Du code au cloud : Thèmes de sécurité pour 2022 et au-delà

Logiciel deep tech

Danel Dayan, René Bonvanie | 28 février 2022

Illustration 237928944 / Alexkalina heureuse © | Dreamstime.com

L'année dernière a été faste pour de nombreuses entreprises technologiques B2B, avec des valorisations qui ont explosé, et les entreprises de cybersécurité n'ont pas fait exception. Security Logiciel a connu une énorme activité de collecte de fonds, les entreprises ayant obtenu 25 milliards de dollars de financement par capital-risque, soit une hausse de 130 % par rapport à l'année précédente. Les six startups de cybersécurité les plus valorisées qui ont levé des fonds en 2021 (ci-dessous) valent aujourd'hui près de 50 milliards de dollars au total. Et les entreprises de sécurité publique, comme SentinelOne et Crowdstrike, ont vu à un moment de l'année leurs actions se négocier à 100 fois leurs revenus.

Alors que nous commençons à naviguer dans une année 2022 plus imprévisible, la sécurité reste un poste budgétaire sur lequel les entreprises ne lésineront probablement pas. L'année dernière a été marquée par une prolifération de cyberattaques. De la brèche de SolarWinds, qui pourrait avoir été téléchargée par 18 000 clients (bien que la société affirme que moins de 100 ont probablement été piratés), à la cyberattaque de Colonial Pipeline qui a menacé un important oléoduc vers la côte Est des États-Unis, en passant par la vulnérabilité de Log4j qui a touché 89 % de tous les environnements informatiques, la cybersécurité était à l'honneur en 2021. Ces menaces ne sont qu'amplifiées par les risques associés au travail hybride et à distance, l'adoption toujours plus importante de logiciels tiers et les nouvelles chaînes d'outils autour de l'apprentissage automatique, de la crypto et de la blockchain, qui élargissent la surface d'attaque. S'ajoutant aux importants troubles géopolitiques, nous pensons que les participations sont plus élevées que jamais, ce qui accroît l'importance des investissements informatiques à l'horizon 2022, la sécurité figurant en tête des listes de priorités.

Ci-dessous, nous synthétisons cinq thèmes et prédictions qui, selon nous, feront progresser la sécurité logicielle en 2022, et nous espérons que cela suscitera un dialogue avec les fondateurs, les investisseurs et les opérateurs du secteur.

2022 Logiciel de sécurité Thèmes & Prédictions

La sécurité évolue pour couvrir quatre catégories majeures qui ressemblent à la pile Logiciel.
La remédiation passe à trois modèles : les flux de travail, les politiques et le triage.
La sécurité du cloud passe des charges de travail aux pipelines et aux processus.
De nouveaux vecteurs et chaînes d'outils d'attaque de sécurité apparaissent dans l'apprentissage automatique et la cryptographie.
Les RSSI obtiennent leur place dans la salle du conseil.

Thème 1 : La sécurité évolue pour couvrir quatre catégories majeures qui ressemblent à la pile de développement de Logiciel.

Le marché mondial des logiciels de sécurité a dépassé 150 milliards de dollars en 2021, avec une croissance de 12 %, selon Gartner. Cela a représenté des dépenses dans des catégories comme la gestion de la posture de sécurité du cloud (CSPM), la gestion des droits d'identité du cloud (CIEM), le service d'accès sécurisé Edge (SASE) et les tests statiques de sécurité des applications (SAST). Bien que le logiciel de sécurité ait une longue histoire avec les acronymes, nous pensons que 2022 sera enfin l'année où le logiciel de sécurité évoluera des produits individuels et ponctuels vers des plateformes de sécurité à part entière qui s'inscrivent dans le processus plus large de développement du logiciel.

À la base, le développement de logiciels se compose d'infrastructures, d'applications, de personnes et de données. La sécurité logicielle sera finalement régie par ces mêmes quatre méga catégories : infrastructure, identité, applications, et données.

Cela signifie que les RSSI achèteront une plateforme de sécurité d'infrastructure en nuage, comme Wiz ou Orca Security par exemple, au lieu d'assembler des produits ponctuels CSPM, CIEM et CWPP. Des approches comme la prévention des pertes de données (DLP) seront subsumées par des plateformes de sécurité des données. La gestion des vulnérabilités sera intégrée dans les plates-formes à travers la pile, car chaque plate-forme adopte des capacités de détection et de remédiation. Et la sécurité du réseau devient à juste titre un pilier essentiel de la sécurité de l'identité. Bien que cela semble être des transitions évidentes dont le marché de la cybersécurité a besoin, nous pensons que les impacts seront profonds.

