Tout a commencé il y a deux ans. Nous nous sommes rencontrés sans savoir que nous faisions face à un nouveau défi qui allait donner naissance à EasyAudit.
Nous étions certes un petit groupe de chercheurs, actifs depuis environ 10 ans dans la sécurité informatique, mais surtout des amis, animés par le désir de partager nos compétences pour travailler toujours mieux.
L'idée de départ était de créer un logiciel capable d'alléger les parties répétitives de notre travail, afin de nous consacrer davantage aux défis intellectuels qui nous permettent de vivre notre activité comme une passion.
Partager outils et informations est le pilier des environnements innovants, comme dans la recherche scientifique et la culture « Hacker » - la vraie, faite de personnes curieuses et entreprenantes, dotées d'un fort sens éthique. Francesco Ongaro
Ayant réalisé des centaines de Penetration Tests (vérifications de sécurité) pour de grandes entreprises nationales et internationales, je disposais d'un véritable arsenal d'attaque - et les autres aussi. Ces outils implémentaient des flux et techniques avancés qu'aucun logiciel du marché ne proposait.
Nous avons donc commencé à réécrire notre code pour qu'il soit uniforme, intégré, complet, résistant aux erreurs et surtout le plus automatisé possible.
Nous parvenions à appliquer à notre profession des concepts industriels : rendre reproductible et productif un processus jusque-là artisanal. Les opérations répétitives étaient désormais rapides et réalisées en grande partie par le logiciel. La rédaction du rapport était optimisée.
Décembre 2012 - le premier test
En décembre 2012, EasyAudit a été utilisé pour la première fois afin de réaliser entièrement la partie automatique d'un vaste Network Penetration Test pour un opérateur de connectivité. La qualité du résultat était excellente, nous étions électrisés.
Le rapport était, dans certains domaines, meilleur que celui que nous aurions pu produire à la main avec notre template éprouvé.
Nous pouvions changer notre manière de travailler : le tester se consacrerait aux vulnérabilités qu'aucun logiciel ne pouvait identifier, soutenu par un framework solide et une liste exhaustive de problèmes détectés par des dizaines d'outils. Son travail alimenterait une base de données de vulnérabilités avec capacité d'auto-apprentissage, réutilisable et multilingue. Le résultat était déjà formaté dans un rapport où intégrer les évaluations issues de l'indispensable compétence professionnelle - une valeur ajoutée supplémentaire.
Nous avions réalisé, en partie, un rêve.
Février 2013 - naissance de la société
Nous ne pouvions pas nous arrêter. En février 2013, nous avons donc constitué une société et étudié le business model d'EasyAudit :
Le business model en 7 points
- ✓Innovant parce qu'il innove le processus, qui était la partie la moins efficace.
- ✓Simple (non technique), parce que le client doit seulement préciser les adresses IP ou sites web à vérifier.
- ✓Accessible à tous, tant par les modalités de fourniture que par le prix.
- ✓Cible large : de la startup à la PME, à l'administration publique et aux grandes entreprises qui veulent optimiser leurs dépenses de sécurité informatique.
- ✓Fiable, contrairement à beaucoup de solutions entièrement automatiques qui ne découvriront jamais qu'en saisissant « -1 » comme quantité d'un article dans le panier, le total devient lui aussi négatif.
- ✓Indispensable : quelque chose que toutes les entreprises qui font du business sur Internet devraient avoir. De haute qualité, puisque la technologie utilisée est la meilleure disponible aujourd'hui.
- ✓Qualifiant, parce qu'il offre la possibilité de suivre un parcours de certification de son niveau de sécurité et de montrer son engagement aux clients et utilisateurs grâce au sceau EasyAudit Checked.
Comment nous en sommes arrivés là n'est pas un mystère : la dernière année de travail a été extrêmement intense et a mobilisé des énergies et émotions que seul un groupe de passionnés peut avoir. Ce qui nous fascine vraiment et nous rend impatients, c'est de voir où nous arriverons.