Infonuagique, données et zéro confiance : voilà les aspects de la cybersécurité privilégiés par les investisseurs de capital de risque

En 2020, la cybersécurité a beaucoup attiré les investisseurs, qui y ont injecté des capitaux record de 7,8 milliards de dollars, d’après Crunchbase. Avec l’essor du télétravail, l’ingéniosité grandissante des pirates informatiques et la quantité croissante de données stratégiques stockées dans l’environnement infonuagique, les investissements dans ce domaine resteront abondants durant les années qui viennent.

La destination de ces capitaux a été un thème central d’une table ronde que j’ai animée lors du Sommet sur la cybersécurité de BMO le 25 mai. Axée sur les possibilités d’investissement de capital de risque dans le cyberenvironnement, la discussion a réuni certains des meilleurs spécialistes du secteur :

•Greg Dracon, commandité, 406 Ventures

•Deepak Jeevankumar, directeur général, Dell Capital

•Will Lin, directeur général et cofondateur, ForgePoint Capital

•Prasad Parthasarathi, directeur et chef mondial de la cybersécurité, Cisco Investments

Miser sur le nuage

Chacun des participants à la discussion a sa propre approche de l’investissement en cybersécurité, mais plusieurs d’entre eux observent les mêmes possibilités sur le marché, y compris dans le créneau de la sécurité infonuagique. Bien que des millions de dollars aient déjà été investis dans ce créneau, celui-ci reste fragmenté, sans chef de file incontesté. Comme l’explique Will Lin, « la solution gagnante n’est pas encore évidente, de sorte que je passe beaucoup de temps à réfléchir à la façon dont on peut appliquer la sécurité infonuagique dans différents contextes et marchés verticaux ».

M. Lin voit également des occasions du côté de la sécurité des données, où plusieurs des principales sociétés ont quelques dizaines d’années d’existence. « Le secteur est donc mûr pour l’innovation », souligne-t-il, ajoutant qu’il observe une augmentation du nombre d’entreprises de sécurité des données en démarrage. « Comme l’infonuagique, ce secteur gagne en maturité, évolue et se cristallise, mais il présente encore beaucoup d’incertitude. Il n’existe pas de pratique exemplaire de sécurisation des données dans le monde de l’infonuagique native. »

De son côté, Greg Dracon voit une belle occasion à saisir dans la sécurité des applications infonuagiques. La majorité des services infonuagiques étant gérés par des tiers, comme Microsoft et Amazon, les entreprises tourneront de plus en plus leur attention vers la sécurisation des programmes qu’elles créent. « Le recours aux services infonuagiques réduisant le champ des systèmes à sécuriser, les efforts seront déployés davantage en amont, au niveau des applications, explique-t-il. On accordera donc plus d’importance à la sécurité des applications infonuagiques. »

Faciliter la vie des développeurs

Les outils de développement sont un autre secteur de croissance pour les investisseurs, affirme Deepak Jeevankumar. La technologie imprégnant désormais toutes les activités des entreprises, les sociétés embauchent des développeurs pour créer de nouveaux outils et programmes dans tous les secteurs. Or, bien des développeurs n’abordent pas ce travail de création dans une optique de sécurité. « Comment équiper cette nouvelle génération de développeurs d’outils de sécurité faciles à utiliser, demande-t-il. Nous n’en sommes qu’au début de la phase de sécurité influencée par les développeurs. »

Le fait d’aider les développeurs à intégrer facilement la sécurité dans leur travail s’inscrit dans une tendance plus générale à simplifier l’informatique, ajoute M. Dracon. Auparavant, les acheteurs d’outils de sécurité étaient des « technophiles comme nous », souligne-t-il. Maintenant que l’intérêt pour la sécurité s’étend à l’ensemble du personnel des entreprises, le marketing et les techniques de vente influencent les achats d’outils qui ne dépendent plus des seuls facteurs technologiques. Pour M. Dracon, cela signifie qu’il faut investir dans des outils plus conviviaux. « Maintenant que les outils sont achetés et utilisés par d’autres personnes que les responsables de la sécurité informatique, ils doivent être super faciles à utiliser et à mettre en place. »

Parallèlement, bien des entreprises ont de plus en plus de mal à recruter des spécialistes de la cybersécurité, de sorte que davantage de tâches devront être automatisées, fait remarquer M. Jeevankumar. « Nous devons déterminer où se situe la pénurie de talents dans le secteur de la cybersécurité et quels aspects de cette activité peuvent être automatisés ou améliorés par l’automatisation », précise-t-il.

