Alors que les entreprises accélèrent le déploiement des workflows LLM et agentiques, elles se heurtent à un goulot d’étranglement critique au niveau de l’infrastructure : les images de base de conteneurs qui alimentent ces applications sont embourbées dans une dette de sécurité héritée.
l’échoUne startup israélienne annonce aujourd’hui un financement de série A de 35 millions de dollars (portant son financement total à ce jour à 50 millions de dollars) pour résoudre ce problème en repensant fondamentalement la façon dont l’infrastructure cloud est construite.
Le cycle a été mené par N47, avec la participation de Notable Capital, Hyperwise Ventures et SentinelOne. Mais le véritable problème n’est pas le capital : c’est l’objectif ambitieux de l’entreprise de remplacer les chaînes d’approvisionnement open source chaotiques par un système d’exploitation géré et « sécurisé dès la conception ».
Le système d’exploitation caché du cloud
Pour comprendre pourquoi l’écho est important, vous devez d’abord comprendre le fondement invisible de l’Internet moderne : l’image de base du conteneur.
Pensez à un « conteneur » comme une boîte d’expédition pour un logiciel. Il contient le code de l’application (ce que les développeurs écrivent) et tout ce qui est nécessaire pour exécuter le code (l’« image de base »). Pour un public non averti, la meilleure façon de comprendre une image de base est de la comparer à un ordinateur portable flambant neuf. Lorsque vous achetez un ordinateur, il est livré avec un système d’exploitation (OS) comme Windows ou macOS pour gérer les bases : parler au disque dur, se connecter au Wi-Fi et exécuter des programmes. Sans cela, l’ordinateur ne sert à rien.
Dans le cloud, l’image de base est le système d’exploitation. Qu’une entreprise comme Netflix ou Uber crée une simple application Web ou un réseau complexe d’agents d’IA autonomes, elle s’appuie sur ces couches prédéfinies (comme Alpine, Python ou Node.js) pour définir le moteur d’exécution et les dépendances sous-jacentes.
C’est là que commence le risque. Contrairement à Windows ou macOS, qui sont gérés par des géants de la technologie, la plupart des images de base sont open source et développées par des communautés de bénévoles. Parce qu’ils sont conçus pour être utiles à tout le monde, ils sont souvent remplis de « ballonnements » : des centaines d’outils et de paramètres supplémentaires dont la plupart des entreprises n’ont pas réellement besoin.
Le directeur technique d’Echo, Eylam Milner, a utilisé une analogie frappante pour expliquer pourquoi cela est dangereux : “Prendre simplement un logiciel du monde open source, c’est comme prendre un ordinateur trouvé sur le trottoir et le brancher sur votre (réseau).”
Traditionnellement, les entreprises essaient de le réparer en téléchargeant l’image, en l’analysant à la recherche de bogues et en essayant de « corriger » les trous. Mais c’est une bataille perdue d’avance. Les recherches d’Echo indiquent que les images Docker officielles contiennent souvent plus de 1 000 vulnérabilités connues (CVE) au moment du téléchargement. Pour les équipes de sécurité des entreprises, cela crée un jeu impossible de type “whac-a-mole” pour hériter de la dette de l’infrastructure avant que leurs ingénieurs n’écrivent une seule ligne de code.
Moment « Enterprise Linux » pour l’IA
Pour Ilon Elhadad, co-fondateur et PDG d’Echo, l’histoire de l’art se répète. “C’est exactement ce qui s’est passé dans le passé… tout le monde utilisait Linux, puis ils sont passés à Linux d’entreprise”, a déclaré Elhadad à VentureBeat. Tout comme Red Hat a professionnalisé Linux open source pour le monde de l’entreprise, Echo vise à être un « système d’exploitation natif d’IA d’entreprise » – une base solide et organisée pour l’ère de l’IA.
“Nous nous voyons à l’ère de l’IA native, le fondement de tout”, a déclaré Elhadad.
