La cybersécurité reste un énorme point sensible pour de nombreuses organisations : L'année dernière, une étude du fournisseur de sécurité historique Palo Alto Networks a révélé que les équipes de sécurité des grandes entreprises utilisent plus de 130 solutions de sécurité distinctes, en moyenne. Lors de la conférence sur la sécurité RSA qui vient de s'achever cette année à San Francisco, plus de 700 fournisseurs et exposants du secteur de la sécurité se sont bousculés pour se partager les esprits. Certaines de ces entreprises fournissent une nouvelle technologie permettant de traiter automatiquement, et non plus manuellement, le nombre croissant de problèmes de sécurité générés par les nouveaux environnements "cloud-native" au sein de nombreuses entreprises, dans lesquels les équipes tirent parti des nouvelles pratiques DevOps et déploient des microservices dans des startups à cloud public et hybride.
Nous pensons que le modèle actuel de sécurité des entreprises n'est pas viable compte tenu de cette évolution vers des pratiques natives du nuage. Avec plus de 40 millions de développeurs sur le seul site GitHub, et des milliards de dollars consacrés aux efforts de transformation numérique menés par les développeurs dans les entreprises de tous les secteurs, il est clair que les développeurs devront aborder de plus en plus de problèmes de sécurité plus tôt dans le cycle de développement des logiciels. En effet, de nombreuses startups émergent aujourd'hui pour aider les développeurs et leurs organisations, et pas seulement les hauts responsables de la sécurité de l'entreprise, à se concentrer sur la sécurité de manière plus proactive.
Nous avons évoqué dans notre rapport OpenCloud 2019 que le passage au cloud augmente la "surface d'attaque" pour les mauvais acteurs - créant de nouvelles vulnérabilités de sécurité pour les organisations, mais aussi de nouvelles opportunités pour les startups qui cherchent à les aider à se défendre. Plus largement, le cloud change la philosophie de l'approche de la sécurité par les entreprises en amenant les développeurs à penser à la sécurité plus tôt, en intégrant les solutions de sécurité plus profondément dans leurs flux de travail et en codifiant la sécurité en tant que code pour que le développement reste rapide.
Comment en sommes-nous arrivés là ?
Historiquement, les responsables de la sécurité des informations (CISO) étaient chargés des décisions d'achat de logiciels de sécurité au sein des entreprises. Ils supervisaient des centres d'opérations de sécurité (SOC) centralisés, qui utilisaient des logiciels de sécurité pour détecter et corriger manuellement les menaces et les vulnérabilités dans toute l'organisation (pensez à la détection de logiciels malveillants sur un réseau, aux brèches dans les pare-feu, à la modification des autorisations d'accès, etc.) Dans un monde où les environnements d'infrastructure étaient statiques et où le processus de développement de logiciels prenait des mois, cette structure était gérable.
Mais lorsque le cloud a décollé, l'infrastructure est devenue dynamique : Le logiciel open-source et les modules logiciels réutilisables sont devenus des éléments de base, et les temps de développement se sont réduits à quelques jours/semaines. Aujourd'hui, le SOC ne doit gérer que les menaces et les vulnérabilités à haut risque qui nécessitent une expertise approfondie en matière de sécurité judiciaire. Le reste des incidents sera automatiquement acheminé vers les développeurs et les équipes DevOps qui disposent du contexte pour remédier aux problèmes. Cela a créé une opportunité pour de nouvelles entreprises de fournir de nouveaux outils plus ciblés pour ces développeurs et équipes DevOps afin de résoudre les problèmes de sécurité.
Les premières entreprises du secteur
La première vague d'entreprises dans ce domaine s'est concentrée sur la sécurisation et le balayage des applications pendant le processus de développement - principalement parce que ces applications étaient génératrices de revenus et nécessitaient une disponibilité et une sécurité élevées. Ces sociétés comprenaient Contrast Security* et des entreprises historiques telles que Veracode et Fortify. Les entreprises commencent également à éduquer de manière proactive les développeurs sur les meilleures pratiques de sécurité en proposant des programmes et des communications personnalisés pour les aider à intégrer la sécurité dans leurs flux de travail. Des entreprises comme Secure Code Warrior ont développé des plates-formes éducatives à cet effet. Bien que ces outils aient été mandatés par les RSSI, ils ont été conçus pour les développeurs et non pour les analystes de la sécurité. Cela signifiait une collaboration approfondie entre le CISO et le directeur de la technologie ("CTO") d'une organisation.
Aujourd'hui, d'autres entreprises proposent des outils qui permettent aux développeurs et aux équipes DevOps d'adopter les solutions de sécurité de manière organique et de les intégrer encore plus profondément dans leurs flux de travail. JFrog*, qui a débuté en tant que dépôt d'artefacts et offre désormais une sécurité continue pour les conteneurs et les artefacts de logiciels, peut se targuer d'une communauté de trois millions de développeurs. Snyk, qui fournit une sécurité de balayage de code pour les bibliothèques et les conteneurs open-source, compte 400 000 développeurs sur sa plate-forme et a levé un financement plus tôt cette année qui valorise la société à plus d'un milliard de dollars.
En outre, comme les équipes DevOps réduisent le temps de mise en production à l'aide de modèles "infrastructure as code" (IaC), la codification des pratiques de sécurité - ou "security as code" (SaC) - fait également partie de leur flux de travail. Des entreprises telles que Styra et HashiCorp Sentinel codifient la remédiation des incidents dans des cadres de politique, tandis que d'autres, comme Bridgecrew, l'automatisent entièrement dans des environnements de construction et d'exécution.
