Parfois, les idées de startup les plus réussies proviennent de personnes qui créent des outils pour répondre à leurs propres besoins. Ce fut le cas de Dafydd Stuttard, un expert en sécurité surnommé Daf.
Il y a près de vingt ans, vivant dans le petit bourg de Knutsford, dans le Cheshire, au nord-ouest de l'Angleterre, Daf travaillait comme consultant en sécurité pour différents clients.
Parallèlement, il a créé des applications qu'il pouvait utiliser lui-même pour accélérer certaines des parties les plus routinières de son travail. Il donnait à chaque outil un nom aléatoire, l'utilisait pendant un moment et passait à autre chose ; parfois, il parlait des outils aux autres membres de sa communauté au cas où ils seraient utiles. (Daf avait déjà une réputation de hacker éthique et d'auteur dans la communauté de la sécurité, il y avait donc un public prêt pour cela.)
Un jour, l'outil qu'il a construit pour faciliter les tests d'intrusion – nommé Burp sans raison particulière – était l'une de ses créations qu'il a partagée avec d'autres. Cela s'est répandu rapidement et Daf a décidé de voir jusqu'où il pouvait aller plus loin.
Avance rapide jusqu'à aujourd'hui et vous pouvez voir les fruits de l'instinct de Daf sur la valeur de l'outil.
Burp est maintenant Burp Suite , qui est la pièce maîtresse d'une startup appelée – jouant sur le thème de la boisson – PortSwigger . Il compte plus de 20 000 organisations clientes dans 170 pays, avec 80 000 particuliers et « bien plus de » 1 000 entreprises et organisations utilisant son édition entreprise payante . (Ces entreprises incluent Microsoft, Amazon, FedEx, Salesforce et bien d'autres.) Une autre opération sous l'égide de PortSwigger, une plateforme éducative appelée Web Security Academy , compte plus d'un million d'utilisateurs. Et oui, il y a désormais des dizaines d’employés supplémentaires en plus de Daf.
PortSwigger, à 17 ans, est amorcé et rentable dès le départ. Aujourd'hui, pour la première fois, Daf a décidé de faire appel à un investissement extérieur substantiel de 112 millions de dollars pour faire passer l'entreprise au niveau supérieur. Brighton Park Capital, des États-Unis, est le seul investisseur.
"Nous avons besoin de plus d'expertise pour réaliser notre ambition", a déclaré Daf dans une interview. « Le marché devient de plus en plus grand et complexe, et les besoins de nos clients augmentent. »
"Mais le capital n'a pas été le principal moteur puisque nous avons des flux de trésorerie positifs et que nous avions le choix entre des entreprises avec lesquelles travailler", a-t-il poursuivi. Cet intérêt entrant provenait non seulement des investisseurs mais aussi des acquéreurs potentiels.
L'entreprise doit une partie de son succès à la réputation de Daf et à son accessibilité modeste.
("J'ai reçu un e-mail de Daffyd Stuttard @portswigger aujourd'hui en réponse à une question sur l'extension du rot", a noté quelqu'un un jour sur Twitter , maintenant connu sous le nom de X. "J'ai un peu l'impression que Dieu vient de m'envoyer un eml."
Mais son essor intervient également au moment où la cybersécurité prend une dimension beaucoup plus importante.
Il existe un certain nombre de solutions ponctuelles proposées par les fournisseurs dans un paysage de sécurité vaste, complexe et en évolution rapide – un paysage qui s'est formé du fait que les failles de sécurité et les vulnérabilités augmentent à un rythme record et causent plus de dégâts que jamais. du moins à cause de l’injection de l’IA dans l’équation – et cela a conduit à la création d’encore plus d’applications et d’approches pour résoudre ce problème.
Mais une constante dans ce mélange a été le rôle des individus possédant une expertise approfondie du domaine : les pirates informatiques éthiques et les testeurs humains continuent de jouer un rôle majeur dans la manière dont les problèmes sont identifiés et résolus.
Mais ces personnes ont besoin d’assistance et d’outils, et c’est là qu’intervient une entreprise comme PortSwigger.
Il en existe d’autres, comme HackerOne et Bugcrowd, qui visent à valoriser le rôle des pirates informatiques individuels dans les opérations de sécurité. Daf note qu'il ne s'agit pas de concurrents de PortSwigger : ils sont partenaires et sa startup fournit des outils à ces plates-formes et à d'autres similaires, qui à leur tour sont utilisées par leurs utilisateurs.
À plus long terme, il sera intéressant de voir quel impact les nouvelles technologies et architectures auront sur le rôle des individus dans la lutte et la résolution des problèmes de sécurité.
Bien que l’on puisse supposer qu’une innovation plus récente comme l’IA pourrait constituer une menace à cet égard, ce n’est pas le cas, du moins pour le moment. Daf note qu'il existe un certain nombre d'actions répétitives que les testeurs d'intrusion peuvent effectuer et qui peuvent être améliorées grâce à l'automatisation.
Son unique investisseur est d’accord.
"Nous pensons que malgré l'automatisation, des testeurs d'intrusion seront toujours nécessaires", a déclaré Tim Drager, associé chez Brighton Park, dans une interview. « Les experts comprennent vraiment. La surface d'attaque s'est considérablement développée et les API sont devenues des cibles privilégiées, mais si l'on ajoute à cela la pénurie de cyberprofessionnels possédant une expertise approfondie du domaine, c'est pourquoi vous avez besoin d'outils pour aider ceux qui savent quoi faire à être plus efficaces. Nous considérons cela comme un domaine privilégié de croissance. PortSwigger leur donne des super pouvoirs.