Roni Carta, jeune talent de la cybersécurité offensive, a bâti une trajectoire singulière à la frontière du bug bounty et de l’entrepreneuriat. Après avoir révélé des failles de sécurité chez Google, Amazon et Netflix, il revendique près de 800 000 dollars de primes cumulées et deux distinctions de Most Valuable Hacker lors d’événements organisés par Google. Sa startup, Lupin & Holmes, capitalise sur cette expertise de terrain avec une plateforme — Depi — conçue pour cartographier les chemins d’intrusion dans les systèmes logiciels. L’annonce d’une levée de fonds de 5,4 millions d’euros, menée par 20VC et Seedcamp, confirme l’intérêt des investisseurs pour une approche qui privilégie l’exploitation réelle plutôt qu’un inventaire théorique de vulnérabilités.
Selon les données récentes du secteur, la sécurité d’entreprise reste majoritairement pensée autour des points d’entrée visibles (applications, réseaux, identités) alors que les attaques se propagent par des couches moins exposées — dépendances open source, chaînes de build, passerelles interconnectées. Une analyse approfondie révèle que les outils traditionnels détectent des failles isolées mais peinent à reconstituer des trajectoires d’attaque exploitables de bout en bout. En 2026, ce décalage est devenu stratégique pour les entreprises aux chaînes logicielles distribuées. Dans ce contexte, Lupin & Holmes revendique une culture du hacking assumée, héritée du bug bounty, pour traiter la sécurité depuis la logique d’un attaquant. La trajectoire de Carta, consolidée par des références publiques et des études de cas documentées, illustre le basculement d’un marché tiré par la conformité vers une évaluation du risque « exploitable ».
Roni Carta, du bug bounty à l’entrepreneuriat: de 800 000 dollars à 5,4 millions d’euros
Les performances de Roni Carta s’inscrivent dans une dynamique où la preuve par l’exploitation prime. Récompensé pour des découvertes majeures chez Google, Amazon et Netflix, il a fait de la recherche de failles de sécurité un levier méthodologique pour bâtir un produit. Des entretiens publics, dont les confidences d’un hacker éthique et un échange sur la cybersécurité offensive, éclairent la manière dont cette expérience alimente la R&D de Lupin & Holmes.
De Google à Netflix: validation par l’épreuve des failles réelles
Deux titres de Most Valuable Hacker et près de 800 000 dollars engrangés en primes n’ont pas seulement renforcé la crédibilité du fondateur; ils ont aussi imposé une manière de penser les menaces. Les attaques ne suivent plus les chemins que les solutions standard surveillent. Elles se nourrissent d’interconnexions, d’automatisation et de composants tiers, rendant critique la capacité à recomposer un scénario d’exploitation réaliste.
Cette lecture « chemin d’attaque d’abord » se retrouve dans des portraits publics, comme le portrait du « gentleman hacker », et dans des analyses de l’écosystème, à l’image de la stratégie de financement par le hacking éthique. Pour les entreprises, le bénéfice est concret: prioriser ce qui est réellement exploitable, plutôt que d’empiler des alertes difficilement actionnables.
Depi (Lupin & Holmes): cartographier les chemins d’attaque plutôt que lister des vulnérabilités
La plateforme Depi modélise l’environnement logiciel pour identifier des enchaînements de failles qui, combinés, ouvrent un accès exploitable. L’objectif n’est pas d’ajouter une alerte de plus mais d’évaluer la « praticabilité » d’une intrusion: quelles dépendances, quels droits, quelles configurations transforment un bug anodin en brèche systémique. Ce changement de perspective devient déterminant à l’heure où l’IA accélère l’assemblage logiciel, multipliant les interactions techniques.
Il est essentiel de considérer que les couches en amont — là où se tissent les dépendances et les automatismes — concentrent aujourd’hui une part significative du risque. À titre d’exemple, la littérature récente sur l’impact de l’IA sur la cybersécurité souligne l’essor de pipelines complexes où une faille de permission ou de registre peut suffire à pivoter vers des actifs critiques. Depi vise précisément à éclairer ces chemins d’exploitation.
- Dépendances open source: vulnérabilités transitives et packages typosquattés.
