Infonuagique, données et zéro confiance : voilà les aspects de la cybersécurité privilégiés par les investisseurs de capital de risque
- Courriel
-
Signet
-
Imprimer
En 2020, la cybersécurité a beaucoup attiré les investisseurs, qui y ont injecté des capitaux record de 7,8 milliards de dollars, d’après Crunchbase. Avec l’essor du télétravail, l’ingéniosité grandissante des pirates informatiques et la quantité croissante de données stratégiques stockées dans l’environnement infonuagique, les investissements dans ce domaine resteront abondants durant les années qui viennent.
La destination de ces capitaux a été un thème central d’une table ronde que j’ai animée lors du Sommet sur la cybersécurité de BMO le 25 mai. Axée sur les possibilités d’investissement de capital de risque dans le cyberenvironnement, la discussion a réuni certains des meilleurs spécialistes du secteur :
•Greg Dracon, commandité, 406 Ventures
•Deepak Jeevankumar, directeur général, Dell Capital
•Will Lin, directeur général et cofondateur, ForgePoint Capital
•Prasad Parthasarathi, directeur et chef mondial de la cybersécurité, Cisco Investments
Miser sur le nuage
Chacun des participants à la discussion a sa propre approche de l’investissement en cybersécurité, mais plusieurs d’entre eux observent les mêmes possibilités sur le marché, y compris dans le créneau de la sécurité infonuagique. Bien que des millions de dollars aient déjà été investis dans ce créneau, celui-ci reste fragmenté, sans chef de file incontesté. Comme l’explique Will Lin, « la solution gagnante n’est pas encore évidente, de sorte que je passe beaucoup de temps à réfléchir à la façon dont on peut appliquer la sécurité infonuagique dans différents contextes et marchés verticaux ».
M. Lin voit également des occasions du côté de la sécurité des données, où plusieurs des principales sociétés ont quelques dizaines d’années d’existence. « Le secteur est donc mûr pour l’innovation », souligne-t-il, ajoutant qu’il observe une augmentation du nombre d’entreprises de sécurité des données en démarrage. « Comme l’infonuagique, ce secteur gagne en maturité, évolue et se cristallise, mais il présente encore beaucoup d’incertitude. Il n’existe pas de pratique exemplaire de sécurisation des données dans le monde de l’infonuagique native. »
De son côté, Greg Dracon voit une belle occasion à saisir dans la sécurité des applications infonuagiques. La majorité des services infonuagiques étant gérés par des tiers, comme Microsoft et Amazon, les entreprises tourneront de plus en plus leur attention vers la sécurisation des programmes qu’elles créent. « Le recours aux services infonuagiques réduisant le champ des systèmes à sécuriser, les efforts seront déployés davantage en amont, au niveau des applications, explique-t-il. On accordera donc plus d’importance à la sécurité des applications infonuagiques. »
Faciliter la vie des développeurs
Les outils de développement sont un autre secteur de croissance pour les investisseurs, affirme Deepak Jeevankumar. La technologie imprégnant désormais toutes les activités des entreprises, les sociétés embauchent des développeurs pour créer de nouveaux outils et programmes dans tous les secteurs. Or, bien des développeurs n’abordent pas ce travail de création dans une optique de sécurité. « Comment équiper cette nouvelle génération de développeurs d’outils de sécurité faciles à utiliser, demande-t-il. Nous n’en sommes qu’au début de la phase de sécurité influencée par les développeurs. »
Le fait d’aider les développeurs à intégrer facilement la sécurité dans leur travail s’inscrit dans une tendance plus générale à simplifier l’informatique, ajoute M. Dracon. Auparavant, les acheteurs d’outils de sécurité étaient des « technophiles comme nous », souligne-t-il. Maintenant que l’intérêt pour la sécurité s’étend à l’ensemble du personnel des entreprises, le marketing et les techniques de vente influencent les achats d’outils qui ne dépendent plus des seuls facteurs technologiques. Pour M. Dracon, cela signifie qu’il faut investir dans des outils plus conviviaux. « Maintenant que les outils sont achetés et utilisés par d’autres personnes que les responsables de la sécurité informatique, ils doivent être super faciles à utiliser et à mettre en place. »
Parallèlement, bien des entreprises ont de plus en plus de mal à recruter des spécialistes de la cybersécurité, de sorte que davantage de tâches devront être automatisées, fait remarquer M. Jeevankumar. « Nous devons déterminer où se situe la pénurie de talents dans le secteur de la cybersécurité et quels aspects de cette activité peuvent être automatisés ou améliorés par l’automatisation », précise-t-il.
