IN THE LOOP

Cybersécurité : pourquoi les attaquants contournent déjà les modèles que les entreprises protègent – LUPIN & HOLMES lève 5,4 millions d’euros

📩 Pour nous contacter: redaction@decode.media

LA REDACTION DE DECODE.MEDIAil y a 4 semaines

La cybersécurité continue de protéger des systèmes que les attaquants contournent déjà.

Pour un RSSI, malgré l’empilement d’outils, qu’il s’agisse d’EDR, de scanners de vulnérabilités, de solutions d’AppSec, la capacité à anticiper une compromission reste limitée. Les incidents récents ne proviennent pas d’une faille isolée, mais d’un enchaînement de faiblesses exploitées sur des couches que les dispositifs traditionnels couvrent encore que très partiellement.

Ce décalage, Roni Carta l’a observé de l’intérieur, avant de fonder Lupin & Holmes, il s’est construit une réputation comme bug bounty hunter, en identifiant des vulnérabilités pour le compte de grandes entreprises. À 23 ans, il revendique près de 800 000 dollars de récompenses cumulées, obtenues notamment auprès de Google, Amazon ou Netflix, et a été distingué à deux reprises comme « Most Valuable Hacker » lors des événements de hacking de Google.

Son analyse est que les attaques ne suivent plus les chemins que les outils de sécurité surveillent.

Dans la plupart des organisations, la sécurité reste structurée autour des points d’entrée (applications, réseaux, identités) avec des dispositifs conçus pour détecter des anomalies sur des périmètres identifiés. Une approche qui suppose implicitement que l’intrusion passe par une interface visible et contrôlée.

Or, dans les environnements modernes, la surface d’attaque se situe en amont : dépendances open source, chaînes de build, pipelines CI/CD, configurations interconnectées entre services. Autant de couches rarement modélisées comme des surfaces d’attaque critiques, alors même qu’elles conditionnent l’intégrité du système.

Pour les équipes sécurité, la conséquence est une accumulation de vulnérabilités sans hiérarchisation exploitable. Les outils détectent, scorent, remontent des alertes, mais peinent à répondre à une question opérationnelle clé : quelles combinaisons de failles peuvent réellement mener à une compromission ?

Autrement dit, le problème n’est plus seulement la détection, mais la priorisation dans un contexte d’architecture complexe.

Reconstituer les chemins d’attaque plutôt que lister les failles

C’est sur ce point que se positionne Lupin & Holmes. La startup développe Depi, une plateforme conçue pour cartographier les chemins d’attaque au sein d’un système logiciel.

L’enjeu n’est pas d’ajouter une couche de détection supplémentaire, mais de reconstituer les trajectoires exploitables. Identifier non pas une vulnérabilité, mais une séquence, comme un enchaînement de dépendances, de permissions et de configurations qui, combinées, ouvrent un accès critique.

Dans cette logique, la criticité d’une faille ne dépend plus uniquement de son score CVSS, mais de sa position dans le graphe applicatif et de sa capacité à être chaînée avec d’autres faiblesses.

Pour un RSSI, cela change la lecture du risque, car il ne s’agit plus de traiter des vulnérabilités une à une, mais de comprendre leur exploitabilité réelle dans un contexte donné.

Une approche issue de la culture du hacking

Là où une partie des solutions marché reste orientée vers la conformité ou l’audit,avec des logiques de couverture, de reporting et de réduction de surface, Lupin & Holmes s’ancre dans une culture du hacking dont elle est directement issue.

Une singularité qui ne relève pas d’un discours marketing, mais de son ADN, et qui se traduit concrètement par une inversion du raisonnement, à savoir partir des modes opératoires des attaquants pour reconstruire les scénarios d’exploitation.

Dans cette approche, la sécurité devient un problème de simulation : reproduire les conditions d’une attaque avant qu’elle ne se produise, plutôt que vérifier a posteriori la conformité d’un système.

Une levée de 5,4 millions d’euros portée par des investisseurs eux aussi en dehors des schémas traditionnels

Lupin & Holmes annonce une levée de 5,4 millions d’euros en pre-seed, menée par 20VC (Alexandre Dewez) et Seedcamp (Carlos Eduardo Espinal), avec la participation de Kima Ventures, Purple Ventures, ainsi que de business angels issus notamment de Wiz, Hugging Face et GitGuardian.

Un tour de table cohérent avec le positionnement de la société, où l’attention se porte autant sur la singularité du profil fondateur que sur la nature du problème adressé. La startup indique déjà travailler avec plusieurs grands comptes du Fortune 500, ainsi qu’avec des acteurs comme Ledger

Fondée en 2023, Lupin & Holmes prévoit de recruter une dizaine de collaborateurs et d’intensifier ses investissements en recherche et développement afin de consolider sa plateforme.

LA REDACTION DE DECODE.MEDIAil y a 4 semaines

LA REDACTION DE DECODE.MEDIA

Pour joindre la rédaction, écrivez-nous à redaction@decode.media . Nous privilégions les objets de mail explicites et les messages synthétiques. N’hésitez pas à joindre votre communiqué de presse en pièce jointe. En cas d’embargo, merci de l’indiquer clairement dans l’objet du mail.

Articles similaires

Heloise Rozes, CEO de CORMA

Pourquoi l’IA complique profondément la gouvernance logicielle

9 décembre 2025

ESCAPE lève 15 millions d’euros pour tester automatiquement les vulnérabilités du code généré par l’IA

10 mars 2026
Laure Beccuau, Procureure de Paris

Cyberattaque visant le ministère de l’Intérieur : une interpellation pour atteinte aux systèmes de l’État

18 décembre 2025
Laurent Nuñez, Ministre de l'intérieur / Photo F. Balsamo

Cyberattaque au ministère de l’Intérieur : ce que l’on sait, ce qui reste incertain (mise à jour le 18 décembre à 6 h 30)

17 décembre 2025
© Copyright 2008 / 2026, DECODE MEDIA, The Innovation Media Company. All Rights Reserved
Bouton retour en haut de la page