Internet Explorer n'est pas pris en charge par notre site web. Pour une expérience plus sécurisée, veuillez utiliser Chrome, Safari, Firefox ou Edge.
Logiciel deep tech
Danel Dayan, René Bonvanie | 28 février 2022
Du code au cloud : Thèmes de sécurité pour 2022 et au-delà
Illustration 237928944 / Alexkalina heureuse © | Dreamstime.com

L'année dernière a été faste pour de nombreuses entreprises technologiques B2B, avec des valorisations qui ont explosé, et les entreprises de cybersécurité n'ont pas fait exception. Security Logiciel a connu une énorme activité de collecte de fonds, les entreprises ayant obtenu 25 milliards de dollars de financement par capital-risque, soit une hausse de 130 % par rapport à l'année précédente. Les six startups de cybersécurité les plus valorisées qui ont levé des fonds en 2021 (ci-dessous) valent aujourd'hui près de 50 milliards de dollars au total. Et les entreprises de sécurité publique, comme SentinelOne et Crowdstrike, ont vu à un moment de l'année leurs actions se négocier à 100 fois leurs revenus.

Alors que nous commençons à naviguer dans une année 2022 plus imprévisible, la sécurité reste un poste budgétaire sur lequel les entreprises ne lésineront probablement pas. L'année dernière a été marquée par une prolifération de cyberattaques. De la brèche de SolarWinds, qui pourrait avoir été téléchargée par 18 000 clients (bien que la société affirme que moins de 100 ont probablement été piratés), à la cyberattaque de Colonial Pipeline qui a menacé un important oléoduc vers la côte Est des États-Unis, en passant par la vulnérabilité de Log4j qui a touché 89 % de tous les environnements informatiques, la cybersécurité était à l'honneur en 2021. Ces menaces ne sont qu'amplifiées par les risques associés au travail hybride et à distance, l'adoption toujours plus importante de logiciels tiers et les nouvelles chaînes d'outils autour de l'apprentissage automatique, de la crypto et de la blockchain, qui élargissent la surface d'attaque. S'ajoutant aux importants troubles géopolitiques, nous pensons que les participations sont plus élevées que jamais, ce qui accroît l'importance des investissements informatiques à l'horizon 2022, la sécurité figurant en tête des listes de priorités.

Ci-dessous, nous synthétisons cinq thèmes et prédictions qui, selon nous, feront progresser la sécurité logicielle en 2022, et nous espérons que cela suscitera un dialogue avec les fondateurs, les investisseurs et les opérateurs du secteur.

2022 Logiciel de sécurité Thèmes & Prédictions

  1. La sécurité évolue pour couvrir quatre catégories majeures qui ressemblent à la pile Logiciel.
  2. La remédiation passe à trois modèles : les flux de travail, les politiques et le triage.
  3. La sécurité du cloud passe des charges de travail aux pipelines et aux processus.
  4. De nouveaux vecteurs et chaînes d'outils d'attaque de sécurité apparaissent dans l'apprentissage automatique et la cryptographie.
  5. Les RSSI obtiennent leur place dans la salle du conseil.

Thème 1 : La sécurité évolue pour couvrir quatre catégories majeures qui ressemblent à la pile de développement de Logiciel.

Le marché mondial des logiciels de sécurité a dépassé 150 milliards de dollars en 2021, avec une croissance de 12 %, selon Gartner. Cela a représenté des dépenses dans des catégories comme la gestion de la posture de sécurité du cloud (CSPM), la gestion des droits d'identité du cloud (CIEM), le service d'accès sécurisé Edge (SASE) et les tests statiques de sécurité des applications (SAST). Bien que le logiciel de sécurité ait une longue histoire avec les acronymes, nous pensons que 2022 sera enfin l'année où le logiciel de sécurité évoluera des produits individuels et ponctuels vers des plateformes de sécurité à part entière qui s'inscrivent dans le processus plus large de développement du logiciel.

À la base, le développement de logiciels se compose d'infrastructures, d'applications, de personnes et de données. La sécurité logicielle sera finalement régie par ces mêmes quatre méga catégories : infrastructure, identité, applications, et données.

Cela signifie que les RSSI achèteront une plateforme de sécurité d'infrastructure en nuage, comme Wiz ou Orca Security par exemple, au lieu d'assembler des produits ponctuels CSPM, CIEM et CWPP. Des approches comme la prévention des pertes de données (DLP) seront subsumées par des plateformes de sécurité des données. La gestion des vulnérabilités sera intégrée dans les plates-formes à travers la pile, car chaque plate-forme adopte des capacités de détection et de remédiation. Et la sécurité du réseau devient à juste titre un pilier essentiel de la sécurité de l'identité. Bien que cela semble être des transitions évidentes dont le marché de la cybersécurité a besoin, nous pensons que les impacts seront profonds.