Nous nous attendons à ce que cette évolution pousse davantage de M&A à créer ces plateformes. Par conséquent, nous pensons qu'il y a une entreprise de 100 milliards de dollars de capitalisation boursière à construire dans chacune de ces quatre catégories. Plus important encore, nous pensons que dans ce changement, les DevOps, les développeurs et les ingénieurs - qui ont été vendus sur la promesse d'outils de sécurité conviviaux pour les développeurs - seront finalement mis en position d'être à la fois les utilisateurs et les acheteurs de plateformes de sécurité, élargissant le budget et la responsabilité de la sécurité dans les entreprises.

Thème 2 : La remédiation passe à trois modèles : flux de travail, politiques et triage.

Une tendance dans laquelle nous avons investi ces deux dernières années est le passage à une sécurité plus centrée sur le développeur et plus consciente du contexte de l'utilisateur. Les alertes sont désormais consommées par les utilisateurs ayant le plus de contexte au sein d'une organisation, qu'il s'agisse de développeurs ou de personnes travaillant dans les services DevOps, IT ou de sécurité. Cela nous a conduit à investir dans Bridgecrew* (racheté par Palo Alto Networks), Styra* et Contrast Security*. L'une des leçons tirées de ces investissements est qu'une sécurité réussie, centrée sur le développeur, associe à la fois des capacités de détection et de remédiation dans le flux de travail des développeurs.

Aujourd'hui, nous entendons le terme "remédiation" dans de nombreux discours d'entreprises. Il est important de souligner que toutes les remédiations ne sont pas créées de la même manière. Le processus de remédiation s'éloigne des listes de vulnérabilités avec différentes cotes de risque pour s'orienter vers trois approches principales : les flux de travail, les politiques et le triage.

La remédiation pilotée par les politiques permet aux produits de sécurité d'effectuer une action en temps réel ou quasi réel en étant en ligne. Il peut s'agir de politiques centrées sur un cas d'utilisation ou de politiques à usage général. Dans les deux cas, le produit effectue lui-même l'assainissement. Bien que nous soyons convaincus que les meilleures plates-formes de leur catégorie combineront à la fois la détection et la remédiation axée sur les politiques, il existe d'autres modèles de remédiation qui continuent à générer une valeur considérable - à savoir les flux de travail et les réseaux de triage. Les flux de travail tels que les produits SOAR (Security Orchestration, Automation and Response) exécutent des tâches automatisées définies par l'homme, telles que l'exécution d'analyses quotidiennes, la recherche de journaux ou le blocage d'e-mails provenant d'une liste d'URL malveillantes. Le triage lance un processus qui est assisté par l'homme. Dans tout le spectre des options de remédiation, un produit effectue la remédiation lui-même ou s'appuie sur un réseau ou un flux de travail pour l'assister. Dans le nuage, où il existe un modèle de responsabilité partagée entre les fournisseurs de nuages comme AWS et Azure et leurs clients, aucun modèle ne fonctionnera pour toutes les situations mais nécessitera la mise en œuvre de politiques, de flux de travail ou de triage.

Thème 3 : La sécurité du cloud passe des charges de travail aux pipelines et aux processus.

Depuis que Gartner a inventé le terme de sécurité du cloud, il s'est concentré sur les charges de travail et les ressources : stockage, bases de données, conteneurs, Kubernetes, fonctions sans serveur et environnements cloud. Bien que le marché de la sécurité dans les nuages atteigne déjà 11 milliards de dollars et connaisse une croissance annuelle de 20 %, selon Gartner, il représente moins de 10 % des dépenses totales consacrées aux nuages publics. L'adoption du cloud ne représentant qu'environ 25 % des dépenses informatiques totales, nous pensons que cela ne fait qu'effleurer la surface de ce que peut être une plateforme de sécurité du cloud.

Dans un monde "cloud-native", les ressources peuvent être des identités, des applications, des points de terminaison API, des secrets, des paquets et des bibliothèques open-source ou des dépôts de code.

La surface d'attaque est étendue et une grande partie du développement a lieu avant que le code ne touche une base de données de production, un seau S3 ou un cluster de conteneurs. En 2022, nous pensons que la sécurité du cloud s'éloignera des ressources pour sécuriser les flux de travail de pré-commissionnement, les pipelines CI, les systèmes de construction, les dépendances et les artefacts.

Dans le contexte du développement de logiciels, les pipelines sont une combinaison de divers composants qui fonctionnent les uns avec les autres pour fournir une intégration et un déploiement efficaces du code du moment de la construction au moment de l'exécution. Ces composants consistent en du code, des référentiels, des artefacts, des bibliothèques, des serveurs de construction, des conteneurs et d'autres outils tiers. Les processus représentent l'acte par lequel ces outils et composants communiquent entre eux.