Tech : une « usine de compilation de logiciels »
Echo n’est pas un outil d’analyse. Il ne recherche pas de faiblesses après coup. Au lieu de cela, il agit comme une « usine de compilation logicielle » qui reconstruit les images à partir de zéro.
Selon Milner, l’approche d’Echo pour éliminer les vulnérabilités repose sur un processus d’ingénierie rigoureux en deux étapes pour chaque charge de travail :
-
Compilation à partir des sources : Echo commence avec une toile vierge. Il ne corrige pas les images gonflées existantes ; Il compile les binaires et les bibliothèques directement à partir du code source. Cela garantit que seuls les composants essentiels sont inclus, réduisant ainsi considérablement la surface d’attaque.
-
Durcissement et provenance (SLSA niveau 3) : Les images résultantes sont renforcées par des configurations de sécurité agressives pour rendre leur exploitation difficile. Il est essentiel que le pipeline de build adhère à la norme SLSA niveau 3 (Supply-Chain Level for Software Artifacts), garantissant que chaque artefact est signé, testé et vérifiable.
Le résultat est un « remplacement immédiat ». Un développeur modifie une ligne dans son Dockerfile pour pointer vers le registre d’Echo. L’application fonctionne de la même manière, mais la couche sous-jacente du système d’exploitation est mathématiquement propre et exempte de CVE connus.
L’IA se défend contre l’IA
Ce niveau d’exigences en matière d’hygiène est motivé par une course aux armements en matière de sécurité « IA contre IA ». Les mauvais acteurs utilisent de plus en plus l’IA pour réduire les fenêtres d’exploitation de quelques semaines à quelques jours. Dans le même temps, les « agents de codage » – des outils d’IA qui écrivent des logiciels de manière autonome – deviennent le principal générateur de code, sélectionnant souvent statistiquement des bibliothèques open source obsolètes ou faibles.
Pour résoudre ce problème, Echo a développé une infrastructure propriétaire d’agents d’IA qui mènent de manière autonome des recherches sur les vulnérabilités.
-
Surveillance continue : Les agents d’Echo surveillent plus de 4 000 nouveaux CVE ajoutés chaque mois à la base de données nationale sur les vulnérabilités (NVD).
-
Recherche non structurée: En dehors des bases de données officielles, ces agents parcourent les sources non structurées comme les commentaires GitHub et les forums de développeurs pour identifier les correctifs avant qu’ils ne soient largement diffusés.
-
Auto-guérison: Lorsqu’une vulnérabilité est confirmée, les agents identifient l’image affectée, appliquent le correctif, exécutent des tests de compatibilité et créent une demande d’extraction pour examen humain.
Cette automatisation permet à l’équipe d’ingénierie d’Echo de conserver plus de 600 images de sécurité, une échelle qui nécessiterait traditionnellement des centaines de chercheurs en sécurité.
Pourquoi c’est important pour le RSSI
Pour les décideurs techniques, Echo représente un passage du « délai moyen de remédiation » à « zéro vulnérabilité par défaut ».
Dan Garcia, RSSI d’EDB, a noté dans un communiqué de presse que la plateforme « permet d’économiser au moins 235 heures de développement par version » en éliminant le besoin pour les ingénieurs d’enquêter manuellement sur les faux positifs ou de corriger les images de base.
Echo sécurise déjà les charges de travail de production pour de grandes entreprises telles que UiPath, EDB et Varonis. À mesure que les entreprises passent des workflows de conteneurs aux workflows agents, la capacité de faire confiance à l’infrastructure sous-jacente, sans la gérer, pourrait être la caractéristique déterminante de la prochaine génération de DevSecOps.
Le prix de la solution d’Echo n’est pas coté publiquement, mais la société a déclaré site web Son prix est “basé sur l’utilisation de l’image, pour garantir qu’il s’adapte à la façon dont vous créez et expédiez le logiciel”.
