La startup de sécurité de code Socket lève 60 M$, valorisation à plus d'un milliard

Le 20 mai, l'entreprise de sécurité de code Socket a annoncé la finalisation d'un tour de financement de série C de 60 millions de dollars, avec une valorisation officielle dépassant le milliard, entrant ainsi dans le cercle des licornes.

Ce tour a été mené par Thrive Capital, avec la participation d'a16z, Abstract Ventures et Capital One Ventures. En incluant les deux tours précédents, Socket a levé un total de 125 millions de dollars.

Le chiffre en lui-même n'est pas étonnant – dans le monde de l'IA, les deals de série C à 60 millions sont courants en un an. Ce qui rend cette nouvelle remarquable, c'est la liste de clients de Socket : Anthropic, xAI, Replit, Cursor, Figma, Vercel, Gusto, Mercado Libre et Cribl.

Les quatre premiers sont des entreprises d'IA de premier plan – l'une développe Claude, une autre Grok, une autre un IDE cloud, une autre un agent de programmation – toutes paient discrètement Socket.

Il y a une certaine ironie, car le travail de Socket est précisément de nettoyer le désordre que ces entreprises d'IA créent.

Quel problème Socket résout-il ?

Le PDG Feross Aboukhadijeh a déclaré clairement dans l'annonce de financement :

« L'IA change la façon dont les logiciels sont construits à tous les niveaux. Les équipes vont plus vite, plus de code est généré, et une plus grande partie de ce qui arrive en production provient de l'extérieur de l'entreprise. La difficulté est de maintenir cette vitesse sans perdre la visibilité sur ce qui est réellement livré. »

En termes simples : les outils de programmation IA ont multiplié la production de code. Copilot, Cursor et Codex peuvent générer des milliers de lignes de code par jour pour une équipe. Le problème est qu'une grande partie de ce code tire directement des paquets open source de npm, PyPI et GitHub. Ces paquets sont-ils sûrs ? La révision manuelle était déjà débordée ; après l'IA, c'est encore pire.

Socket fait ceci : scanner en temps réel toutes les dépendances open source entrant en production, en utilisant l'assistance de l'IA et une révision manuelle pour détecter les codes malveillants, les schémas suspects et les vulnérabilités non divulguées.

Ce n'est pas nouveau – il existe Snyk, Dependabot, JFrog et de nombreux outils similaires. Le différenciateur de Socket est le « temps réel » – les autres scannent périodiquement ; Socket bloque les dépendances au moment où elles sont introduites.

L'incident d'empoisonnement d'Axios : le moment de gloire de Socket

La capacité de Socket a été démontrée de manière éclatante lors de l'incident Axios. Axios est une bibliothèque HTTP utilisée dans presque tous les projets JavaScript – avec plus de 50 millions de téléchargements hebdomadaires sur npm. Récemment, des attaquants ont injecté un code malveillant dans un paquet dérivé populaire d'Axios, conçu pour voler des jetons et des clés à partir de variables d'environnement.

La chronologie :

  • Paquet empoisonné publié : L'attaquant télécharge une version contaminée
  • 6 minutes plus tard : La plateforme Socket signale et bloque cette version
  • En 24 heures : Plus de 2 000 organisations s'inscrivent d'urgence à Socket

Six minutes signifient qu'avant que les pipelines CI/CD de la plupart des entreprises ne puissent tirer le paquet en production, Socket l'avait déjà bloqué pour ses utilisateurs. Gagner 2 000 clients en 24 heures est un témoignage puissant – essentiellement une éducation gratuite du marché.

Dans le processus traditionnel de divulgation des vulnérabilités, cela prend généralement des jours ou des semaines : les chercheurs découvrent, les équipes de sécurité reproduisent, un CVE est attribué, les outils SBOM se synchronisent, les utilisateurs mettent à jour les dépendances. Socket compresse cette chaîne en minutes.

Pourquoi les investisseurs sont-ils prêts à payer une valorisation de licorne ?

L'associé de Thrive Capital, Philip Clark, a déclaré dans l'annonce :

« La sécurité change radicalement et rapidement. Les outils hérités ont été conçus pour réagir aux vulnérabilités connues... »

Le message est clair : les outils de sécurité de code traditionnels sont réactifs – ils attendent que des vulnérabilités soient découvertes, puis les corrigent. À l'ère de l'IA, ce rythme est insuffisant ; l'approche doit passer à « bloquer le code dès son arrivée ».

a16z, investisseur récurrent des séries A et B de Socket, a participé à nouveau. L'entrée de Capital One Ventures signale une autre tendance : le secteur financier commence à traiter le risque de la chaîne d'approvisionnement open source comme une question de conformité de premier ordre.

Selon une enquête récente de l'OWASP, la défaillance de la chaîne d'approvisionnement logicielle est classée comme le risque de sécurité numéro un pour les entreprises. Pourtant, le même rapport montre que seulement 36 % des organisations ont effectué une quelconque forme d'évaluation de leurs dépendances open source. Cet écart est le marché de Socket.

L'ironie subtile : les entreprises d'IA nourrissent Socket

Revenons à la liste des clients – Anthropic, xAI, Cursor, Replit, Vercel. Toutes ces entreprises vendent l'histoire de la « programmation accélérée par l'IA ». La valorisation de Cursor a récemment atteint 50 milliards de dollars ; Replit construit la porte d'entrée du vibe coding ; Anthropic pousse Claude Code ; xAI pousse Grok Code Fast.

Plus leurs produits sont performants, plus il y a de code généré par l'IA dans le monde. Plus de code généré par l'IA signifie plus de code fusionné sans révision. Plus de code non révisé augmente la probabilité de bombes cachées dans les dépendances open source.

Ce n'est pas une condamnation morale – l'argument de vente des outils de programmation IA est précisément d'éliminer la révision manuelle. C'est une véritable boucle de rétroaction du marché :

Une main vend la pelle, l'autre vend le bouclier.
Et ceux qui connaissent le mieux la puissance de la pelle sont ceux qui la vendent.

Il n'est donc pas surprenant que ces entreprises d'IA signent des chèques à Socket. Elles savent mieux que quiconque combien de nouvelles surfaces d'attaque leurs produits créent pour les clients, et elles ont probablement été mordues par leurs propres outils lors du dogfooding interne.

Cet espace deviendra de plus en plus encombré. Snyk le mois dernier a intégré Claude dans son pipeline de scan ; GitHub Advanced Security ajoute également des couches de détection IA. La valorisation de licorne de Socket reflète maintenant son avantage de premier entrant, mais la profondeur de ses douves sera testée dans l'année à venir.

Pour l'instant, chaque ligne de code crachée par les outils de programmation IA aide Socket à vendre une licence de plus.

Sources : AI security startup Socket hits $1B valuation after $60M raise to stop software supply chain attacks (Tech Startups) ; Socket Raises $60M Series C at a $1B Valuation to Help Enterprises Build Securely With AI (Socket Blog) ; CocoLoop ; Code security startup Socket raises $60M in funding (SiliconANGLE) ; Security Firm Thwarting Nation-State Hackers Valued at $1 Billion (Bloomberg)