BREACH FEED CYBERSECURITE FRANCE IN THE LOOP

À 23 ans, après 800 000 dollars gagnés en identifiant des failles chez Google, Amazon ou Netflix, Roni Carta lève 5,4 millions d’euros auprès de 20VC et Seedcamp

📩 Pour nous contacter: redaction@fw.media

18/03/2026

2 minutes de lecture

La cybersécurité continue de protéger des systèmes que les attaquants contournent déjà. Ce décalage, Roni Carta l’a observé de l’intérieur, avant de fonder Lupin & Holmes, il s’est construit une réputation comme bug bounty hunter, en identifiant des vulnérabilités pour le compte de grandes entreprises.

À 23 ans, il revendique près de 800 000 dollars de récompenses cumulées, obtenues notamment auprès de Google, Amazon ou Netflix, et a été distingué à deux reprises comme « Most Valuable Hacker » lors des événements de hacking de Google.

Les attaques ne suivent plus les chemins que les outils de sécurité surveillent.

Dans la plupart des organisations, la sécurité reste structurée autour des points d’entrée : applications, réseaux, identités, une approche qui suppose que les intrusions passent par des interfaces identifiables.

Or, les failles exploitables se situent souvent en amont, qu’il s’agisse de dépendances open source, de chaînes de build, ou de configurations interconnectées. Ces couches techniques moins visibles, sont rarement traitées comme des surfaces d’attaque prioritaires.

🚨 SMARTJOBS

👉 Retrouvez toutes nos offres sur le Jobboard DECODE MEDIA

📩 Vous recrutez et souhaitez renforcer votre marque employeur ? Découvrez nos offres partenaires

Cela rend une partie des outils traditionnels partiellement inefficaces, car s’ils détectent les vulnérabilités, ils peinent à reconstituer les trajectoires réelles d’intrusion.

Reconstituer les chemins d’attaque plutôt que lister les failles

C’est sur ce point que se positionne Lupin & Holmes. La startup a développé Depi, une plateforme conçue pour cartographier les chemins d’attaque au sein d’un système logiciel. Son objectif n’est pas d’identifier une faille isolée, mais de comprendre comment plusieurs vulnérabilités peuvent être combinées pour créer un accès exploitable.

Ce changement de perspective est structurant, car dans les environnements complexes, toutes les vulnérabilités ne présentent pas le même niveau de risque. Leur niveau critique dépend de leur position dans l’architecture et des interactions avec d’autres composants.

Une approche issue de la culture du hacking

Là où une partie du marché reste orientée vers la conformité ou l’audit, Lupin & Holmes s’ancre dans une culture du hacking dont elle est directement issue. Une singularité qui ne relève pas d’un discours marketing, mais de son ADN, et qui la conduit à penser la sécurité depuis les logiques d’exploitation, et non depuis les cadres de contrôle.

Une levée de 5,4 millions d’euros portée par des investisseurs eux aussi en dehors des schémas traditionnels

Lupin & Holmes annonce une levée de 5,4 millions d’euros en pre-seed, menée par 20VC (Alexandre Dewez) et Seedcamp (Carlos Eduardo Espinal), avec la participation de Kima Ventures, Purple Ventures, ainsi que de business angel. Un tour de table cohérent avec le positionnement de la société, où l’attention se porte sur la singularité du profil fondateur et son ancrage opérationnel, mais aussi la traction de la startup qui compte différents grands comptes du Fortune 500 et travaille avec des acteurs comme Ledger.

Fondée en 2023, Lupin & Holmes prévoit de recruter une dizaine de collaborateurs et d’intensifier ses investissements en recherche et développement afin de consolider sa plateforme.

À propos
Articles récents

LA REDACTION DE FW.MEDIA

Pour nous contacter, nous vous avons préparé un petit formulaire pour bien gérer votre demande et pouvoir l'adresser en toute confidentialité. Cliquez ici pour y accéder

Les derniers articles par LA REDACTION DE FW.MEDIA (tout voir)