Pourquoi nous avons créé Fabius
De l'enthousiasme pour le développement assisté par IA à la nécessité de se défendre
Fabius est né d’un problème très concret.
En tant que spécialiste IT et passionné de développement logiciel assisté par IA, j’ai commencé à constater à quelle vitesse un produit peut être construit aujourd’hui. Avec un agent IA, un IDE moderne, quelques bibliothèques open source et des prompts bien conçus, il est possible de générer des fonctionnalités à un rythme qui aurait semblé impossible il y a quelques années.
Mais la vitesse a un coût.
La base de code grandit rapidement. Les dépendances s’accumulent rapidement. Les bibliothèques évoluent rapidement. Les agents IA proposent des solutions, installent des paquets, modifient des fichiers, créent des configurations et touchent parfois des zones sensibles sans que vous ayez le temps de vérifier chaque détail.
Au début, le problème semblait relever de la discipline : vérifier plus attentivement, lire davantage, mieux contrôler ce qui entre dans le projet.
Puis j’ai réalisé que ce n’était plus un problème de discipline.
C’était un problème d’échelle.
On ne peut pas vérifier manuellement un écosystème qui change quotidiennement
Chaque semaine, de nouvelles attaques ciblent la chaîne d’approvisionnement logicielle. Certaines visent des paquets populaires. D’autres utilisent des scripts d’installation. D’autres encore se cachent dans les configurations d’IDE, les hooks Git, les fichiers de verrouillage, les fichiers de règles pour les agents IA ou des mécanismes apparemment anodins dans le workflow d’un développeur.
Glassworm. CanisterWorm. Axios supply chain RAT. Attaques via les espaces de travail des IDE. Prompt injection. Vol de données d’identification par exploitation des outils IA.
La liste ne diminue pas.
Au contraire, elle s’allonge.
Et cela change fondamentalement la question.
Il ne suffit plus de se demander :
« Mon code est-il vulnérable ? »
Il faut aussi se demander :
« Que se passe-t-il sur mon ordinateur avant que ce code n’atteigne le dépôt, le CI ou la production ? »
Pour moi, ce fut le moment décisif.
J’ai compris que je ne pouvais pas me contenter d’un outil SAST ou SCA exécuté dans un pipeline CI/CD. Le CI est important, mais il arrive trop tard. Si un paquet malveillant a déjà été installé, si un script postinstall a déjà été exécuté, si un agent IA a déjà introduit une configuration dangereuse, si un dépôt cloné a déjà déclenché quelque chose dans l’IDE, alors le problème ne se limite plus au pipeline.
Le problème est déjà sur la station de travail du développeur.
J’avais besoin d’une protection plus proche de l’endroit où le risque commence : sur l’ordinateur du développeur.
De la réaction à la prévention
La première idée était simple : automatiser la protection contre les attaques que je constatais.
Si une attaque utilisait des paquets compromis, j’avais besoin de listes noires dynamiques et de hooks de pré-installation pour bloquer l’installation avant que le paquet n’atteigne le projet.
Si une attaque exploitait des configurations dangereuses d’IDE, j’avais besoin d’une détection locale des espaces de travail, tâches, hooks et exécutions cachées.
Si une attaque reposait sur des instructions malveillantes pour les agents IA, j’avais besoin de règles claires indiquant aux agents ce qu’ils n’ont pas le droit de faire.
Si une vulnérabilité apparaissait dans une bibliothèque utilisée, j’avais besoin d’une analyse d’impact, de propositions de mise à jour, de diffs clairs, de tests et de linters qui vérifient non seulement l’existence du problème, mais aussi que la correction reste valide.
La liste ne cessait de s’allonger.
C’est ainsi que Fabius a commencé : non pas comme une grande plateforme, mais comme une collection de mécanismes défensifs nés du besoin de me protéger dans mon travail quotidien.
Au début, Fabius couvrait quelques types d’attaques. Puis, chaque nouvel incident a apporté une leçon. Chaque leçon est devenue un détecteur, une règle, une garde, un test, un workflow ou une automatisation.
Avec le temps, le produit a dépassé l’idée d’un simple scanner.
Il est devenu une forge de cybersécurité pour développeurs.