Nous nous attendons à ce que cette évolution pousse davantage de M&A à créer ces plateformes. Par conséquent, nous pensons qu'il y a une entreprise de 100 milliards de dollars de capitalisation boursière à construire dans chacune de ces quatre catégories. Plus important encore, nous pensons que dans ce changement, les DevOps, les développeurs et les ingénieurs - qui ont été vendus sur la promesse d'outils de sécurité conviviaux pour les développeurs - seront finalement mis en position d'être à la fois les utilisateurs et les acheteurs de plateformes de sécurité, élargissant le budget et la responsabilité de la sécurité dans les entreprises.

Thème 2 : La remédiation passe à trois modèles : flux de travail, politiques et triage.

Une tendance dans laquelle nous avons investi ces deux dernières années est le passage à une sécurité plus centrée sur le développeur et plus consciente du contexte de l'utilisateur. Les alertes sont désormais consommées par les utilisateurs ayant le plus de contexte au sein d'une organisation, qu'il s'agisse de développeurs ou de personnes travaillant dans les services DevOps, IT ou de sécurité. Cela nous a conduit à investir dans Bridgecrew* (racheté par Palo Alto Networks), Styra* et Contrast Security*. L'une des leçons tirées de ces investissements est qu'une sécurité réussie, centrée sur le développeur, associe à la fois des capacités de détection et de remédiation dans le flux de travail des développeurs.

Aujourd'hui, nous entendons le terme "remédiation" dans de nombreux discours d'entreprises. Il est important de souligner que toutes les remédiations ne sont pas créées de la même manière. Le processus de remédiation s'éloigne des listes de vulnérabilités avec différentes cotes de risque pour s'orienter vers trois approches principales : les flux de travail, les politiques et le triage.

La remédiation pilotée par les politiques permet aux produits de sécurité d'effectuer une action en temps réel ou quasi réel en étant en ligne. Il peut s'agir de politiques centrées sur un cas d'utilisation ou de politiques à usage général. Dans les deux cas, le produit effectue lui-même l'assainissement. Bien que nous soyons convaincus que les meilleures plates-formes de leur catégorie combineront à la fois la détection et la remédiation axée sur les politiques, il existe d'autres modèles de remédiation qui continuent à générer une valeur considérable - à savoir les flux de travail et les réseaux de triage. Les flux de travail tels que les produits SOAR (Security Orchestration, Automation and Response) exécutent des tâches automatisées définies par l'homme, telles que l'exécution d'analyses quotidiennes, la recherche de journaux ou le blocage d'e-mails provenant d'une liste d'URL malveillantes. Le triage lance un processus qui est assisté par l'homme. Dans tout le spectre des options de remédiation, un produit effectue la remédiation lui-même ou s'appuie sur un réseau ou un flux de travail pour l'assister. Dans le nuage, où il existe un modèle de responsabilité partagée entre les fournisseurs de nuages comme AWS et Azure et leurs clients, aucun modèle ne fonctionnera pour toutes les situations mais nécessitera la mise en œuvre de politiques, de flux de travail ou de triage.

Thème 3 : La sécurité du cloud passe des charges de travail aux pipelines et aux processus.

Depuis que Gartner a inventé le terme de sécurité du cloud, il s'est concentré sur les charges de travail et les ressources : stockage, bases de données, conteneurs, Kubernetes, fonctions sans serveur et environnements cloud. Bien que le marché de la sécurité dans les nuages atteigne déjà 11 milliards de dollars et connaisse une croissance annuelle de 20 %, selon Gartner, il représente moins de 10 % des dépenses totales consacrées aux nuages publics. L'adoption du cloud ne représentant qu'environ 25 % des dépenses informatiques totales, nous pensons que cela ne fait qu'effleurer la surface de ce que peut être une plateforme de sécurité du cloud.

Dans un monde "cloud-native", les ressources peuvent être des identités, des applications, des points de terminaison API, des secrets, des paquets et des bibliothèques open-source ou des dépôts de code.

La surface d'attaque est étendue et une grande partie du développement a lieu avant que le code ne touche une base de données de production, un seau S3 ou un cluster de conteneurs. En 2022, nous pensons que la sécurité du cloud s'éloignera des ressources pour sécuriser les flux de travail de pré-commissionnement, les pipelines CI, les systèmes de construction, les dépendances et les artefacts.

Dans le contexte du développement de logiciels, les pipelines sont une combinaison de divers composants qui fonctionnent les uns avec les autres pour fournir une intégration et un déploiement efficaces du code du moment de la construction au moment de l'exécution. Ces composants consistent en du code, des référentiels, des artefacts, des bibliothèques, des serveurs de construction, des conteneurs et d'autres outils tiers. Les processus représentent l'acte par lequel ces outils et composants communiquent entre eux.

Alors que les charges de travail natives du nuage comme les microservices, les conteneurs et Kubernetes ont été les principaux moteurs de la transformation numérique pour de nombreuses entreprises, elles ont créé des exploits faciles à manquer car ces systèmes sont désormais des ensembles complexes de logiciels tiers, de bibliothèques open-source, de dépendances et de configurations, tous cousus ensemble dans des pipelines. Par conséquent, le passage à un nuage plus sécurisé implique à la fois la sécurité de la charge de travail et la sécurité du pipeline/processus, et des sociétés comme ChainGuard, Cider Security, Garnet, Cycode et d'autres ouvrent la voie.

