Se passer d’identifiant et de mot de passe, les portes d’entrée préférées des pirates informatiques, pour sécuriser son organisation dès l’authentification des collaborateurs, c’est ce que propose Vaultys. De manière simple et schématisée : l’entreprise et le collaborateur détiennent chacun une clé cryptographique (le Vaultys ID, un portefeuille d’identifiants basés sur la blockchain) qui, mises ensemble, autorisent l’identification sans passer par un mot de passe, et donnent accès au Smartlink, l’environnement de travail sécurisé. Le protocole est donc à la fois infalsifiable et décentralisé, il se passe des GAFAM et évite donc les attaques à distance. Pour ce faire, Vaultys s’est associé la technologie Scalingo (3DS Outscale).
"On a eu l’intuition qu’il fallait trouver un moyen de se protéger lors des premières attaques sur les hôpitaux, il y a trois ans", situe Jean Williamson, un ancien de chez Alstom. Ce dernier a fondé Vaultys (pour "vault", à la fois "chambre forte" et "clé de voûte" en anglais) à Haguenau (Bas-Rhin) en 2022. "Depuis, les menaces se sont intensifiées grâce à l’intelligence artificielle", poursuit le dirigeant. Les exemples retentissants d’arnaque au président, qui ont coûté en début d’année 25 millions de dollars à une multinationale hongkongaise, ou permis de violer 43 millions de comptes à France Travail ne font que masquer une lame de fond de grande ampleur. "Les pirates profitent de l’IA, ils ont une longueur d’avance", estime-t-il.
"France Connect, une aberration"
Pour Jean Williamson, l’État lui-même semble à la traîne : "Quand on voit ce que fait France Connect, c’est du non-sens. C’est de la fédération d’identité, c’est rajouter de la centralisation à la centralisation". Tout le contraire de ce que le fondateur de Vaultys s’attache à prôner. "C’est rajouter de la fragilité. Est-ce que l’État pourra un jour faire confiance aux citoyens, qui seraient détenteurs de leur propre identité numérique, en adultes responsables ?"
Inspirés par le Bitcoin, une monnaie "jamais piratée"
Car pour contrer la menace de la falsification, la jeune pousse alsacienne de la cybersécurité a la conviction que la solution réside dans une authentification "sûre, simple et souveraine". Elle s’est inspirée de ce qui se fait déjà avec succès dans un tout autre domaine : "Quand vous échangez de la cryptomonnaie, vous n’avez pas d’intermédiaire, vous échangez en direct. Et le Bitcoin n’a jamais été piraté. La technologie qui est derrière, la cryptographie asymétrique, permet une connexion simple et souveraine. Vaultys met cette brique technologique au service de l’identification afin de renforcer la sécurité des entreprises et des organisations", résume Jean Williamson.
Le fondateur d’ARK, la crypto française
Il faut dire que le cofondateur de la toute jeune start-up s’est associé à un expert français de la crypto. François-Xavier Thoorens est le créateur d’ARK Ecosystem, l’une des premières cryptomonnaies françaises qui repose elle aussi sur la blockchain. Cet ancien chercheur à la commission européenne spécialisé dans les questions de défense - il a notamment travaillé sur la surveillance radar maritime - est d’ailleurs l’auteur d’un ouvrage sur le sujet paru en 2021 : "Cryptomonnaies, la nouvelle guerre".
Défense et souveraineté
"Le fait qu’un tiers, comme Microsoft par exemple, soit l’intermédiaire pose par ailleurs aujourd’hui un véritable problème de souveraineté, nous sommes complètement exposés", rappelle Jean Williamson.
La souveraineté, justement. C’est l’une des préoccupations du cluster EDEN (European Defense Economic Network) fondé en 2008 qui regroupe 130 PME dans les domaines de la Défense, de la sécurité et la sûreté. Vaultys, et Blackleaf qui a anoncé une levée de fonds de 7 millions d'euros, viennent de le rejoindre. Car les applications de Vaultys sont multiples, des IoT du quotidien au militaire. Et l’affaire n’a pas échappé à l’ancien délégué général Alsace du Medef Alain Hemmerlin qui a joué les intermédiaires.
Incubée chez Semia, Vaultys a procédé à une levée pré-seed de 90 000 euros. Ses fondateurs vont désormais rendre leur protocole open source pour permettre son décollage et se rémunérer en prestation de service sur le Smartlink.