- Chaînes de build (CI/CD): secrets d’automatisation, artefacts et registres de conteneurs.
- Configurations interconnectées: IAM mal borné, scopes d’API et connecteurs SaaS.
- Infrastructure as Code: dérives de politiques et incohérences multi-cloud.
- Gestion des identités: accès non minimisés, comptes techniques sur-privilégiés.
Dans la plupart des organisations, ces surfaces restent secondaires face aux audits de périmètre. En agrégeant signaux techniques et relations entre composants, Depi met en exergue ce qui est « exploitable maintenant », facilitant une remédiation par ordre d’impact.
De la conformité à l’exploitation: une culture hacking au cœur du produit
Contrairement aux outils cantonnés à la conformité, Lupin & Holmes part du mode opératoire d’un attaquant. La plateforme attribue un risque en fonction de la position de la faille dans l’architecture et de ses interactions potentielles, plutôt que de son CVSS isolé. Cette approche est cohérente avec l’ADN de la société, forgé sur la recherche offensive et validé par la pratique « bug bounty ».
Ce parti pris se traduit par une hiérarchisation des correctifs selon la criticité exploitable, et non l’exhaustivité documentaire. Pour un SOC sursollicité, la valeur réside dans la capacité à réduire le temps de triage et à concentrer les efforts sur les maillons réellement pivotants d’un chemin d’attaque.
20VC et Seedcamp parient sur la cybersécurité offensive: lecture d’une levée de 5,4 millions d’euros
Le tour pre-seed de 5,4 millions d’euros mené par 20VC (Alexandre Dewez) et Seedcamp (Carlos Eduardo Espinal), avec la participation de Kima Ventures, Purple Ventures et de business angels, valide un positionnement « exploitation-first » assumé. La présence de grands comptes du Fortune 500 en phase précoce, ainsi que des collaborations avec des acteurs comme Ledger, indique une traction commerciale au-delà du discours technique, un signal fort pour les VC focalisés sur la valeur d’usage.
Dans un contexte européen marqué par l’élévation des exigences réglementaires, la consolidation des budgets cybersécurité s’appuie sur les obligations des directives européennes NIS 2 et DORA. L’alignement entre conformité et résilience opérationnelle favorise des solutions capables de prouver une réduction du risque réellement exploitable, un axe où la modélisation de chemins d’attaque apporte une preuve mesurable.
Fondée en 2023, Lupin & Holmes projette de recruter une dizaine de collaborateurs et d’intensifier ses investissements en R&D. Pour les entreprises, l’intérêt est pragmatique: accélérer la priorisation, documenter l’attaque plausible et dimensionner les correctifs selon l’impact, plutôt que de multiplier des rapports statiques à faible pouvoir d’arbitrage.
Cas d’usage 2026: un industriel face à une chaîne logicielle exposée
Considérons « SideraTech », groupe industriel européen. Un développeur intègre une librairie open source compromettée: la mise à jour transitive autorise l’accès à un secret CI/CD, puis à un registre de conteneurs. De là, une permission IAM latérale ouvre un bucket de données sensibles et déclenche une exfiltration avant chiffrement. Un SOC outillé de scanners verrait des alertes éparses; un modèle de chemin d’attaque relierait en continu dépendance, secret, registre, permission et actif critique.
Dans ce scénario, Depi produirait un graphe d’exploitation, classerait la correction de la permission IAM au-dessus du patch applicatif, et recommanderait la rotation immédiate des secrets de pipeline. Ce type d’arbitrage, aligné sur l’exploitation la plus probable, s’inscrit dans les priorités 2026, où la complexité logicielle et les usages d’IA exigent une synthèse opérationnelle plutôt qu’une addition d’alertes. Pour approfondir ces évolutions, des analyses sur l’angle mort IA générative et courtage de données éclairent les nouveaux vecteurs de risque à intégrer.
Journaliste spécialisée en énergie et industrie, je décrypte depuis plus de quinze ans les évolutions des marchés énergétiques et les innovations industrielles. Mon parcours m’a conduite à collaborer avec des publications de renom, où j’ai analysé les défis liés à la transition énergétique et aux politiques industrielles.
