IA. Auparavant, il était SVP & GM de Prisma Cloud chez Palo Alto Networks et fondateur de RedLock, une startup de sécurité cloud acquise par Palo Alto Networks.

Endor Labs est une plateforme de sécurité des applications conçue pour l’ère de l’IA, conçue pour aider les équipes d’ingénierie et de sécurité à équilibrer la vitesse et la sécurité dans le développement de logiciels. La plateforme intègre des fonctionnalités telles que l’analyse de composition logicielle basée sur la portée, le SAST, l’analyse de conteneurs, la détection de secrets et la protection des pipelines CI/CD dans une vue unifiée, aidant les équipes à identifier les vulnérabilités qui comptent vraiment et à prioriser les correctifs. Elle comprend également des agents IA qui analysent les demandes d’extraction pour les changements architecturaux et détectent les risques dans le code généré par l’IA tôt dans le cycle de développement.

Vous avez précédemment construit et développé de grandes entreprises de sécurité – comment ces expériences ont-elles conduit à la fondation d’Endor Labs, et quel problème étiez-vous le plus déterminé à résoudre au départ ?

En 2021, j’étais chez Palo Alto Networks lorsque la faille de sécurité SolarWinds a frappé. C’était massif. Chaque client utilisant leur logiciel a été touché, et nous n’étions pas une exception. Lorsque j’ai creusé pour savoir comment nous gérions notre propre logiciel, j’ai réalisé que nous avions 450 ingénieurs et 68 000 vulnérabilités de sécurité, mais que les ingénieurs ignoraient la plupart du temps ces vulnérabilités. La raison ? Un chiffre impressionnant de 80 à 90 % des alertes étaient de fausses positives, et les outils traditionnels ne comprenaient pas comment les développeurs travaillaient vraiment.

C’est alors que j’ai compris : le développement de logiciels modernes ressemble plus à un assemblage qu’à une création. Nous expédions du code qui est principalement composé de bibliothèques tierces, sans aucune garantie quant à la qualité ou à la sécurité. J’ai vu la déconnexion entre les équipes de sécurité et les ingénieurs, la dynamique adverse et les frictions politiques. J’ai su que nous devions repenser la sécurité des applications de base, ce qui a conduit à la fondation d’Endor Labs.

Endor Labs protège maintenant des millions d’applications pour des organisations allant des fintech aux plateformes SaaS. Quels sont les cas d’utilisation que vous voyez le plus souvent, et pourquoi les clients se tournent-ils vers vous ?

Nos clients viennent à nous pour sécuriser leurs chaînes d’approvisionnement de logiciels et leurs pipelines de développement. Ils veulent vérifier les dépendances open source avant la production, signaler automatiquement le code généré par l’IA à haut risque et intégrer en fin de compte la sécurité directement dans les flux de travail des développeurs.

La plupart des analyseurs ne font que jeter des vulnérabilités aux développeurs et s’en aller, créant du bruit que les ingénieurs finissent par ignorer. Et avec le codage vibe devenu mainstream, cette approche ne fonctionne simplement pas. Chez Endor, nous fournissons une analyse sensible au contexte et des insights actionnables, afin que les équipes de sécurité et d’ingénierie puissent vraiment se faire confiance à nouveau.

Les développeurs sont souvent confrontés à une tension entre aller vite et rester sécurisés. Comment votre plateforme aide-t-elle à résoudre ce défi ?

La vitesse contre la sécurité est le dilemme le plus ancien dans le développement de logiciels. Le codage vibe n’a fait que rendre cet échange plus prononcé. Quarante-cinq pour cent des développeurs utilisent des assistants IA quotidiennement, ce qui accélère la vitesse mais introduit également du code non sécurisé.

Chez Endor Labs, nous intégrons la sécurité directement dans les flux de travail que les développeurs utilisent déjà. Pensez aux IDE, aux demandes d’extraction, aux pipelines Git. Notre philosophie est simple : la sécurité est juste une autre classe de bogue. Traitez-la comme n’importe quel autre bogue de logiciel, et elle devient partie intégrante du processus de développement naturel au lieu d’être une afterthought. En réduisant le bruit et en fournissant des conseils clairs, nous permettons aux développeurs de bouger rapidement tout en garantissant que le logiciel qu’ils expédient est sécurisé.

Les fausses positives sont l’un des plus grands points de douleur dans la sécurité. Comment abordez-vous ce problème différemment ?

Les fausses positives sont énormes. J’ai vu des ingénieurs ignorer des alertes importantes parce qu’elles étaient sans signification. C’est dangereux dans un monde où les attaques de tiers sont en croissance à deux chiffres et où les adversaires exploitent les portes latérales dans les pipelines de développement.

Notre approche consiste à donner la priorité au contexte. Au lieu de faire correspondre chaque vulnérabilité et exposition courante (CVE) à une dépendance, nous analysons le chemin de code, la logique commerciale et même les changements de conception générés par l’IA. Nous avons également développé le serveur de protocole de contexte de modèle (MCP) d’Endor Labs, qui permet aux agents IA d’appeler des outils de backend pour des correctifs précis plutôt que des correctifs imaginés. D’autres outils ne peuvent pas offrir ce niveau de précision car ils manquent de contexte d’application. Ils ne savent pas ce que fait votre code, comment vos services communiquent entre eux ou à quoi ressemble une correction sécurisée. Le résultat est moins d’alertes sans signification et des conseils plus pragmatiques que les développeurs peuvent vraiment suivre.

La chaîne d’approvisionnement de logiciels est maintenant considérée comme l’un des risques les plus urgents pour les entreprises. Pourquoi ce problème est-il si critique aujourd’hui ?

