La startup montpelliéraine Plumber ne sécurise pas le logiciel là où il se montre, mais là où il se fabrique : dans les pipelines CI/CD, les scripts, les configurations et toute la chaîne d’automatisation qui conduit le code jusqu’à la production. Récemment soutenue par l’ANSSI via le programme France 2030 : NCC-FR Cyber, elle veut transformer cet angle mort technique en objet de conformité, de correction et de preuve. Entretien avec son cofondateur et CEO, Aurélien Coget.
Le logiciel contemporain adore la façade. Les fonctionnalités, la qualité du code, la vitesse de livraison, les promesses d’industrialisation. On audite ce qui sort, on mesure ce qui se voit, on commente ce qui arrive en production. En revanche, ce qui circule dans les murs bénéficie encore d’une forme d’indulgence : c’est indispensable au fonctionnement général, mais rarement regardé pour lui-même. Comme si l’on exigeait l’eau courante sans jamais descendre voir l’état des canalisations.
C’est pourtant là que se trouve le vrai sujet : dans ce qui permet au code de devenir un produit effectivement livré. Pipelines CI/CD, scripts, configurations, secrets, droits d’accès : tout un réseau discret que beaucoup continuent de traiter comme une simple question d’intendance, alors qu’il engage désormais la sécurité, la conformité et la capacité à prouver que la chaîne de fabrication logicielle est réellement maîtrisée.
C’est précisément à cet endroit qu’Aurélien Coget, cofondateur de Plumber, situe son entreprise. « Plumber s’attaque à un angle mort des systèmes d’information : non pas le code applicatif lui-même, c’est-à-dire le code du produit qu’on livre, mais toute la tuyauterie qui permet de transformer ce code en produit réellement déployable. »
Cachez-moi ce code que je ne saurais voir
Le terme de software supply chain a parfois l’élégance vague des expressions qui circulent très bien en conférence, un peu moins bien en entreprise. Aurélien Coget le ramène, lui, à quelque chose de plus concret : « Quand on fabrique un logiciel, il n’y a pas seulement des équipes qui écrivent du code. Il y a aussi toute une chaîne qui assemble, teste, package et déploie. Cette chaîne repose elle aussi sur du code, souvent du code de configuration, du YAML, des scripts d’automatisation. »
Autrement dit, il ne s’agit pas d’un décor technique installé derrière la scène pendant que le vrai spectacle aurait lieu ailleurs. Il s’agit d’un ensemble de fichiers, de règles, d’automatismes et de choix d’architecture qui conditionnent l’arrivée même du logiciel en production. C’est du code, simplement un code moins noble dans l’imaginaire collectif, donc moins visible dans les organigrammes, moins relu dans les audits.
Cette chaîne n’est pas seulement discrète ; elle est sur-privilégiée. Elle accède au code applicatif, aux secrets, aux environnements, aux serveurs, aux dépendances. À partir de là, le discours sur la conformité devient fragile dès qu’il laisse cette zone hors champ. « Une entreprise ne peut pas sérieusement affirmer qu’un produit est conforme ou sécurisé si elle n’est pas capable de garantir que toute la chaîne qui a permis de le fabriquer l’est aussi », tranche Aurélien Coget.
Et plus le delivery accélère, plus cette contradiction devient visible. Les entreprises automatisent davantage, livrent plus souvent, multiplient les dépendances et les environnements. La chaîne grossit, se complexifie, gagne en pouvoir. Et l’on continue pourtant, dans bien des cas, à la gouverner « à l’ancienne » : un peu d’expertise locale, un peu de vigilance, quelques règles éparses, et beaucoup de confiance tacite.
Plumber, ou l’art de ne pas s’arrêter à la fuite
Dans un secteur déjà saturé d’outils qui signalent, scorent et remontent des anomalies, Plumber refuse le rôle du gyrophare supplémentaire. « L’analyse est la première étape : c’est une forme d’audit automatisé qui permet d’identifier les non-conformités et les faiblesses. Mais on ne veut pas être seulement un outil qui signale des problèmes. Il en existe déjà beaucoup. Ce qui nous intéresse, c’est d’amener les entreprises vers la conformité », résume Aurélien Coget.
La différence se joue là. Plumber ne veut pas seulement détecter ; la startup veut faire corriger, puis faire prouver. Les entreprises définissent les exigences qu’elles veulent suivre, la plateforme vérifie automatiquement leur application dans les pipelines, accompagne la remédiation, puis donne à voir, via des tableaux de bord, ce qui est réellement conforme, ce qui ne l’est pas encore, et ce qui progresse.
L’enjeu, au fond, est moins de rédiger une belle politique de conformité que de pouvoir démontrer, dans la durée, que les chaînes CI/CD font effectivement ce qu’elles prétendent faire. C’est précisément dans cet écart entre la règle, sa mise en œuvre et sa preuve que Plumber essaie de s’installer.
Cela explique aussi pourquoi le cofondateur refuse de choisir entre développeurs et gouvernance : « On n’a jamais voulu en faire un outil uniquement pour les développeurs, ni uniquement pour les DSI ou les équipes de gouvernance. Parce que dans les deux cas, on recrée un silo. » L’idée, chez Plumber, est donc de relier ces deux niveaux : la définition des exigences d’un côté, leur application concrète de l’autre.
Le plombier sonne toujours deux fois
Si ce sujet remonte aujourd’hui, ce n’est pas parce qu’une startup a trouvé son angle. C’est que deux pressions convergent enfin sur la même zone.
La première est réglementaire. « On voit se durcir les exigences autour de la software supply chain, notamment avec le Cyber Resilience Act », observe Aurélien Coget. Un règlement qui commence à viser plus explicitement les dépendances, la chaîne de livraison et la sécurité du processus de fabrication logicielle.
La seconde vient des attaques elles-mêmes. Pas forcément les intrusions spectaculaires qui alimentent les présentations dramatiques, mais des attaques « très silencieuses », explique le cofondateur de Plumber, qui visent ces chaînes pendant la construction du produit et permettent de siphonner code, données ou secrets sans produire immédiatement de vacarme.
Le plombier adoubé par l’ANSSI
Plumber a récemment été retenu dans le cadre du programme France 2030 : NCC-FR Cyber, opéré par Bpifrance et l’ANSSI. Pour Aurélien Coget, ce soutien vaut à la fois accélérateur et validation : « D’abord parce qu’il y a un soutien concret, qui va nous permettre d’accélérer le développement de la solution. Et ensuite parce que c’est aussi une forme de reconnaissance du sujet qu’on porte. »
Le sujet, justement, reste encore largement sous-estimé : la sécurité des pipelines CI/CD, autrement dit de toute cette chaîne de fabrication logicielle que beaucoup d’organisations continuent de traiter comme une arrière-technique. C’est là que Plumber entend faire sa différence. « Notre sujet, ce n’est pas simplement d’apporter des réponses ou de produire un outil de plus. Ce qu’on veut, c’est amener les entreprises vers une conformité réelle, durable, et qu’elles puissent démontrer dans le temps. »
Autrement dit, la startup ne parie pas sur un énième signal faible de plus dans des tableaux de bord déjà trop bavards. Elle mise sur quelque chose de plus exigeant : faire en sorte que les entreprises puissent enfin prouver que leurs chaînes sont aussi sérieuses que les logiciels qu’elles prétendent livrer. Dans les systèmes d’information comme ailleurs, la vraie question finit toujours par revenir : qui, exactement, a regardé les canalisations ?
Sur la photo: Aurelien COGET et Thomas Boni, fondateurs de Plumber.