Un avenir zéro confiance
Les quatre participants ont également insisté sur l’approche zéro confiance, qui considère la confiance comme une vulnérabilité dans le processus de sécurité. Habituellement, une fois qu’un outil de sécurité est confiant qu’un utilisateur est légitime, cette personne peut faire tout ce qu’elle veut à l’intérieur d’un système. Cependant, maintenant que les pirates informatiques ont moins de mal à gagner cette confiance, de plus en plus de sociétés veulent passer à un modèle de vérification dans lequel les utilisateurs doivent prouver leur identité à chaque étape où le système doit déterminer s’il peut leur faire confiance.
Ce concept de zéro confiance représente un virage significatif pour le secteur, commente Prasad Parthasarathi. « Ceci va à l’encontre de tous les principes qui président au fonctionnement de l’environnement informatique depuis une vingtaine d’années, qui consistaient à favoriser les intégrations par la minimisation des privilèges, explique-t-il. La confiance zéro prend ce modèle à rebours et nous oblige à considérer que ces intégrations sont foncièrement contaminées. Au lieu du privilège minimal, nous devons aller vers un accès adaptatif, contextuel et autorisé de façon granulaire. »
Pour M. Lin, qui investit dans les sociétés de sécurité en démarrage, de nouvelles catégories sont synonymes de nouvelles possibilités de placement. « La raison d’être du capital de risque est de créer de nouvelles catégories, de créer de l’innovation, affirme-t-il. Le temps est donc un facteur critique pour ces catégories que nous avons créées. Par exemple, quelqu’un qui aurait tenté de créer une société zéro confiance il y a quelques années aurait éprouvé toutes sortes de difficultés parce que les mentalités n’étaient pas encore préparées à un tel concept. Ainsi, nous passons beaucoup de temps à réfléchir à l’étape où en sont rendus les marchés et à ce que nous pouvons faire pour aider ces marchés à se solidifier à mesure qu’ils se développent. »
De grandes idées
Quand il s’agit de trouver des occasions de placement, les participants s’entendent sur la nécessité de travailler avec des entreprises qui peuvent apporter une solution réelle aux problèmes de sécurité informatique. « Nous investissons dans des gens, et nous cherchons des gens qui sont non seulement au courant des problèmes actuels dans ce domaine, mais également soucieux de prévoir comment les problèmes vont évoluer à la longue, précise M. Dracon. Nous sommes aussi à l’affût des grandes sociétés perturbatrices susceptibles de se muer en plateformes. »
Avant d’investir dans une technologie, M. Jeevankumar doit être convaincu qu’un chef de la sécurité informatique (CSI) la mettra au-dessus de la pile. Idéalement, les entreprises veulent se servir d’un petit nombre d’outils technologiques, mais au fil du temps, elles en utilisent de plus en plus, explique-t-il. C’est pourquoi il doit s’assurer que la société dans laquelle il investit figurera au sommet de la liste des CSI. « Les entreprises affirment toujours vouloir consolider leurs fournisseurs, mais elles ne le font jamais, dit-il. Les CSI sont disposés à faire l’essai de votre société, mais comment les convaincre que votre produit est non seulement essentiel, mais aussi prioritaire pour la sécurité globale de leur entreprise? Nous cherchons des gens capables de convaincre les CSI que tel est le cas. »
Quand il décide d’investir, M. Parthasarathi tient compte de la facilité de déploiement d’une technologie et du temps qu’il faut à la société pour prouver sa valeur. À la vitesse où les décideurs changent dans une entreprise, les fournisseurs ne peuvent se permettre d’avoir un long cycle de vente. « Nous aimons les déploiements élastiques et la valeur facile à démontrer », dit-il en donnant l’exemple de son acquisition récente de la solution de sécurité zéro confiance Duo. « C’est une solution de sécurité que n’importe lequel d’entre nous peut vendre en une semaine, même sans avoir d’expérience dans la vente ».