Les logiciels open source dominent maintenant les logiciels d’entreprise, et le développement de logiciels s’est transformé en assemblage de logiciels. Environ 90% des composants des applications modernes sont externes, et les assistants de codage IA introduisent encore plus de dépendances automatiquement. Cela signifie qu’une seule vulnérabilité peut se propager à des millions d’applications.

Les enjeux sont élevés : les régulateurs encadrent maintenant les logiciels open source comme une question de sécurité nationale. Et des attaques comme l’exploit récent Shai-Hulud npm montrent comment les adversaires ciblent activement ces points faibles. Sans les garde-fous appropriés, les entreprises sont exposées à une échelle massive.

L’IA transforme la façon dont les logiciels sont construits. Quels sont les nouveaux risques que cela crée pour la sécurité des applications ?

Les assistants IA sont comme embaucher des milliers de stagiaires à la fois – ils peuvent augmenter la productivité mais également introduire du chaos lorsqu’ils sont laissés sans surveillance. Les études montrent que 62% du code généré par l’IA comporte des problèmes de sécurité, de qualité ou d’architecture. Au-delà des CVE connus, ceux-ci incluent des défauts de logique, de nouveaux points de terminaison d’API ou des erreurs cryptographiques que les outils legacy n’ont jamais été conçus pour détecter.

Le nouveau défi est de mettre à l’échelle la revue de code sécurisée. S’appuyer sur des ingénieurs seniors surchargés pour vérifier manuellement chaque demande d’extraction ne fonctionne pas. Vous avez besoin de systèmes automatisés qui peuvent examiner, prioriser et guider les développeurs à la même vitesse que l’IA génère du code.

Certains affirment que l’IA introduit plus de vulnérabilités qu’elle n’en prévient. Le considérez-vous comme un risque net ou un avantage net à ce stade ?

Cela peut être les deux. L’IA est fantastique pour le prototypage et l’expérimentation, mais les développeurs inexpérimentés qui s’appuient sur l’IA peuvent créer un scénario d’aveugle menant l’aveugle. La façon de renverser cette équation est de coupler l’IA avec des garde-fous de sécurité. Avec les systèmes de revue et les correctifs MCP dans les bons endroits, vous pouvez transformer l’IA d’un risque net en un avantage net. Sans eux, les risques l’emportent sur les gains.

Avec le code généré par l’IA devenant plus courant, quels sont les garde-fous que les organisations devraient mettre en place pour garantir la confiance dans ce qu’elles déployent ?

Traitez le code généré par l’IA comme n’importe quelle autre dépendance tierce. Cela signifie une surveillance continue, une vérification automatisée et des garde-fous à chaque étape du pipeline. Vous devez également vous assurer que vos outils de revue IA sont formés sur du code sécurisé de haute qualité – et non juste sur des référentiels GitHub aléatoires.

Et allez au-delà de la détection. Lorsqu’une dépendance à risque est signalée, vos outils doivent recommander le chemin de mise à niveau qui évite de casser votre application. C’est la différence entre le chaos et le contrôle. J’aime penser que c’est comme des voies de bowling : la balle bouge toujours vite, mais elle reste sur la piste.

La transparence est centrale dans votre style de leadership. Comment le partage des réussites et des revers affecte-t-il la culture et les performances ?

Nous visons une transparence radicale chez Endor Labs. Cela signifie partager à la fois le bon et le mauvais – et pas seulement les performances de l’entreprise, mais également des choses comme les plans d’actions et les risques stratégiques. Les employés sont des adultes. Notre équipe peut gérer la réalité. Être ouvert construit la confiance, l’engagement et la propriété, et cela aide les gens à prendre de meilleures décisions.

Vous donnez souvent aux leaders émergents des rôles importants tôt dans leur carrière. Quels conseils donnez-vous aux premiers managers qui prennent des responsabilités importantes ?

J’aime donner à des membres de l’équipe prometteurs des rôles importants tôt et leur faire confiance pour grandir dans le poste. Avec un mentorat et un soutien, ils apprennent rapidement. Mon conseil : assumez la responsabilité, apprenez des échecs et construisez la crédibilité à travers l’action. Les gens vous surprendront souvent par ce qu’ils peuvent accomplir lorsque vous leur donnez de l’espace.

En regardant cinq ans à l’avance, quels sont les plus grands défis et opportunités que vous voyez pour la sécurisation de la chaîne d’approvisionnement de logiciels ?

Avec les assistants de codage IA et les développeurs citoyens qui redéfinissent les flux de travail, nous aurons besoin de systèmes qui agissent comme un « pair-programmeur de sécurité » qui examine chaque demande d’extraction en temps réel, met à l’échelle les revues de code sécurisées et donne aux développeurs un contexte en qui ils peuvent avoir confiance. C’est pourquoi chez Endor Labs, nous avons construit notre serveur MCP et notre architecture multi-agents, qui aident déjà les clients à suivre le développement natif IA.

Le défi est que la chaîne d’approvisionnement elle-même ne fait que se complexifier. Aujourd’hui, le code est principalement assemblé à partir de composants externes, et chaque nouvel outil IA introduit une autre couche de dépendance. Les entreprises qui ne repensent pas leurs modèles se retrouveront exposées.

Nous voyons cette urgence se jouer en temps réel – Endor Labs protège maintenant plus de 7 millions d’applications, analyse 1,6 million de demandes d’extraction par mois et réduit le bruit de plus de 90% pour les équipes d’ingénierie. Dans cinq ans, les organisations qui émergeront en tête sont celles qui traiteront la codification sécurisée comme une partie intégrante de la productivité des développeurs.

Merci pour cette grande interview, les lecteurs qui souhaitent en savoir plus peuvent visiter Endor Labs.