Alors que les charges de travail natives du nuage comme les microservices, les conteneurs et Kubernetes ont été les principaux moteurs de la transformation numérique pour de nombreuses entreprises, elles ont créé des exploits faciles à manquer car ces systèmes sont désormais des ensembles complexes de logiciels tiers, de bibliothèques open-source, de dépendances et de configurations, tous cousus ensemble dans des pipelines. Par conséquent, le passage à un nuage plus sécurisé implique à la fois la sécurité de la charge de travail et la sécurité du pipeline/processus, et des sociétés comme ChainGuard, Cider Security, Garnet, Cycode et d'autres ouvrent la voie.

Thème 4 : De nouvelles chaînes d'outils de sécurité émergent dans l'apprentissage automatique et la cryptographie.

La plupart des nouvelles chaînes d'outils d'application suivent une évolution similaire. L'infrastructure est construite pour exécuter des applications. L'observabilité est appliquée pour surveiller les performances, la stabilité et la fiabilité des applications. Et à mesure que l'utilisation de ces applications mûrit et qu'elles sont adoptées par les entreprises, la sécurité est intégrée pour garantir le respect de la sécurité, des risques et de la conformité. Alors que les nouvelles chaînes d'outils sont définies par de nouvelles innovations architecturales qui permettent un nouvel ensemble d'applications, la sécurité est ce qui permet à ces applications d'être consommées par les masses.

L'année dernière, nous avons assisté à l'essor de l'économie des API qui a émergé avec Postman* et l'écosystème JAM-stack au niveau de l'infrastructure, et des entreprises comme Noname Security et Salt Security au niveau de la sécurité. Cette année pourrait voir l'essor de l'apprentissage automatique et de la sécurité cryptographique. Comme les applications commencent à être construites sur une nouvelle pile de référence, cela expose de nouveaux vecteurs d'attaque au niveau de la couche d'infrastructure. Des entreprises comme Robust Intelligence et Troj.ai résolvent ce problème pour l'apprentissage automatique. De même, des entreprises comme Kurtosis, Chainalysis et TRM labs ouvrent la voie en matière de crypto et de blockchain.

Thème 5 : Les RSSI obtiennent leur place dans la salle du conseil.

L'ancienneté moyenne d'un responsable de la sécurité (CSO ou CISO) se situe entre 18-26 mois. C'est l'une des plus courtes dans la C-suite, bien que ce rôle ait une immense responsabilité. Alors que la décentralisation des décisions en matière de sécurité suit le chemin qui nous a conduits au SaaS et au travail à distance, la fonction de CISO évoluera vers une fonction stratégique, axée sur les affaires/résultats et visible au niveau du conseil d'administration. Les opérations techniques de sécurité seront fédérées aux développeurs, aux DevOps et aux ingénieurs en sécurité, tandis que les RSSI définiront les programmes de sécurité, quantifieront l'exposition aux risques en dollars et tireront parti de la sécurité, de la confidentialité et de la confiance comme moyen de susciter la bienveillance des clients et des partenaires.

Réflexions finales

Nous pensons que 2022 sera l'année où la cybersécurité passera finalement d'un groupe de produits ponctuels à des plates-formes, la sécurité dans le nuage menant la charge. AWS d'Amazon, Microsoft Azure et Google Cloud génèrent cumulativement 136 milliards de dollars de chiffre d'affaires, avec une croissance de plus de 40 %, selon les dernières annonces de résultats des entreprises. Avec l'adoption du cloud qui ne fait qu'augmenter et qui est à l'origine de la forte croissance durable des logiciels, nous pensons que la cybersécurité en sera un bénéficiaire important. Plus d'applications, plus de charges de travail migrantes et plus de données dans le nuage signifient seulement une plus grande surface d'attaque qui doit être sécurisée. Voici la sécurisation de 2022 et au-delà !

Ce contenu est fourni à titre d'information et ne constitue pas, et ne peut en aucun cas être considéré comme, un conseil juridique, fiscal ou d'investissement ou comme une offre de vente ou une sollicitation d'une offre d'achat d'un intérêt dans un fonds ou un instrument d'investissement géré par Battery Ventures ou toute autre entité de Battery.

Les informations et les données sont en date de la publication, sauf indication contraire.

Le contenu obtenu de sources tierces, bien que considéré comme fiable, n'a pas été vérifié de manière indépendante quant à son exactitude ou son exhaustivité et ne peut être garanti. Battery Ventures n'a aucune obligation de mettre à jour, de modifier ou d'amender le contenu de ce post ni d'avertir ses lecteurs dans le cas où toute information, opinion, projection, prévision ou estimation incluse, changerait ou deviendrait ultérieurement inexacte.

