Pour une entreprise en pleine croissance comme SentinelOne, le fait que Google, et non Microsoft, va acquérir l’un de ses principaux partenaires est considéré par le co-fondateur et PDG, Tomer Weingarten, comme une bénédiction.
Bien que SentinelOne soit encore un acteur mineur dans le domaine de la sécurité des points d’extrémité par rapport à ses concurrents CrowdStrike et Microsoft, il est un challenger qu’ils ne peuvent ignorer. Les revenus ont explosé de 109 % au cours du dernier trimestre de cette entreprise spécialisée dans la cybersécurité et l’analyse de données, atteignant 78,3 millions de dollars, un taux de croissance plutôt impressionnant pour une entreprise cotée en bourse depuis près d’une décennie.
Son introduction en bourse l’année dernière a évalué l’entreprise à 8,9 milliards de dollars, ce qui en fait la plus grande introduction en bourse en matière de cybersécurité à ce jour. Des indicateurs montrent que SentinelOne gagne du terrain sur le marché de la sécurité des points d’extrémité plus rapidement que tout autre grand fournisseur.
Cependant, en février, l’entreprise a reçu une nouvelle potentiellement préjudiciable. Le même jour où SentinelOne a annoncé un partenariat avec le fournisseur de réponse aux incidents Mandiant, Bloomberg a rapporté que Microsoft était en pourparlers d’acquisition avec ce leader de la cybersécurité. Cette fusion aurait soulevé des questions sur la priorité que Microsoft accorderait à l’utilisation de ses propres outils de sécurité des points d’extrémité par Mandiant, compliquant potentiellement les relations entre SentinelOne et Mandiant alors qu’elles commençaient tout juste à se développer.
Dans une interview accordée à Protocol, Tomer Weingarten a donné son point de vue sur le finalement accord conclu entre Google et Mandiant. Il a également parlé de l’acceptation croissante, au sein des entreprises, de l’IA/ML pour la sécurité, du rôle central de la détection et de la réponse étendues (XDR) et de la résolvabilité plus élevée des rançongiciels que ne le pense beaucoup de gens.
La concurrence et le positionnement de SentinelOne
Dans le marché des points d’extrémité, Microsoft et CrowdStrike sont clairement les principaux concurrents. Ils proposent des produits et des offres solides. Ce qui nous différencie, et qui est ancré dans nos racines, c’est notre volonté de construire une plateforme entièrement autonome qui détecte et neutralise les attaquants en temps réel, sans intervention humaine. C’est ainsi que nous avons conçu notre plateforme. Nous savions que cela ne pouvait se faire qu’en surveillant chaque charge de travail dans l’environnement de l’entreprise, et nous avons commencé par les points d’extrémité. Ensuite, nous appliquons l’intelligence artificielle ou l’apprentissage automatique pour créer des réponses en temps réel basées sur des algorithmes, et non sur des humains qui tentent de trier les alertes.
La protection des points d’extrémité est évidemment notre marché principal. Mais nous proposons également une protection des charges de travail dans le cloud, ainsi qu’une protection d’identité qui découle de l’acquisition récente d’Attivo Networks. Nous jouons donc dans trois domaines différents de la sécurité. Nous disposons également d’une offre d’analyse des données complète avec près de 400 clients.
L’impact de la stratégie de sécurité de Microsoft
Selon moi, leur stratégie ne sert pas l’industrie de la sécurité, ni la sécurité en général. Je pense que si Microsoft consacrait autant d’efforts à résoudre les vulnérabilités et à améliorer la sécurité de ses propres produits qu’à développer des produits de sécurité pour générer des revenus, nous serions tous dans une bien meilleure situation.
Même avant l’arrivée sérieuse de Microsoft dans la sécurité des points d’extrémité, je disais la même chose au sujet des vulnérabilités de Microsoft. Nous avons constaté les mêmes choses à l’époque.
L’acquisition de Mandiant par Google plutôt que Microsoft
Nous travaillons avec 150 fournisseurs de réponse aux incidents différents. Mandiant n’est qu’un parmi eux. Nous travaillons avec KPMG, nous travaillons avec Kroll. Nous sommes la pile technologique qui leur permet de faire face aux violations. Dans l’ensemble, je suis simplement ravi pour l’équipe de Mandiant qu’elle puisse développer son activité et ce qu’elle fait.
L’autre manière de voir les choses est de regarder comment Google traite cette acquisition. Fondamentalement, ils disent : “Mandiant est là pour travailler avec tous les fournisseurs de sécurité”. Je suis certain que si Microsoft avait acquis Mandiant, ce ne serait pas le message que vous entendriez. Ce serait bien plus une approche de jardin clos.
Les avantages de l’IA/ML pour les équipes de sécurité
Nous disposons d’une technologie automatisée très robuste que nous avons développée au fil du temps. Elle se traduit par la perturbation et la prévention des menaces, et non seulement par la réponse aux menaces. Je pense que c’est là que nous différons de certains de nos concurrents. C’était leur priorité au fil des ans, construire un meilleur mécanisme de réponse. Avec nous, vous pouvez vous débarrasser de votre antivirus existant, vous pouvez vous débarrasser de la pile que vous aviez auparavant. Le système que nous vous proposons fait tout cela. Il met l’accent sur l’autodéfense des attaques avec une technologie autonome. Pour moi, cela restera l’un de nos principaux éléments différenciateurs.
