"Nous venons de réunir 5,9 millions de dollars afin de continuer à faire ce que j’aime le plus au monde : casser des choses avant que les méchants ne le fassent". C’est en ces termes provocateurs que Roni Carta, hacker éthique et fondateur de la pépite grenobloise Lupin & Holmes, spécialisée dans la sécurité des chaînes d’approvisionnement logicielles, a annoncé son tour de table d’amorçage. Une levée de fonds menée par les investisseurs 20VC et Seedcamp, avec la participation de Purple Fund, Kima Ventures ainsi que de dirigeants de Wiz, Hugging Face et GitGuardian.
L’opération devrait permettre à la start-up de poursuivre le développement de sa plateforme SaaS Depi, destinée à protéger les entreprises contre les failles de sécurité nichées dans les composants logiciels qu’elles utilisent. "Depi n’est pas un outil anti-hacking supplémentaire. C’est une plateforme qui cartographie les véritables chemins d’attaque dans votre chaîne d’approvisionnement, en montrant exactement ce qu’un hacker curieux et créatif pourrait découvrir", explique Roni Carta.
Un hacker reconnu par les géants de la tech américains
Le jeune entrepreneur, qui a fondé la société avec son frère en 2023, s’est fait un nom dans l’univers très fermé du "bug bounty", ces programmes organisés par les grands groupes technologiques pour tester la sécurité de leurs systèmes. Dans ce cadre, des hackers sont invités à tenter de s’introduire dans les plateformes — en toute légalité — afin d’en révéler les failles.
En participant à ces compétitions, Roni Carta est parvenu à identifier et signaler des vulnérabilités chez Google, Amazon, Netflix ou encore PayPal. Ces "chasses aux failles" lui ont permis de cumuler près de 800 000 euros de primes, tout en affinant sa compréhension des mécanismes d’attaque.
Identifier les points faibles des systèmes informatiques
"À chaque fois que je découvrais une faille, j’avais l’impression de résoudre le meilleur des puzzles", raconte-t-il. Mais au fil de ses recherches, un constat s’impose : les points faibles des systèmes informatiques ne se situent presque jamais aux endroits les plus surveillés. Contrairement à l’idée répandue, les attaques ne passent pas prioritairement par les interfaces visibles — applications, réseaux ou systèmes d’identification — sur lesquelles les entreprises concentrent leurs efforts de cybersécurité. Les vulnérabilités se nichent en réalité en amont, dans des couches techniques moins visibles : bibliothèques open source, chaînes de dépendances ou outils de développement. Autant d’éléments que les organisations utilisent massivement, souvent sans les considérer comme des surfaces d’attaque prioritaires. "Voilà comment est né Lupin & Holmes", résume le dirigeant.
Avec cette levée de fonds, les dirigeants de Lupin & Holmes prévoient de recruter une première équipe d’une dizaine de collaborateurs et d’accélérer les efforts en R & D. Objectif : industrialiser sa plateforme Depi et transformer ses premiers déploiements en contrats d’envergure auprès de grands comptes.