À l’avenir, M. Jeevankumar s’attend à ce que davantage de sociétés de cybersécurité à plus faible multiple soient acquises par des capitaux privés. De son côté, M. Lin entrevoit plus d’activité dans le segment des centres des opérations de sécurité, où de nombreuses sociétés ont pris de l’importance et génèrent beaucoup de liquidités. « Certaines de ces sociétés seront achetées parce qu’elles peuvent dégager assez facilement des flux de trésorerie positifs, souligne-t-il. Elles confèrent également une forte échelle à leurs acquéreurs. »
M. Parthasarathi s’attend à beaucoup plus de fusions et acquisitions dans le segment des technologies de détection et réponse étendues (XDR). « L’accent sera mis sur l’analytique de la sécurité, la cybercriminalistique et la remise en état, explique-t-il. D’autres secteurs ont besoin des capacités hyperrenforcées de sécurité profonde que les plateformes cultivent depuis des décennies. Cependant, les entreprises en démarrage ont un avantage dans l’analytique et la criminalistique du fait de la rapidité des innovations dans l’intelligence artificielle, l’apprentissage machine et le traitement automatique des langues. Ce segment est mûr pour une activité non organique soutenue. »
- Temps de lecture
- Écouter Arrêter
- Agrandir | Réduire le texte
En 2020, la cybersécurité a beaucoup attiré les investisseurs, qui y ont injecté des capitaux record de 7,8 milliards de dollars, d’après Crunchbase. Avec l’essor du télétravail, l’ingéniosité grandissante des pirates informatiques et la quantité croissante de données stratégiques stockées dans l’environnement infonuagique, les investissements dans ce domaine resteront abondants durant les années qui viennent.
La destination de ces capitaux a été un thème central d’une table ronde que j’ai animée lors du Sommet sur la cybersécurité de BMO le 25 mai. Axée sur les possibilités d’investissement de capital de risque dans le cyberenvironnement, la discussion a réuni certains des meilleurs spécialistes du secteur :
•Greg Dracon, commandité, 406 Ventures
•Deepak Jeevankumar, directeur général, Dell Capital
•Will Lin, directeur général et cofondateur, ForgePoint Capital
•Prasad Parthasarathi, directeur et chef mondial de la cybersécurité, Cisco Investments
Miser sur le nuage
Chacun des participants à la discussion a sa propre approche de l’investissement en cybersécurité, mais plusieurs d’entre eux observent les mêmes possibilités sur le marché, y compris dans le créneau de la sécurité infonuagique. Bien que des millions de dollars aient déjà été investis dans ce créneau, celui-ci reste fragmenté, sans chef de file incontesté. Comme l’explique Will Lin, « la solution gagnante n’est pas encore évidente, de sorte que je passe beaucoup de temps à réfléchir à la façon dont on peut appliquer la sécurité infonuagique dans différents contextes et marchés verticaux ».
M. Lin voit également des occasions du côté de la sécurité des données, où plusieurs des principales sociétés ont quelques dizaines d’années d’existence. « Le secteur est donc mûr pour l’innovation », souligne-t-il, ajoutant qu’il observe une augmentation du nombre d’entreprises de sécurité des données en démarrage. « Comme l’infonuagique, ce secteur gagne en maturité, évolue et se cristallise, mais il présente encore beaucoup d’incertitude. Il n’existe pas de pratique exemplaire de sécurisation des données dans le monde de l’infonuagique native. »
De son côté, Greg Dracon voit une belle occasion à saisir dans la sécurité des applications infonuagiques. La majorité des services infonuagiques étant gérés par des tiers, comme Microsoft et Amazon, les entreprises tourneront de plus en plus leur attention vers la sécurisation des programmes qu’elles créent. « Le recours aux services infonuagiques réduisant le champ des systèmes à sécuriser, les efforts seront déployés davantage en amont, au niveau des applications, explique-t-il. On accordera donc plus d’importance à la sécurité des applications infonuagiques. »
Faciliter la vie des développeurs
Les outils de développement sont un autre secteur de croissance pour les investisseurs, affirme Deepak Jeevankumar. La technologie imprégnant désormais toutes les activités des entreprises, les sociétés embauchent des développeurs pour créer de nouveaux outils et programmes dans tous les secteurs. Or, bien des développeurs n’abordent pas ce travail de création dans une optique de sécurité. « Comment équiper cette nouvelle génération de développeurs d’outils de sécurité faciles à utiliser, demande-t-il. Nous n’en sommes qu’au début de la phase de sécurité influencée par les développeurs. »