En dehors des entreprises et des équipes de développement, les fournisseurs de cloud computing, historiquement axés sur l'attraction des développeurs, commencent également à intégrer la sécurité dans leurs offres et à prendre la sécurité au sérieux. Github (racheté par Microsoft en 2018 pour 7,5 milliards de dollars) a fait l'acquisition de Semmle et Dependabot pour améliorer la qualité du code et vérifier les fichiers de dépendance pour les exigences dépassées. Palo Alto Networks a dépensé plus d'un milliard de dollars au cours des 24 derniers mois pour des solutions de sécurité natives du nuage telles que Evident.io RedLock, Twistlock, Demisto, et d'autres. En outre, en 2019, le géant du cloud Amazon Web Services a organisé sa première conférence consacrée à la sécurité du cloud : AWS re:Inforce.
Apprentissages et considérations pour les fondateurs
Chez Battery, nous avons passé les dernières années à examiner la transformation de la sécurité et son passage au niveau des développeurs. Nous voyons quelques considérations clés à garder à l'esprit si vous êtes un fondateur qui crée une entreprise axée sur la sécurité pour les développeurs.
Le marché est encore jeune : Nous n'en sommes qu'aux premiers balbutiements de cette transformation de l'industrie. Les grandes entreprises s'appuient encore sur de nombreuses tactiques de sécurité de la vieille école, comme l'emploi de SOC Analyst et le recours à des fournisseurs de services de sécurité gérés. Bien que de plus en plus de responsabilités continuent à être transférées au niveau des développeurs, cela ne se fait pas du jour au lendemain. Par conséquent, il est essentiel qu'en tant que startup de sécurité centrée sur le développeur, l'acheteur vous fasse confiance. Les participations sont beaucoup plus élevées lorsqu'une solution tierce touche le code d'une organisation ou apporte des changements proactifs aux charges de travail et à l'infrastructure. Notre conseil est d'instaurer la confiance avec vos acheteurs potentiels et de veiller à ce que les utilisateurs puissent maintenir leur rythme de développement, soit en vous entourant d'une équipe expérimentée et crédible, en construisant en tenant compte de la facilité de mise en œuvre et de l'auditabilité, en établissant et en engageant la communauté des développeurs dans une forme de relations communautaires par le biais de relations avec les développeurs, et/ou en créant et en contribuant à des projets open source qui soutiennent l'écosystème.
Les équipes de sécurité existeront, mais les responsabilités sont en train de fusionner : Les équipes de sécurité se spécialisent de plus en plus. Certaines des entreprises les plus sophistiquées, comme Netflix, Spotify, Stripe et Airbnb, disposent d'équipes dédiées à la sécurité des applications ou à la sécurité de l'infrastructure en nuage. L'époque où une seule équipe gérait la sécurité de l'ensemble de l'entreprise est révolue. En conséquence, les responsabilités du CISO et du CTO en matière de sécurité s'estompent. Attendez-vous à voir davantage de RSSI et de CTO posséder leur propre budget de sécurité - sachez ce que votre solution de sécurité touchera en fin de compte pour qualifier le bon acheteur.
L'acheteur n'est pas l'utilisateur : Comme il est encore tôt dans cette transformation, il s'agit encore d'une vente à double personnalité. Non seulement vous devrez débloquer le budget du CISO et de l'organisation de sécurité, mais vous devrez également gagner le cœur et l'esprit des développeurs qui utiliseront finalement la solution. En tant que fondateur, assurez-vous d'aligner votre proposition de valeur en conséquence. Nous avons vu certaines entreprises créer des garanties pour les deux personas - l'org de sécurité et l'org technique. Vendez au budget, mais établissez la confiance et montrez le temps de la valeur à l'utilisateur.
Nous pensons que c'est le moment idéal pour être un fondateur qui construit une solution de sécurité centrée sur le développeur. Alors que l'adoption du cloud continue à augmenter - et que le développement de logiciels devient encore plus rapide - de plus en plus de responsabilités en matière de sécurité vont descendre au niveau des développeurs et la sécurité va continuer à être une préoccupation primordiale pour les entreprises, ce qui signifie beaucoup d'opportunités pour les entrepreneurs en sécurité.
Cet article a été initialement publié sur Forbes.
Ce contenu est fourni à titre d'information et ne constitue pas, et ne peut en aucun cas être considéré comme, un conseil juridique, fiscal ou d'investissement ou comme une offre de vente ou une sollicitation d'une offre d'achat d'un intérêt dans un fonds ou un instrument d'investissement géré par Battery Ventures ou toute autre entité de Battery.
Les informations et les données sont en date de la publication, sauf indication contraire.
Le contenu obtenu de sources tierces, bien que considéré comme fiable, n'a pas été vérifié de manière indépendante quant à son exactitude ou son exhaustivité et ne peut être garanti. Battery Ventures n'a aucune obligation de mettre à jour, de modifier ou d'amender le contenu de ce post ni d'avertir ses lecteurs dans le cas où toute information, opinion, projection, prévision ou estimation incluse, changerait ou deviendrait ultérieurement inexacte.
Les informations ci-dessus peuvent contenir des projections ou d'autres déclarations prévisionnelles concernant des événements ou des attentes futurs. Les prédictions, opinions et autres informations discutées dans cette vidéo sont susceptibles d'être modifiées en permanence et sans préavis d'aucune sorte et peuvent ne plus être pertinentes après la date indiquée. Battery Ventures n'assume aucune obligation et ne s'engage pas à mettre à jour les déclarations prospectives.
*Dénote une entreprise de Battery Portefeuille. Pour une liste complète de tous les investissements de Battery, veuillez cliquer ici.
Un bulletin d'information mensuel pour partager de nouvelles idées, des aperçus et des introductions pour aider les entrepreneurs à développer leurs entreprises.