Cofondatrice de la startup en cybersécurité Zafran, Sanaz Yashar a un parcours pour le moins atypique. Elle a fui l’Iran à l’adolescence avec ses parents avant d’être recrutée par l’unité 8200 de Tsahal (Israël).
Article de Thomas Brewster pour Forbes US – traduit par Flora Lucas
Sanaz Yashar étudiait la biologie à l’université de Tel-Aviv lorsqu’elle a reçu l’appel : l’unité 8200, une unité de cybersurveillance d’élite de Tsahal (Israël) souhaitait la recruter, malgré un parcours des plus atypiques. Lorsqu’elle était adolescente, Sanaz Yashar et sa famille ont fui Téhéran, la capitale de l’Iran, l’un des plus grands ennemis géopolitiques d’Israël, et ont émigré en Israël. Ses antécédents ont contribué à l’embauche par l’unité 8200, l’équivalent israélien de la NSA : Sanaz Yashar comprenait le farsi et la culture iranienne, deux éléments utiles à la collecte de renseignements sur son pays d’origine.
Après avoir passé 15 ans dans les services de renseignement israéliens et sept ans dans le secteur privé, Sanaz Yashar a levé 30 millions de dollars pour une nouvelle entreprise appelée Zafran. Cette startup spécialisée dans la cybersécurité vise à empêcher les espions et les cybercriminels d’exploiter les vulnérabilités connues pour s’introduire dans les réseaux des entreprises. Elle s’attaque à un problème urgent : la violation moyenne de données coûte à l’entreprise victime 4,5 millions de dollars, selon des données d’IBM datant de 2023, et des études antérieures ont montré que les cyberattaques coûtent à l’économie mondiale des centaines de milliards de dollars chaque année.
« C’est presque de la biologie, c’est comme une plateforme d’autoguérison. »
Sanaz Yashar, PDG et cofondateur de Zafran
Zafran, une startup en cybersécurité
Le principe de Zafran est simple, même s’il est techniquement difficile : déterminer quelles sont les vulnérabilités numériques existantes les plus pressantes pour un client donné, puis lui indiquer comment utiliser les technologies dont il dispose déjà pour atténuer le risque. Pour ce faire, Zafran scanne le réseau du client et sonde les interfaces de programmation d’applications (API), afin de déterminer les contrôles susceptibles de remédier à une faiblesse donnée, et de traduire cela en quelque chose que même un cadre non technique peut comprendre, explique Sanaz Yashar.
« C’est presque de la biologie, c’est comme une plateforme d’autoguérison », déclare-t-elle, expliquant que la startup examine le corps de chaque client pour déterminer comment il peut le mieux repousser l’infection.
L’idée est née au cours d’une enquête sur une attaque par ransomware dans un hôpital, alors que Sanaz Yashar travaillait chez Mandiant, une société de réponse aux cyberattaques. Sanaz Yashar et les futurs cofondateurs de Zafran, Ben Seri et Snir Havdala, travaillaient dans des entreprises de sécurité différentes, mais enquêtaient sur le même incident. Ils n’ont pas été en mesure de récupérer les fichiers de l’établissement et ont été choqués d’apprendre que l’hôpital disposait de la technologie qui aurait pu empêcher l’intrusion. Ils avaient vu la même chose se produire à maintes reprises. « J’en ai assez, je n’en peux plus », se souvient Sanaz Yashar en s’adressant à Ben Seri. Ce dernier a réagi en passant le week-end à dessiner les contours d’un projet qui allait devenir Zafran. Sanaz Yashar, Ben Seri et Snir Havadala ont démissionné de leurs fonctions auprès de leurs employeurs respectifs pour créer la startup à la fin de l’année 2022.
Alors que Zafran sort de la clandestinité, la startup révèle également qu’elle a reçu à ce jour un financement de 30 millions de dollars de la part de quelques poids lourds du capital-risque. Doug Leone, un investisseur milliardaire de Sequoia qui a déjà soutenu avec succès des entreprises de cybersécurité fondées par des Israéliens, telles que Wiz et Cyera, fait partie du conseil d’administration. Gili Raanan, auteur de la liste Midas et fondateur de la société israélienne de capital-risque Cyberstarts, et son partenaire Lior Simon ont également investi dans Zafran, tout comme Penny Jar, le fonds de capital-risque de la superstar du basket-ball Steph Curry.