Le fait d’aider les développeurs à intégrer facilement la sécurité dans leur travail s’inscrit dans une tendance plus générale à simplifier l’informatique, ajoute M. Dracon. Auparavant, les acheteurs d’outils de sécurité étaient des « technophiles comme nous », souligne-t-il. Maintenant que l’intérêt pour la sécurité s’étend à l’ensemble du personnel des entreprises, le marketing et les techniques de vente influencent les achats d’outils qui ne dépendent plus des seuls facteurs technologiques. Pour M. Dracon, cela signifie qu’il faut investir dans des outils plus conviviaux. « Maintenant que les outils sont achetés et utilisés par d’autres personnes que les responsables de la sécurité informatique, ils doivent être super faciles à utiliser et à mettre en place. »
Parallèlement, bien des entreprises ont de plus en plus de mal à recruter des spécialistes de la cybersécurité, de sorte que davantage de tâches devront être automatisées, fait remarquer M. Jeevankumar. « Nous devons déterminer où se situe la pénurie de talents dans le secteur de la cybersécurité et quels aspects de cette activité peuvent être automatisés ou améliorés par l’automatisation », précise-t-il.
Un avenir zéro confiance
Les quatre participants ont également insisté sur l’approche zéro confiance, qui considère la confiance comme une vulnérabilité dans le processus de sécurité. Habituellement, une fois qu’un outil de sécurité est confiant qu’un utilisateur est légitime, cette personne peut faire tout ce qu’elle veut à l’intérieur d’un système. Cependant, maintenant que les pirates informatiques ont moins de mal à gagner cette confiance, de plus en plus de sociétés veulent passer à un modèle de vérification dans lequel les utilisateurs doivent prouver leur identité à chaque étape où le système doit déterminer s’il peut leur faire confiance.
Ce concept de zéro confiance représente un virage significatif pour le secteur, commente Prasad Parthasarathi. « Ceci va à l’encontre de tous les principes qui président au fonctionnement de l’environnement informatique depuis une vingtaine d’années, qui consistaient à favoriser les intégrations par la minimisation des privilèges, explique-t-il. La confiance zéro prend ce modèle à rebours et nous oblige à considérer que ces intégrations sont foncièrement contaminées. Au lieu du privilège minimal, nous devons aller vers un accès adaptatif, contextuel et autorisé de façon granulaire. »
Pour M. Lin, qui investit dans les sociétés de sécurité en démarrage, de nouvelles catégories sont synonymes de nouvelles possibilités de placement. « La raison d’être du capital de risque est de créer de nouvelles catégories, de créer de l’innovation, affirme-t-il. Le temps est donc un facteur critique pour ces catégories que nous avons créées. Par exemple, quelqu’un qui aurait tenté de créer une société zéro confiance il y a quelques années aurait éprouvé toutes sortes de difficultés parce que les mentalités n’étaient pas encore préparées à un tel concept. Ainsi, nous passons beaucoup de temps à réfléchir à l’étape où en sont rendus les marchés et à ce que nous pouvons faire pour aider ces marchés à se solidifier à mesure qu’ils se développent. »
De grandes idées
Quand il s’agit de trouver des occasions de placement, les participants s’entendent sur la nécessité de travailler avec des entreprises qui peuvent apporter une solution réelle aux problèmes de sécurité informatique. « Nous investissons dans des gens, et nous cherchons des gens qui sont non seulement au courant des problèmes actuels dans ce domaine, mais également soucieux de prévoir comment les problèmes vont évoluer à la longue, précise M. Dracon. Nous sommes aussi à l’affût des grandes sociétés perturbatrices susceptibles de se muer en plateformes. »
Avant d’investir dans une technologie, M. Jeevankumar doit être convaincu qu’un chef de la sécurité informatique (CSI) la mettra au-dessus de la pile. Idéalement, les entreprises veulent se servir d’un petit nombre d’outils technologiques, mais au fil du temps, elles en utilisent de plus en plus, explique-t-il. C’est pourquoi il doit s’assurer que la société dans laquelle il investit figurera au sommet de la liste des CSI. « Les entreprises affirment toujours vouloir consolider leurs fournisseurs, mais elles ne le font jamais, dit-il. Les CSI sont disposés à faire l’essai de votre société, mais comment les convaincre que votre produit est non seulement essentiel, mais aussi prioritaire pour la sécurité globale de leur entreprise? Nous cherchons des gens capables de convaincre les CSI que tel est le cas. »
Quand il décide d’investir, M. Parthasarathi tient compte de la facilité de déploiement d’une technologie et du temps qu’il faut à la société pour prouver sa valeur. À la vitesse où les décideurs changent dans une entreprise, les fournisseurs ne peuvent se permettre d’avoir un long cycle de vente. « Nous aimons les déploiements élastiques et la valeur facile à démontrer », dit-il en donnant l’exemple de son acquisition récente de la solution de sécurité zéro confiance Duo. « C’est une solution de sécurité que n’importe lequel d’entre nous peut vendre en une semaine, même sans avoir d’expérience dans la vente ».