Thème 4 : De nouvelles chaînes d'outils de sécurité émergent dans l'apprentissage automatique et la cryptographie.

La plupart des nouvelles chaînes d'outils d'application suivent une évolution similaire. L'infrastructure est construite pour exécuter des applications. L'observabilité est appliquée pour surveiller les performances, la stabilité et la fiabilité des applications. Et à mesure que l'utilisation de ces applications mûrit et qu'elles sont adoptées par les entreprises, la sécurité est intégrée pour garantir le respect de la sécurité, des risques et de la conformité. Alors que les nouvelles chaînes d'outils sont définies par de nouvelles innovations architecturales qui permettent un nouvel ensemble d'applications, la sécurité est ce qui permet à ces applications d'être consommées par les masses.

L'année dernière, nous avons assisté à l'essor de l'économie des API qui a émergé avec Postman* et l'écosystème JAM-stack au niveau de l'infrastructure, et des entreprises comme Noname Security et Salt Security au niveau de la sécurité. Cette année pourrait voir l'essor de l'apprentissage automatique et de la sécurité cryptographique. Comme les applications commencent à être construites sur une nouvelle pile de référence, cela expose de nouveaux vecteurs d'attaque au niveau de la couche d'infrastructure. Des entreprises comme Robust Intelligence et Troj.ai résolvent ce problème pour l'apprentissage automatique. De même, des entreprises comme Kurtosis, Chainalysis et TRM labs ouvrent la voie en matière de crypto et de blockchain.

Thème 5 : Les RSSI obtiennent leur place dans la salle du conseil.

L'ancienneté moyenne d'un responsable de la sécurité (CSO ou CISO) se situe entre 18-26 mois. C'est l'une des plus courtes dans la C-suite, bien que ce rôle ait une immense responsabilité. Alors que la décentralisation des décisions en matière de sécurité suit le chemin qui nous a conduits au SaaS et au travail à distance, la fonction de CISO évoluera vers une fonction stratégique, axée sur les affaires/résultats et visible au niveau du conseil d'administration. Les opérations techniques de sécurité seront fédérées aux développeurs, aux DevOps et aux ingénieurs en sécurité, tandis que les RSSI définiront les programmes de sécurité, quantifieront l'exposition aux risques en dollars et tireront parti de la sécurité, de la confidentialité et de la confiance comme moyen de susciter la bienveillance des clients et des partenaires.

Réflexions finales

Nous pensons que 2022 sera l'année où la cybersécurité passera finalement d'un groupe de produits ponctuels à des plates-formes, la sécurité dans le nuage menant la charge. AWS d'Amazon, Microsoft Azure et Google Cloud génèrent cumulativement 136 milliards de dollars de chiffre d'affaires, avec une croissance de plus de 40 %, selon les dernières annonces de résultats des entreprises. Avec l'adoption du cloud qui ne fait qu'augmenter et qui est à l'origine de la forte croissance durable des logiciels, nous pensons que la cybersécurité en sera un bénéficiaire important. Plus d'applications, plus de charges de travail migrantes et plus de données dans le nuage signifient seulement une plus grande surface d'attaque qui doit être sécurisée. Voici la sécurisation de 2022 et au-delà !

Ce contenu est fourni à titre d'information et ne constitue pas, et ne peut en aucun cas être considéré comme, un conseil juridique, fiscal ou d'investissement ou comme une offre de vente ou une sollicitation d'une offre d'achat d'un intérêt dans un fonds ou un instrument d'investissement géré par Battery Ventures ou toute autre entité de Battery. 

Les informations et les données sont en date de la publication, sauf indication contraire.

Le contenu obtenu de sources tierces, bien que considéré comme fiable, n'a pas été vérifié de manière indépendante quant à son exactitude ou son exhaustivité et ne peut être garanti. Battery Ventures n'a aucune obligation de mettre à jour, de modifier ou d'amender le contenu de ce post ni d'avertir ses lecteurs dans le cas où toute information, opinion, projection, prévision ou estimation incluse, changerait ou deviendrait ultérieurement inexacte.

Les informations ci-dessus peuvent contenir des projections ou d'autres déclarations prévisionnelles concernant des événements ou des attentes futurs. Les prédictions, opinions et autres informations discutées dans cette vidéo sont susceptibles d'être modifiées en permanence et sans préavis d'aucune sorte et peuvent ne plus être pertinentes après la date indiquée. Battery Ventures n'assume aucune obligation et ne s'engage pas à mettre à jour les déclarations prospectives.

*Dénote une entreprise de Battery Portefeuille. Pour une liste complète de tous les investissements de Battery, veuillez cliquer ici.

Retour au blog
Articles connexes