Un avenir zéro confiance

Les quatre participants ont également insisté sur l’approche zéro confiance, qui considère la confiance comme une vulnérabilité dans le processus de sécurité. Habituellement, une fois qu’un outil de sécurité est confiant qu’un utilisateur est légitime, cette personne peut faire tout ce qu’elle veut à l’intérieur d’un système. Cependant, maintenant que les pirates informatiques ont moins de mal à gagner cette confiance, de plus en plus de sociétés veulent passer à un modèle de vérification dans lequel les utilisateurs doivent prouver leur identité à chaque étape où le système doit déterminer s’il peut leur faire confiance.

Ce concept de zéro confiance représente un virage significatif pour le secteur, commente Prasad Parthasarathi. « Ceci va à l’encontre de tous les principes qui président au fonctionnement de l’environnement informatique depuis une vingtaine d’années, qui consistaient à favoriser les intégrations par la minimisation des privilèges, explique-t-il. La confiance zéro prend ce modèle à rebours et nous oblige à considérer que ces intégrations sont foncièrement contaminées. Au lieu du privilège minimal, nous devons aller vers un accès adaptatif, contextuel et autorisé de façon granulaire. »

Pour M. Lin, qui investit dans les sociétés de sécurité en démarrage, de nouvelles catégories sont synonymes de nouvelles possibilités de placement. « La raison d’être du capital de risque est de créer de nouvelles catégories, de créer de l’innovation, affirme-t-il. Le temps est donc un facteur critique pour ces catégories que nous avons créées. Par exemple, quelqu’un qui aurait tenté de créer une société zéro confiance il y a quelques années aurait éprouvé toutes sortes de difficultés parce que les mentalités n’étaient pas encore préparées à un tel concept. Ainsi, nous passons beaucoup de temps à réfléchir à l’étape où en sont rendus les marchés et à ce que nous pouvons faire pour aider ces marchés à se solidifier à mesure qu’ils se développent. »

De grandes idées

Quand il s’agit de trouver des occasions de placement, les participants s’entendent sur la nécessité de travailler avec des entreprises qui peuvent apporter une solution réelle aux problèmes de sécurité informatique. « Nous investissons dans des gens, et nous cherchons des gens qui sont non seulement au courant des problèmes actuels dans ce domaine, mais également soucieux de prévoir comment les problèmes vont évoluer à la longue, précise M. Dracon. Nous sommes aussi à l’affût des grandes sociétés perturbatrices susceptibles de se muer en plateformes. »

Avant d’investir dans une technologie, M. Jeevankumar doit être convaincu qu’un chef de la sécurité informatique (CSI) la mettra au-dessus de la pile. Idéalement, les entreprises veulent se servir d’un petit nombre d’outils technologiques, mais au fil du temps, elles en utilisent de plus en plus, explique-t-il. C’est pourquoi il doit s’assurer que la société dans laquelle il investit figurera au sommet de la liste des CSI. « Les entreprises affirment toujours vouloir consolider leurs fournisseurs, mais elles ne le font jamais, dit-il. Les CSI sont disposés à faire l’essai de votre société, mais comment les convaincre que votre produit est non seulement essentiel, mais aussi prioritaire pour la sécurité globale de leur entreprise? Nous cherchons des gens capables de convaincre les CSI que tel est le cas. »

Quand il décide d’investir, M. Parthasarathi tient compte de la facilité de déploiement d’une technologie et du temps qu’il faut à la société pour prouver sa valeur. À la vitesse où les décideurs changent dans une entreprise, les fournisseurs ne peuvent se permettre d’avoir un long cycle de vente. « Nous aimons les déploiements élastiques et la valeur facile à démontrer », dit-il en donnant l’exemple de son acquisition récente de la solution de sécurité zéro confiance Duo. « C’est une solution de sécurité que n’importe lequel d’entre nous peut vendre en une semaine, même sans avoir d’expérience dans la vente ».

À l’avenir, M. Jeevankumar s’attend à ce que davantage de sociétés de cybersécurité à plus faible multiple soient acquises par des capitaux privés. De son côté, M. Lin entrevoit plus d’activité dans le segment des centres des opérations de sécurité, où de nombreuses sociétés ont pris de l’importance et génèrent beaucoup de liquidités. « Certaines de ces sociétés seront achetées parce qu’elles peuvent dégager assez facilement des flux de trésorerie positifs, souligne-t-il. Elles confèrent également une forte échelle à leurs acquéreurs. »

M. Parthasarathi s’attend à beaucoup plus de fusions et acquisitions dans le segment des technologies de détection et réponse étendues (XDR). « L’accent sera mis sur l’analytique de la sécurité, la cybercriminalistique et la remise en état, explique-t-il. D’autres secteurs ont besoin des capacités hyperrenforcées de sécurité profonde que les plateformes cultivent depuis des décennies. Cependant, les entreprises en démarrage ont un avantage dans l’analytique et la criminalistique du fait de la rapidité des innovations dans l’intelligence artificielle, l’apprentissage machine et le traitement automatique des langues. Ce segment est mûr pour une activité non organique soutenue. »