ESCAPE lève 15 millions d’euros pour tester automatiquement les vulnérabilités du code généré par l’IA
📩 Pour nous contacter: redaction@decode.media
L’essor des outils de génération de code transforme profondément les cycles de développement logiciel. Mais cette accélération de la production applicative s’accompagne d’un phénomène moins visible : l’augmentation rapide des vulnérabilités en production. À mesure que les équipes déploient plus fréquemment et que les applications deviennent plus complexes, les surfaces d’attaque s’élargissent et les délais d’exploitation des failles se réduisent.
Dans ce contexte, la startup Escape annonce une levée de quinze millions d’euros en Série A afin d’accélérer le développement de sa plateforme de sécurité offensive automatisée. L’opération est menée par Balderton Capital, avec la participation d’Uncorrelated Ventures ainsi que des investisseurs historiques IRIS et Y Combinator.
L’accélération des cycles de développement modifie la dynamique des attaques
L’intégration d’outils d’intelligence artificielle dans les environnements de développement a considérablement réduit les délais de production du code. Les cycles de mise en production sont plus courts, les déploiements plus fréquents, et les architectures applicatives de plus en plus distribuées.
Dans ce nouvel environnement, les vulnérabilités apparaissent plus tôt dans le cycle de vie d’une application et peuvent être exploitées plus rapidement. Les équipes de sécurité doivent désormais surveiller des environnements en constante évolution, composés d’API, de microservices et d’intégrations multiples.
Selon les données mentionnées par Escape, les organisations font face en moyenne à 1 968 cyberattaques par semaine, soit une augmentation de 70 % par rapport à 2023.
Pour les directions de la sécurité des systèmes d’information, l’enjeu devient moins la détection ponctuelle des failles que la capacité à maintenir un niveau de visibilité permanent sur les applications exposées en production.
La limite des approches traditionnelles de sécurité applicative
La sécurité applicative repose encore largement sur deux catégories d’outils.
Les scanners automatisés permettent d’identifier certaines vulnérabilités connues mais restent souvent limités à des analyses statiques ou à des signatures techniques. À l’inverse, les tests d’intrusion réalisés par des équipes spécialisées offrent une analyse plus approfondie de la logique applicative, mais leur coût et leur durée limitent leur fréquence.
Dans un contexte de déploiement continu, ces approches peinent à suivre le rythme des mises en production.
Les attaquants concentrent désormais leurs efforts sur les environnements « live », là où se trouvent les configurations réelles, les flux d’authentification, les intégrations entre services et la logique métier. C’est précisément dans ces interactions que se situent aujourd’hui une grande partie des vulnérabilités exploitables.
Pour les responsables de la sécurité, la difficulté consiste donc à tester en continu des applications dont la surface d’attaque évolue en permanence.
Automatiser la sécurité offensive
La plateforme développée par Escape vise à automatiser certaines pratiques traditionnellement réalisées lors des tests d’intrusion.
Elle s’appuie sur des agents d’intelligence artificielle capables de simuler le comportement d’un attaquant afin d’explorer la logique applicative et d’identifier des vulnérabilités exploitables en production.
Ces agents peuvent analyser les interactions entre services, détecter des erreurs de logique métier, identifier des expositions de données sensibles ou encore reproduire certains scénarios d’attaque sur les flux d’authentification et les API.
L’objectif est d’automatiser plusieurs étapes du cycle de sécurité offensive : la cartographie de la surface d’attaque, les tests de sécurité continus et l’identification des mesures correctives adaptées au contexte applicatif.
Selon l’entreprise, cette automatisation permet de réduire significativement le temps nécessaire à certains processus d’audit. Dans certains cas, des tests de sécurité pouvant prendre plusieurs jours seraient réalisés en quelques heures.
L’effet du “vibe coding” sur la sécurité applicative
Un phénomène récent contribue à renforcer cette pression sur les équipes de sécurité : la multiplication d’applications développées à l’aide d’outils de génération automatisée de code, parfois désignée sous le terme de “vibe coding”.
Ces environnements de développement accélèrent la création d’applications mais peuvent introduire des vulnérabilités difficiles à détecter par les outils classiques.
Escape indique avoir identifié plus de 2 000 vulnérabilités sérieuses dans 5 600 applications publiques issues de ce type de développement, dont 175 cas exposant directement des données personnelles ou des secrets sensibles.
Ces failles étaient présentes en production et potentiellement exploitables en quelques heures.
Pour les RSSI, ces vulnérabilités présentent une particularité : elles sont souvent liées à la logique applicative ou aux interactions entre services, ce qui les rend plus difficiles à détecter par des outils reposant uniquement sur l’analyse de signatures.
Vers une sécurité applicative continue
Ces évolutions participent d’un mouvement plus large vers une sécurité applicative intégrée aux cycles de développement.
Dans de nombreuses organisations, la sécurité s’intègre progressivement dans les pipelines DevOps afin d’accompagner les déploiements continus. L’objectif est de passer d’audits ponctuels à des mécanismes de tests et de contrôle permanents.
Les plateformes capables d’automatiser certains scénarios de tests d’intrusion pourraient ainsi compléter les dispositifs existants en apportant une visibilité continue sur les vulnérabilités exploitables en production.
Pour les responsables de la sécurité, l’enjeu consiste désormais à adapter les méthodes de contrôle à un environnement où le code est produit et déployé plus rapidement que jamais.
Escape en bref
Escape est une startup spécialisée dans la sécurité applicative et la sécurité offensive automatisée. La plateforme permet de simuler des cyberattaques afin d’identifier les vulnérabilités présentes dans les applications et d’aider les équipes de sécurité à prioriser leur remédiation.
La société a été fondée par Tristan Kalos et Antoine Carossio, qui ont développé leurs expertises en cybersécurité et en machine learning en Europe et au Canada.
La solution est aujourd’hui utilisée par plus de 2 000 équipes de sécurité dans le monde, parmi lesquelles BetterHelp, PandaDoc, CyberCube et Arkose Labs. La plateforme exécute plus de 300 000 évaluations de sécurité chaque mois.
Avec cette levée de quinze millions d’euros en Série A, menée par Balderton Capital avec la participation d’Uncorrelated Ventures, IRIS et Y Combinator, l’entreprise prévoit d’accélérer ses recrutements d’ingénieurs et de renforcer le développement de ses agents d’intelligence artificielle dédiés aux tests d’intrusion automatisés.