Ensuite, vous pouvez analyser en détail la portée et la profondeur de la plateforme, qui comprend 25 modules différents, couvrant tout, de la sécurité des points d’extrémité à la gestion des points d’extrémité en passant par la sécurité mobile. C’est une solution très complète. Et cela présente déjà une image très différente pour les acheteurs en entreprise. Aujourd’hui, les acheteurs peuvent acheter certains de ces éléments auprès d’autres fournisseurs, mais ce n’est pas une plateforme intégrée qui fait tout le travail pour vous. Il s’agit de composants que vous devez apprendre à utiliser ensemble. Pour nous, nous avons simplement essayé de créer une structure cohérente au sein de votre entreprise. Jusqu’à présent, cela a connu beaucoup de succès.
Les sceptiques de l’IA
Je suis d’accord pour dire que l’IA et l’apprentissage automatique ont été surestimés. On a une vision très romantique de ce qu’est l’IA et l’apprentissage automatique, comme si un robot faisait tout pour vous. Ce n’est pas vraiment le cas. Mais quand nous parlons de l’opérationnalisation de l’IA et de l’apprentissage automatique, je pense que la cybersécurité est l’un des deux domaines de notre vie aujourd’hui qui montrent des résultats significatifs. La cybersécurité et la technologie de conduite autonome sont les deux seuls domaines opérationnels de l’apprentissage automatique indépendant qui produisent des résultats tangibles.
Ne soyons pas trop romantiques à ce sujet : l’IA est simplement la capacité d’avoir un algorithme qui comprend les anomalies et est suffisamment intelligent pour prendre une décision.
Et en matière de cybersécurité, le résultat tangible est que les algorithmes sont capables de discerner si quelque chose est bon ou mauvais, avec un niveau de précision très élevé, et de prendre des mesures. Ils peuvent arrêter quelque chose ou permettre autre chose. Ne soyons pas trop romantiques à ce sujet : l’IA est simplement la capacité d’avoir un algorithme qui comprend les anomalies et est suffisamment intelligent pour prendre une décision. Si c’est “opérationnalisé”, cela signifie que c’est suffisamment précis. Cela peut fonctionner. Dans notre cas, nous sécurisons trois des dix premières entreprises du Fortune, ainsi que certaines des infrastructures les plus critiques qui existent, y compris des agences fédérales. Et si vous y réfléchissez, ce à quoi ils font confiance pour prendre toutes ces décisions – ce qui entre ou non –, c’est l’algorithme.
Les perspectives futures
C’est juste le début. Un nouveau paradigme est vraiment nécessaire, et ce paradigme est en réalité une évolution naturelle de ce que nous avons fait en matière de détection et de réponse des points d’extrémité (EDR) pour sécuriser les ordinateurs portables, les ordinateurs de bureau et les appareils virtuels. Notre mission est maintenant d’étendre cela à tous les actifs que vous possédez au sein de votre entreprise, pour vous permettre de réinventer votre réseau en surveillant tous ces appareils. Et si vous pouvez appliquer l’apprentissage automatique à grande échelle pour chaque partie de l’entreprise, et obtenir une visibilité complète sur tous les actifs que vous avez, c’est le Graal pour réinventer le réseau.
XDR est la technologie et la pile fondamentales qui vous permettraient de prendre le contrôle de tous ces appareils. Et ensuite, une fois que vous les voyez – une fois que vous avez les données télémétriques, une fois que vous savez ce qui se trouve dans votre réseau –, l’étape suivante consiste à appliquer l’apprentissage automatique à grande échelle, de manière à pouvoir contrôler et protéger ces appareils.
La lutte contre les rançongiciels
Je pense que c’est un problème résolvable. Cela prendra probablement une dizaine d’années. Il faudra beaucoup de travail. Vous devrez redémarrer votre réseau. Vous devrez inscrire vos appareils et vos charges de travail dans quelque chose de nouveau. Mais nous donnons de plus en plus d’outils aux gens pour qu’ils puissent repartir à zéro. C’est probablement l’une des seules façons de résoudre les différentes lacunes du réseau moderne.
Je pense également que nous avons fait une différence, collectivement, dans la lutte contre les rançongiciels. Nous avons changé la méthode opératoire des rançongiciels. Aujourd’hui, les rançongiciels ne sont plus seulement destinés à bloquer les appareils. Ils se concentrent davantage sur l’exfiltration de données. Les attaquants ont également changé leur manière de faire et ce sur quoi ils se concentrent. Parce que, surtout dans les environnements EDR plus modernes, il est devenu plus difficile de chiffrer et de bloquer réellement les appareils. Ils se concentrent maintenant sur l’angle des utilisateurs. Ils essaient de manipuler socialement les utilisateurs et de s’attaquer aux informations d’identification, et non aux machines, afin d’exfiltrer les données et de les prendre en otage. Cela représente une grande différence par rapport à il y a un ou deux ans.
Les perspectives économiques
Dans de nombreux cas, nous proposons une pile moderne complète pour remplacer la pile héritée et sur site des entreprises. Lorsque vous achetez quelque chose auprès d’une entreprise comme la nôtre, cela se traduit souvent par une réduction des coûts. Bien que cela se traduise par des dépenses avec nous, cela entraîne également des économies de coûts pour bon nombre de ces entreprises. Ainsi, même dans un contexte macroéconomique plus difficile, ces entreprises cherchent toujours à économiser, à trouver des moyens de réduire les coûts de traitement des données.
Évidemment, le traitement des données a connu une croissance exponentielle. La quantité de données à collecter et à stocker pendant de plus longues périodes de temps a considérablement augmenté. Les solutions existantes pour stocker toutes ces données ont été conçues il y a 10 ou 15 ans. Aujourd’hui, vous pouvez simplement opter pour des solutions beaucoup plus rentables pour stocker ces données. Je pense que bon nombre de ces entreprises se tournent également vers les solutions de nouvelle génération pour réduire les coûts et améliorer l’efficacité de leurs propres activités respectives. C’est évidemment très positif pour nous.