À l’avenir, M. Jeevankumar s’attend à ce que davantage de sociétés de cybersécurité à plus faible multiple soient acquises par des capitaux privés. De son côté, M. Lin entrevoit plus d’activité dans le segment des centres des opérations de sécurité, où de nombreuses sociétés ont pris de l’importance et génèrent beaucoup de liquidités. « Certaines de ces sociétés seront achetées parce qu’elles peuvent dégager assez facilement des flux de trésorerie positifs, souligne-t-il. Elles confèrent également une forte échelle à leurs acquéreurs. »
M. Parthasarathi s’attend à beaucoup plus de fusions et acquisitions dans le segment des technologies de détection et réponse étendues (XDR). « L’accent sera mis sur l’analytique de la sécurité, la cybercriminalistique et la remise en état, explique-t-il. D’autres secteurs ont besoin des capacités hyperrenforcées de sécurité profonde que les plateformes cultivent depuis des décennies. Cependant, les entreprises en démarrage ont un avantage dans l’analytique et la criminalistique du fait de la rapidité des innovations dans l’intelligence artificielle, l’apprentissage machine et le traitement automatique des langues. Ce segment est mûr pour une activité non organique soutenue. »
Propos tenus lors du Sommet sur la cybersécurité de BMO
PARTIE 1
Le nouveau visage des risques de cybersécurité
10 juin 2021
Les spécialistes de la cybersécurité ont du pain sur la planche – avec plus de télétravailleurs et…
PARTIE 3
Principales tendances liées à la technologie et aux affaires en 2021
19 mai 2021
Le moins qu’on puisse dire, c’est que les 14 derniers mois ont été une période intéressante et…
Autre contenu intéressant
Pourquoi chaque organisation a besoin d’une stratégie en matière d’intégrité des données
Géopolitique et intelligence artificielle générative : une tempête de cybersécurité se prépare-t-elle?
Les cybercriminels ciblent votre argent à l’aide de l’intelligence artificielle
Comment la NASA et IBM utilisent les données géospatiales et l’intelligence artificielle pour analyser les risques climatiques
Comment les entreprises peuvent utiliser l’IA pour améliorer (mais non remplacer) le travail humain
Trésorerie nouvelle génération : Protéger son organisation contre une attaque à la cybersécurité
Article d’opinion : Les entreprises et les organismes communautaires doivent unir leurs efforts pour combattre la pauvreté
Problèmes de la chaîne d’approvisionnement : le bien-être des fournisseurs au cœur des préoccupations
Capital-investissement : Déployer les capitaux dans la nouvelle normalité
L’état actuel et futur de la chaîne d’approvisionnement mondiale
Les changements radicaux causés par le variant Omicron et la pandémie – Mise à jour sur la situation sanitaire et la biopharmaceutique
Le variant Omicron – Perspectives sur la santé et les marchés
Le meilleur des deux mondes : L’avenir du travail sur les marchés des capitaux
Des spécialistes de BMO discutent des résultats des élections canadiennes
De formidables nouveaux facteurs donnent les moyens de croître aux activités de fusion et d’acquisition aux États-Unis
COVID-19 : Les 100 premiers jours de Joe Biden : vers la reprise
Biggest Trends in Food and Ag, From ESG to Inflation to the Supply Chain
One Year Later: Lessons Learned in the Food Supply Chain
Banques centrales, changements climatiques et leadership : Forum annuel destiné aux femmes œuvrant dans le secteur des titres à revenu fixe, devises et produits de base
L’appétit croissant pour l’investissement dans un but précis dans les valeurs à revenu fixe par Magali Gable
BMO annonce un don de 250 000 $ aux organisations qui soutiennent les efforts de secours d'urgence mondiale contre la COVID-19
Budget fédéral de 2021 : Dépenser en vue de l’immunité et au-delà