« Atténuer les menaces est tout simplement très difficile. La raison en est qu’il faut avoir une connaissance approfondie de la topologie du réseau du client », explique Gili Raanan. « Vous pouvez éliminer la menace en l’atténuant à l’aide des contrôles existants. C’est une nouvelle science de la cybersécurité et c’est ce qui rend tout le monde si enthousiaste à propos de Zafran. »
Zafran se concentre désormais sur une croissance ultra-rapide. Selon Sanaz Yashar, la startup compte déjà 12 clients, dont un organisme de soins de santé, bien qu’elle n’ait pas voulu citer de noms. Doug Leone, membre milliardaire du conseil d’administration, affirme que la startup ne se concentrera pas sur le fait d’être la prochaine startup à un milliard de dollars. « Le statut de licorne est une mesure de vanité », déclare Doug Leone, qui a dirigé Sequoia pendant plus de 25 ans. « La prochaine chose que nous devons faire est de développer un modèle de vente reproductible et rapide. »
La startup fait son entrée dans un secteur de la cybersécurité saturé de sociétés qui prétendent pouvoir protéger les entreprises des menaces en ligne imminentes, et s’approprier une part d’un marché de 1 000 milliards de dollars. Zafran devra convaincre les responsables de la sécurité que son produit contribuera réellement à endiguer le raz-de-marée incessant d’incidents de cybersécurité que d’autres n’ont pas réussi à stopper. « Les entreprises ont beaucoup investi dans les technologies de détection et de réponse et dans les technologies de type préventif, mais nous constatons toujours des violations », déclare Erik Nost, analyste principal chez Forrester. Les nouvelles technologies doivent s’adapter à l’échelle et à la vitesse à laquelle les cybercriminels et les espions numériques se déplacent aujourd’hui, ajoute Erik Nost.
Un parcours atypique, mais impressionnant
Sanaz Yashar connaît bien la vitesse à laquelle les pirates informatiques peuvent se déplacer. À l’unité 8200, elle est devenue officier en 2004. À l’époque, elle a sélectionné des cibles étrangères et décidé de la meilleure façon de les surveiller. « Elle est très créative et sait sortir des sentiers battus », explique Ehud Schneorson, ancien commandant de l’unité 8200. « C’est en partie parce qu’elle venait d’une culture différente, mais aussi parce qu’elle était nouvellement arrivée en Israël et qu’elle voulait faire ses preuves. »
Au milieu des années 2010, Sanaz Yashar cherchait à quitter l’armée et a rejoint Cybereason, une nouvelle entreprise de Lior Div, un ancien de l’unité 8200 (l’évaluation de l’entreprise atteindra 2,7 milliards de dollars en 2021, bien que depuis lors, le personnel soit parti en masse, y compris Lior Div, et que son évaluation ait été réduite de 90 %). En 2016, Sanaz Yashar a été chargée de l’équipe de cyberespionnage de Cybereason, chargée d’enquêter sur certains des piratages les plus importants survenus dans le monde.
En 2017, cela l’a conduite à l’épicentre de ce qui allait devenir l’une des cyberattaques les plus dévastatrices de l’histoire. NotPetya était un logiciel malveillant virulent et destructeur conçu pour décourager les victimes, parmi lesquelles se trouvaient des géants du monde des affaires comme le cabinet d’avocats DLA Piper et l’entreprise mondiale de transport maritime Maersk. Sanaz Yashar a dirigé les efforts de Cybereason en Ukraine, point zéro des attaques, pour comprendre le logiciel malveillant, faisant une découverte cruciale peu après son arrivée à Kiev : NotPetya disposait d’un interrupteur d’arrêt. Toute personne infectée par le logiciel malveillant pouvait essentiellement le désactiver, et le code ne pouvait plus se propager ou crypter des fichiers. Sanaz Yashar et Lior Div affirment que l’équipe a ensuite travaillé avec la cyberpolice ukrainienne, qui tentait de démêler le code et la provenance de NotPetya.
« Nous avons trouvé toutes les portes dérobées russes. C’était fou », se souvient-elle. En octobre 2020, le département américain de la Justice a accusé des espions russes travaillant au sein de la direction du renseignement du GRU d’être à l’origine des attaques NotPetya.
Au cours des cinq années passées chez Mandiant (l’entreprise a été rachetée par Google pour 5,4 milliards de dollars en 2022), elle a recommencé à se concentrer sur l’Iran, en menant des recherches sur APT33, un groupe qui cible depuis longtemps les grandes entreprises de l’aérospatiale et de la pétrochimie. « Ils sont très puissants », déclare Sanaz Yashar. « Je les ai trouvés dans plus de cinq organisations, y compris dans des infrastructures critiques. »
Peu de fondateurs de startups spécialisées dans la sécurité peuvent se prévaloir d’une expérience aussi profonde et diversifiée. « Elle a passé la majeure partie de sa vie d’adulte à comprendre ce que font les adversaires », déclare Lior Div, son ancien patron chez Cybereason. « Elle est réglo. Et j’ai assez d’expérience dans le domaine pour dire qui raconte des salades. »
À lire également : Cybersécurité en 2024 : l’année IA de tous les dangers !
Vous avez aimé cet article ? Likez Forbes sur Facebook
Newsletter quotidienne Forbes
Recevez chaque matin l’essentiel de l’actualité business et entrepreneuriat.
Abonnez-vous au magazine papier
et découvrez chaque trimestre :
- Des dossiers et analyses exclusifs sur des stratégies d'entreprises
- Des témoignages et interviews de stars de l'entrepreneuriat
- Nos classements de femmes et hommes d'affaires
- Notre sélection lifestyle
- Et de nombreux autres contenus inédits