Les informations ci-dessus peuvent contenir des projections ou d'autres déclarations prévisionnelles concernant des événements ou des attentes futurs. Les prédictions, opinions et autres informations discutées dans cette vidéo sont susceptibles d'être modifiées en permanence et sans préavis d'aucune sorte et peuvent ne plus être pertinentes après la date indiquée. Battery Ventures n'assume aucune obligation et ne s'engage pas à mettre à jour les déclarations prospectives.

*Dénote une entreprise de Battery Portefeuille. Pour une liste complète de tous les investissements de Battery, veuillez cliquer ici.

Retour au blog

PARTAGER CET ARTICLE

ARTICLE ÉCRIT PAR

Danel Dayan

Danel est un Principal qui se concentre actuellement sur les investissements en phase de démarrage et Growth Equity dans des domaines tels que l'infrastructure en nuage, le big data, la sécurité et les applications d'entreprise de nouvelle génération.

René Bonvanie

René est un exécutif en résidence basé dans le bureau de Battery à Menlo Park. Cadre opérationnel dans l'industrie technologique depuis 35 ans, il a été aux premières loges de la plupart des grandes transitions technologiques, occupant des postes de direction dans des entreprises de la Silicon Valley telles que Ingres, Oracle, Business Objects, SAP, Salesforce et Palo Alto Networks.

Un bulletin d'information mensuel pour partager de nouvelles idées, des aperçus et des introductions pour aider les entrepreneurs à développer leurs entreprises.

DOMAINES DE COMPÉTENCES

FONCTIONS MÉTIER

Actualité Battery et tendances du marché Études de cas Ressources pour les fondateurs RH et finance Ventes et marketing

Cookie	Duration	Description
AWSELB	session	Associated with Amazon Web Services and created by Elastic Load Balancing, AWSELB cookie is used to manage sticky sessions across production servers.
cookielawinfo-checkbox-advertisement	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Advertisement" category .
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
CookieLawInfoConsent	1 year	CookieYes sets this cookie to record the default button state of the corresponding category and the status of CCPA. It works only in coordination with the primary cookie.
optimizelyRumLB	session	This cookie controls the AWSELB cookie's attributes (e.g., SameSite and Secure).
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.
VISITOR_INFO1_LIVE	5 months 27 days	A cookie set by YouTube to measure bandwidth that determines whether the user gets the new or old player interface.
YSC	session	YSC cookie is set by Youtube and is used to track the views of embedded videos on Youtube pages.
yt-remote-connected-devices	Persistent	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt-remote-device-id	Persistent	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt.innertube::nextId	Persistent	This cookie, set by YouTube, registers a unique ID to store data on what videos from YouTube the user has seen.
yt.innertube::requests	Persistent	This cookie, set by YouTube, registers a unique ID to store data on what videos from YouTube the user has seen.

Cookie	Duration	Description
__cf_bm	30 minutes	This cookie, set by Cloudflare, is used to support Cloudflare Bot Management.
sb	2 years	This cookie is used by Facebook to control its functionalities, collect language settings and share pages.

Cookie	Duration	Description
_gat	1 minute	This cookie is installed by Google Universal Analytics to restrain request rate and thus limit the collection of data on high traffic sites.
AWSELBCORS	session	This cookie is used by Elastic Load Balancing from Amazon Web Services to effectively balance load on the servers.

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.
browser_id	5 years	This cookie is used for identifying the visitor browser on re-visit to the website.
CONSENT	2 years	YouTube sets this cookie via embedded youtube-videos and registers anonymous statistical data.
pvc_visits[0]	1 day	This cookie is created by post-views-counter. This cookie is used to count the number of visits to a post. It also helps in preventing repeat views of a post by a visitor.
vuid	2 years	Vimeo installs this cookie to collect tracking information by setting a unique ID to embed videos to the website.

Cookie	Duration	Description
__Host-GAPS	2 years	This cookie allows the website to identify a user and provide enhanced functionality and personalisation.
fr	3 months	Facebook sets this cookie to show relevant advertisements to users by tracking user behaviour across the web, on sites that have Facebook pixel or Facebook social plugin.
NID	6 months	NID cookie, set by Google, is used for advertising purposes; to limit the number of times the user sees an ad, to mute unwanted ads, and to measure the effectiveness of ads.
test_cookie	15 minutes	doubleclick.net sets this cookie to determine if the user's browser supports cookies.

Cookie	Duration	Description
_cookie_id	session	No description available.
_scribd_session	3 years	No description available.
scribd_ubtc	100 years	No description available.
VISITOR_PRIVACY_METADATA	6 months	Description is currently not available.

SECTEURS

ÉQUIPES

SERVICES