Astar est une société spécialisée exerçant exclusivement dans le secteur de la sécurité des systèmes d’information (cybersécurité) :
Astar est labellisé Expert Cyber par le service Cybermalveillance.gouv.fr de la République Française. Ce titre valorise les entreprises ayant démontré un niveau d’expertise technique et de transparence dans le domaine de la cybersécurité.
Astar (ou A*) a été fondée en Octobre 2018 à Toulouse par David SORIA, ingénieur en Cryptologie et Sécurité Informatique, diplômé d’un Master en Mathématiques appliquées, spécialisé dans la Sécurité Informatique (infosec pour les nostalgiques, cybersécurité pour les profanes).
Avant de fonder Astar, David SORIA a été pentester (plus de 150 audits de cybersécurité menés) et consultant en cybersécurité (analyses de risque, conception d'architectures sécurisées, etc.) pendant une douzaine d'années.
Ces activités octroient un point d'observation privilégié de l'état global de la sécurité dans les entreprises : les erreurs communes, les difficultés transverses, les informations qui font défaut, ...
Astar a été fondée pour proposer une approche alternative aux recommandations toutes faites et au traditionnel empilement de couches de sécurité qui produit des usines à gaz.
Si ça vous intéresse, le nom “Astar” provient de l'algorithme heuristique de parcours de chemin du chercheur en intelligence artificielle Nils John Nilsson. C'est une allégorie du test d'intrusion dans la mesure où l'on cherche, "heuristiquement", un chemin, au travers du réseau, vers notre but (c'est aussi le nom du trou noir central de notre galaxie, Sagittarius A*, ce qui n'est pas pour déplaire à un passionné d’astrophysique).
Le fait que le secteur de la sécurité informatique soit en croissance exponentielle remplit certes notre frigidaire mais constitue aussi une certaine absurdité. Les coûts actuels d’une entreprise pour sécuriser un actif égalent presque le prix de cet actif.
Qui accepterait d’entendre “Le prix de la voiture c’est 20 000 € mais si vous voulez l’airbag, les serrures et l’alarme, il faut payer le double”.
En informatique, on utilise historiquement des technologies pensées pour être résistantes aux erreurs (et encore) mais rarement aux malveillances.
Quand il s’agit de prendre ce facteur en compte, les solutions actuelles consistent essentiellement à rajouter de la complexité au mille-feuille numérique. Cette méthode, peu élégante, pousse surtout à une surconsommation énergétique et matérielle absurde alors que certains changements de paradigmes peuvent simplement et efficacement permettre d’atteindre un meilleur niveau de sécurité.
De plus, il est actuellement difficile, pour les entreprises non expertes en cybersécurité, d’obtenir des informations objectives sur les “bons” moyens de se protéger. L'omniprésence du marketing, dans tous les articles qui traitent du sujet, pousse les entreprises à croire qu’il y aurait UN outil miracle qui règle tous leurs problèmes (hier c'était l’antivirus, puis le SIEM, aujourd’hui c’est l'EDR et l’intelligence artificielle).
Enfin, trop d'acteurs de la cybersécurité offensive délivrent un travail moyennement exploitable.
Premièrement par une inondation de jargon opaque (parfois pour paraître impressionnant, parfois par flemme des ingénieurs de se mettre à la portée du client). Ceci alimente un complexe chez certaines entreprises, qui se disent qu'elles n'étaient pas assez matures pour aborder le sujet de la cybersécurité. Ceci décourage des démarches pourtant vertueuses (car plus tôt on aborde la cybersécurité, mieux c'est).
Deuxièmement, ils ont tendance à se concentrer beaucoup sur les vulnérabilités détectées (on vous explique sur 3 pages comment l'absence d'une mise à jour a permis de prendre le contrôle d'un serveur, puis de rebondir sur une autre machine, etc.), mais négligent les solutions, en tombant dans la facilité de recommandations généralistes (une ligne lapidaire : "mettez à jour") qui sont parfois inapplicables dans le contexte donné.
Astar cherche à promouvoir une approche de la sécurité informatique en amont en favorisant des solutions structurelles plutôt que la traditionnelle accumulation de pansements sur des tonneaux percés.
Nous cherchons à rendre la sécurité plus simple et moins coûteuse en s’attaquant aux causes des vulnérabilités. Notre ambition est qu’un jour la sécurité informatique soit aussi simple pour les usagers que mettre une serrure sur sa porte.
Pour servir ce but, nous explorons toujours en premier lieu la voie de la sécurité par la simplification (réfléchir à ce qu'on peut retirer/substituer/alléger plutôt qu'à ce qu'il faudrait rajouter).
Deuxièmement, nous favorisons les approches pragmatiques : mieux vaut une solution à 10 000€ qui couvrent 80% du besoin qu'une solution à 100 000€ qui en couvre 95%.
Troisièmement, nous promouvons la défense en profondeur : mieux vaut 5 lignes de défenses imparfaites mais légères et peu chères qu'une seule, hors de prix, "réputée" infranchissable.
Nous effectuons une veille des innovations qui vont dans le sens de cette philosophie (et que vous pouvez retrouver en partie dans notre rubrique lifestyle).
Nous bâtissons avec nos clients une relation de confiance que nous faisons reposer uniquement sur notre qualité. Nous considérons toujours que c'est notre travail que vous compreniez. Si quelque chose n'est pas clair, ce n'est pas vous qui n'avez pas le niveau, c'est nous qui n'avons pas bien expliqué.
Astar ne fait pas de publicité, de campagnes marketing, de communications virales sur les réseaux sociaux. Nos meilleurs commerciaux sont nos clients.
A* s’engage socialement auprès des plus jeunes sur les problématiques de risques numériques (“sextorsion”, “revenge porn”, protection des données personnelles, …) en animant des séances de sensibilisation dans divers établissements (lycée, MJC, …).
A* s’engage pour la protection du potentiel scientifique et technique (PPST) de la nation en animant des séances d’initiation aux problématiques de sécurité de l’information industrielle dans les pépinières de Start-Up.
A* produit et met à disposition gratuitement un certain nombre d’outils dédiés à la sécurité. Ceux-ci s’adressent à divers publics (entreprises et/ou experts en cybersécurité), il sont open source et vous pouvez en retrouver la liste ici.
La gratuité de ces outils est une volonté forte d’A* afin d’éviter tout conflit d’intérêt qui pourrait orienter les recommandations émises lors de nos prestations (“votre problème c’est qu’il vous manque un SIEM et vous savez quoi ? nous commercialisons justement un SIEM”).
A* produit régulièrement des articles destinés aux entreprises ou au grand public et qui visent à diffuser les bonnes pratiques de sécurité, sans conflit d’intérêt. Nous publions peu, mais nous publions des choses utiles, dont nous estimons qu'elles comblent un manque sur la toile. Retrouvez-les sur notre blog Inglorious Astar .
Comme nous souhaitons avoir encore des clients en 2050, il faut qu’il y ait encore des clients en 2050. Pour cela, A* s’engage fortement sur les thématiques de respect de l’environnement et de chasse aux gaspillages.
Hormis lorsque l’administration l’exige, nous n’imprimons rien. Nous n’utilisons que la puissance de calcul et le stockage strictement nécessaires pour nos machines. Nous utilisons, autant que possible, du matériel hautement réparable. Tous nos services qui ne nécessitent pas une disponibilité 100% du temps sont éteins hors usage. Nous privilégions les prestataires labellisés B Corporation.
Les lignes directrices de la philosophie d’Astar sont les suivantes :