Pourquoi les développeurs sont devenus des cibles privilégiées
Les attaques modernes ne ciblent plus uniquement les serveurs, les applications exposées ou l’infrastructure cloud.
Elles ciblent aussi le développeur.
Le développeur a accès au code. Il possède des tokens. Il détient des clés. Il a accès aux registries, aux dépôts, aux pipelines, aux clusters, aux produits, aux clients et à l’infrastructure. Dans de nombreuses organisations, l’ordinateur d’un développeur est l’une des portes d’entrée les plus précieuses.
Et aujourd’hui, les développeurs travaillent plus vite que jamais.
Ils clonent des dépôts. Exécutent des commandes d’installation. Ouvrent des projets dans des IDE modernes. Acceptent les suggestions des agents IA. Testent des bibliothèques. Effectuent des mises à jour. Intègrent des outils. Automatisent des workflows.
Tout cela, à un rythme effréné.
Cela crée une surface d’attaque énorme.
J’ai même vu des situations où un simple processus de recrutement pouvait devenir un vecteur d’attaque : vous recevez un dépôt pour un test technique, vous le clonez, vous l’ouvrez dans votre IDE, et sans vous en rendre compte, votre environnement local devient la cible d’une attaque.
Voilà la nouvelle réalité.
Le risque ne commence pas seulement lorsque le code atteint la production.
Le risque peut commencer dès que vous ouvrez le dossier.
Fabius : une protection là où le risque commence
Fabius a été créé pour rapprocher la défense du développeur.
Non pas après le commit.
Non pas dans le CI.
Non pas après qu’une vulnérabilité apparaisse dans un rapport.
Mais avant.
Avant qu’une bibliothèque problématique ne soit installée.
Avant qu’un agent IA n’ajoute une dépendance risquée.
Avant qu’un dépôt malveillant n’exploite la configuration de l’IDE.
Avant qu’un paquet compromis ne s’exécute sur votre ordinateur.
Fabius surveille les sources de sécurité, classe les menaces, génère des règles de détection, scanne les dépôts locaux et propose des correctifs. Mais la partie la plus importante est sa philosophie : il ne s’arrête pas à la détection.
Fabius vise à prévenir.
C’est pourquoi il équipe les dépôts de couches défensives comme :
- des hooks Git ;
- des règles pour les agents IA ;
- des gardes d’installation ;
- des linters ;
- des tests de sécurité ;
- des portes dans le CI/CD.
Et si une nouvelle menace émerge, Fabius doit vous aider à la transformer rapidement en une règle, un test, un correctif et un mécanisme de prévention.
Voici le changement de philosophie :
de la correction à la prévention,
de la réaction à la surveillance continue,
du scanner à une forge de cybersécurité pilotée par IA.
D’un outil de protection à une forge de cybersécurité
Fabius n’est pas qu’un outil qui vous indique que vous avez un problème.
C’est une plateforme où vous pouvez créer vos propres mécanismes d’analyse, de détection et de remédiation.
Vous pouvez partir d’une idée, d’une nouvelle attaque, d’un avis de sécurité, d’un paquet suspect ou d’une règle que vous souhaitez imposer dans vos projets. Fabius vous aide à transformer cette idée en un analyseur, un scanner, un test, un correctif ou une règle réutilisable.
Cela change le rôle du développeur.
Vous n’êtes plus simplement la personne qui attend qu’un fournisseur de sécurité intègre une détection un jour dans un outil centralisé.
Vous pouvez construire votre propre défense.
Vous pouvez gérer l’impact sur le code.
Vous pouvez recevoir des alertes en temps réel avec des correctifs automatisés.
Vous pouvez vérifier quels processus communiquent à l’extérieur et où ils envoient des données.
Vous pouvez être notifié lorsqu’un comportement semble suspect.
Et là où cela a du sens, vous pouvez même bloquer le trafic.
Fabius a commencé avec quelques attaques possibles et a évolué vers une plateforme plus large : un espace où les développeurs peuvent détecter, défendre, prévenir, corriger et construire leurs propres outils de sécurité.
Pour qui est fait Fabius ?
Fabius s’adresse aux développeurs qui utilisent l’IA, l’open source, les gestionnaires de paquets, les IDE modernes comme VS Code, les agents de codage, les pipelines modernes et les outils rapides.