Le grand saut dans la dette – Comment les détaillants ont emprunté pour rester à flot durant la COVID
Le Canada pourrait connaître son plus fort rebond économique en un demi-siècle, mais il faut viser une reprise équitable, d’après une table ronde
IN Tune: Commodity Pointers From China's Big Policy Meeting
Mise à jour à l’intention de nos clients : Une année d’adversité, de résilience et de croissance
Diriger avec résilience : Points saillants du Forum à l’intention des femmes dirigeantes de BMO
Conversation avec Ian Bremmer : La pandémie et le paysage géopolitique en évolution
IN Tune: ESG Performance in the Canadian Real Estate Industry
Gestion des flux de trésorerie de la prochaine génération : votre feuille de route de la transformation numérique
La Pandémie, D’aujourd’hui A Demain - Entretiens avec les spécialistes
Perspectives des marchés américain et canadien 2021 – Spécialistes de BMO
The Evolution of Corporate Purpose and Pandemic: The Great Accelerator
Premiers résultats des élections américaines : Ce que nous savons
L’année 2020 façonnera toute une génération - Entretiens avec les spécialistes
La vie de tous les jours a changé - Entretiens avec les spécialistes
Episode 25: Achieving Sustainability In The Food Production System
L’évolution du processus démocratique - Entretiens avec les spécialistes
La transformation du milieu de travail - Entretiens avec les spécialistes
La COVID 19 souligne une évolution des systèmes de négociation électroniques
L’essor de l’apprentissage virtuel - Entretiens avec les spécialistes
Comment optimiser les liquidités dans un contexte incertain
Faire le point sur la situation avec vos gens - Entretiens avec les spécialistes
Entretien avec Jared Diamond : la COVID-19, une crise prometteuse
Changer les perceptions à propos du secteur canadien du pétrole et du gaz
Résurgence de l’épidémie de COVID-19 aux États-Unis : Dr Eric Feigl-Ding, épidémiologiste
The E-commerce and CPG Implications of COVID-19
Le chemin du rétablissement de la demande mondiale pétrolière et gazière sera long : Rystad Energy
Episode 16: Covid-19 Implications and ESG Funds with Jon Hale
Inside Stories: Gabriela Herman – Professional Photographer
Sonder les profondeurs de la récession imputable à la COVID-19
Effets de la crise de la COVID-19 sur le secteur des technologies et des logiciels
Une mise à jour destinée à nos clients : Travailler pendant et après la pandémie
Données critiques – Des tests, des tests, et encore plus de tests
Technology and Software: How COVID Will Change Remote Work Forever
Inside Stories: Both a Major League Athlete and a Stay-at-Home Dad
Résultats du sondage de l’Association for Financial Professionals (AFP) sur la réaction des trésoriers à la COVID-19
Rapport spécial de BMO sur l'économie post-pandémique : combler les écarts
Precedents can help us understand this unprecedented crisis
Leadership and Long-Run Experience in a Time of Radical Uncertainty
La COVID-19 met en lumière l’importance de solides pratiques en matière de gestion de la liquidité et de prévention de la fraude
Le pic de la pandémie de COVID-19 en vue grâce aux mesures d’atténuation
Discussion avec le chef de la direction de BMO : Comprendre les conséquences de la COVID-19
Les experts de BMO s’expriment : Répercussions économiques et sociales de la COVID-19
Les mesures de relance publiques ralentiront la chute, mais n’empêcheront pas la récession
COVID-19: Reshaping the restaurant industry, today and tomorrow
Les prochaines semaines seront déterminantes dans la lutte contre la COVID-19
Contenir la propagation de la COVID-19 – Y a-t-il des raisons d’être optimiste?
Les six grandes banques canadiennes prennent des mesures décisives pour soutenir leurs clients affectés par la COVID-19