En d’autres termes, à presque tous les développeurs aujourd’hui.
Il s’adresse à ceux qui ne veulent pas choisir entre vitesse et sécurité. À ceux qui veulent développer rapidement, mais pas aveuglément. À ceux qui comprennent que la sécurité de la chaîne d’approvisionnement n’est plus seulement un problème pour les équipes d’entreprise, mais une préoccupation quotidienne pour tout développeur.
Fabius est pour les développeurs qui installent des bibliothèques, clonent des dépôts, acceptent les suggestions des agents IA, testent de nouveaux frameworks, effectuent des mises à jour, automatisent des workflows et travaillent dans un écosystème logiciel en constante évolution.
En d’autres termes, pour les personnes qui construisent des logiciels dans le monde réel, et non dans un laboratoire isolé.
Et pour eux, la sécurité ne peut plus se limiter à un rapport qui apparaît à la fin d’un pipeline. Elle doit être présente là où le travail commence : sur la station de travail, dans l’IDE, dans le gestionnaire de paquets, dans l’agent IA, dans le dépôt et dans chaque décision technique apparemment anodine.
Pourquoi l’indépendance technologique compte
Fabius est conçu pour être accessible aux développeurs du monde entier, mais il porte aussi une mission européenne claire.
Les développeurs de l’Union européenne ont besoin d’outils puissants, accessibles et conçus dans le respect de la confidentialité, du contrôle et de la souveraineté technologique.
Toutes les équipes ne peuvent ou ne veulent dépendre entièrement des grands fournisseurs d’infrastructure et des hyperscalers. Tous les projets ne peuvent pas envoyer des données sensibles n’importe où. Toutes les organisations ne peuvent pas traiter la sécurité comme un luxe réservé aux grandes entreprises.
C’est pourquoi Fabius est construit avec l’idée que la protection de la chaîne d’approvisionnement doit être proche du développeur, facile à utiliser et aussi indépendante que possible des infrastructures difficiles à contrôler.
La sécurité ne devrait pas être réservée aux très grandes entreprises.
Elle devrait être accessible aux développeurs individuels, aux petites équipes, aux startups, aux freelances, aux communautés open source et aux organisations européennes qui souhaitent construire des logiciels en toute sécurité.
Le lien avec Revzper
Fabius n’est pas un produit né en dehors de la vision de Revzper.
Au contraire, c’est l’une de ses extensions les plus naturelles.
La plateforme Revzper a été créée avec un objectif clair : faciliter l’adoption de l’IA avec un impact positif sur le marché du travail.
Nous ne sommes pas aveugles. Nous voyons que l’IA va profondément transformer le travail intellectuel. Nous voyons qu’elle va impacter au moins une partie importante du secteur des cols blancs. Nous voyons que de nombreuses professions devront s’adapter rapidement, et pour de nombreux spécialistes, la question ne sera plus de savoir s’ils utilisent l’IA, mais s’ils parviennent à l’utiliser suffisamment bien pour rester pertinents, productifs et valorisés.
Dès le départ, Revzper s’est posé cette question :
« Comment aidons-nous les spécialistes à tirer profit de l’IA au lieu d’être remplacés par elle ? »
Notre réponse est de construire des outils qui permettent aux gens de créer plus vite, de travailler mieux et de transformer leur expertise en résultats concrets.
Si, dans divers secteurs professionnels, nous aidons les spécialistes à créer plus rapidement avec l’IA tout en monétisant ce qu’ils produisent, alors ces spécialistes pourront participer activement à la nouvelle économie de l’IA. Non pas comme des utilisateurs passifs de grandes plateformes, mais comme des personnes qui amplifient leur propre expertise.
Dans cette optique, la direction récente de Fabius, celle d’une forge de cybersécurité pilotée par IA, s’inscrit parfaitement dans la vision de Revzper.
Aujourd’hui, Fabius aide les développeurs à détecter, prévenir, corriger et automatiser la défense contre les attaques de la chaîne d’approvisionnement logicielle. Mais au fond, l’idée est encore plus grande : permettre aux spécialistes de transformer leurs connaissances en matière de sécurité en outils concrets.
Un spécialiste qui comprend une attaque devrait pouvoir créer un détecteur.
Un développeur qui découvre une pratique risquée devrait pouvoir créer une règle.
Un expert qui trouve un bon correctif devrait pouvoir transformer ce correctif en un mécanisme réutilisable.
Un professionnel qui identifie un nouveau risque devrait pouvoir construire rapidement une protection pour les autres.
Nous n’en sommes pas encore au stade où les utilisateurs de Fabius peuvent monétiser directement leurs produits de sécurité, leurs correctifs, leurs règles ou leur expertise créée dans la plateforme.
Mais la direction est claire.
Fabius évoluera certainement dans ce sens.
Car, dans la vision de Revzper, l’IA ne doit pas être seulement une force qui automatise le travail des spécialistes.
Elle doit aussi être une force qui les aide à créer davantage, à distribuer plus facilement, à être rémunérés pour leur expertise et à rester des acteurs importants sur le marché du travail qui se forme aujourd’hui.
Fabius est donc bien plus qu’un produit de cybersécurité.
C’est une démonstration concrète de ce que nous voulons construire avec Revzper : des plateformes où les spécialistes utilisent l’IA pour devenir plus forts, et non plus dispensables.
Toutes choses en leur temps.
Pourquoi le nom Fabius ?
Le nom Fabius vient de Quintus Fabius Maximus, la figure historique connue pour sa patience, sa stratégie et sa défense calculée.
Il m’a semblé un nom approprié pour ce que je cherche à construire.
La cybersécurité réelle n’est pas une bataille unique. Ce n’est pas un seul correctif. Ce n’est pas un seul scanner. Ce n’est pas une réaction impulsive à un incident récent.
C’est une lutte quotidienne, difficile, répétitive, où il faut observer, comprendre, s’adapter et prévenir.
Il faut penser en couches.
Il faut revenir sur ses décisions.
Il faut vérifier ce qui a changé.
Il faut transformer l’information en action.
Pour un développeur individuel, ce fardeau devient impossible à gérer manuellement.
En moyenne, environ 130 à 132 vulnérabilités CVE sont publiées chaque jour dans le monde. Il est humainement impossible de suivre manuellement ce volume, de le comprendre, de le relier à ses propres projets et de transformer chaque risque en actions concrètes.
C’est pourquoi Fabius existe.
Fabius reprend une partie de cette difficulté des épaules des développeurs devenus des cibles privilégiées pour les attaques de la chaîne de valeur et de la chaîne d’approvisionnement.
Car aucun développeur ne veut être victime d’une telle attaque.
Et pour le bien de tous, les développeurs ont besoin d’outils plus puissants, plus accessibles et plus proches de la réalité des batailles cybernétiques menées chaque jour.
Conclusion
Fabius est né d’un besoin personnel, mais le problème est mondial.
L’IA a accéléré le développement logiciel. L’open source a accéléré la distribution de code. Les écosystèmes modernes ont accéléré l’intégration. Mais les attaquants ont aussi accéléré.
Dans ce nouveau contexte, les développeurs ont besoin d’outils qui fonctionnent à la même vitesse que les menaces.
Fabius est ma réponse à cette réalité : une plateforme qui détecte, défend, prévient, corrige et aide les développeurs à transformer le chaos de la sécurité de la chaîne d’approvisionnement en un système de protection applicable au quotidien.
Mais Fabius est aussi une pièce d’une vision plus large : celle selon laquelle l’IA doit aider les spécialistes à devenir plus productifs, plus protégés, et, avec le temps, plus capables de transformer leur expertise en valeur économique.
De la correction à la prévention.
De la réaction à la surveillance.
Du scanner à une forge de cybersécurité pilotée par IA.
De l’IA comme risque pour le marché du travail à l’IA comme outil d’amplification de l’expertise.
Aucun développeur ne veut devenir la victime d’une attaque via une bibliothèque, un dépôt, un agent IA, un IDE ou une configuration cachée.
Et pour le bien de tous, les développeurs ont besoin d’outils plus puissants, plus accessibles et plus proches de l’endroit où le risque commence.
C’est pourquoi nous avons créé Fabius.
Et c’est pourquoi Fabius fait partie de Revzper.