Au-delà des acronymes de l’industrie : Explorer les tendances en matière de cybersécurité avant la conférence RSA 2024 

Comme dans toute industrie, la cybersécurité évolue en fonction des tendances du marché qui orientent l’innovation et le développement technologique. Tel qu’indiqué dans notre rapport 2023 sur l’état du logiciel canadien, la pandémie de la COVID-19, l’adoption généralisée de modèles de travail hybrides et à distance, l’émergence de l’IA générative et d’autres facteurs influents ont eu un impact considérable sur tous les secteurs, y compris celui de la cybersécurité. En tant qu’investisseurs en phase de démarrage spécialisés en cybersécurité, nous avons la chance d’explorer comment ces tendances influencent de nouveaux modèles d’affaires et technologies, impactant conjointement la sécurité dans les secteurs privé et public. 

Ces dernières années, la cybersécurité est passée d’une préoccupation périphérique pour certaines industries à cet outil critique que les organisations de toutes tailles et de tous secteurs ne peuvent plus se permettre de négliger (voir figure i, en anglais seulement). Pourtant, face à cette complexité en constante évolution, il peut être difficile pour les acteurs du secteur de naviguer sur le marché de la cybersécurité et d’identifier les priorités les plus importantes. 

Notre travail d’investisseur nous amène à chercher constamment à comprendre les besoins urgents en matière de sécurité du point de vue des responsables de la sécurité de l’information (CISO) et à anticiper l’affectation de leurs budgets. En nous appuyant sur nos discussions avec notre réseau de professionnels de la cybersécurité et sur les publications du secteur, nous avons voulu partager nos points de vue sur quatre thèmes essentiels qui façonneront le paysage de la cybersécurité en 2024. 

Figure i | Select high-profile data breaches of 2023

VictimAttack SummaryImpact
MailChimp• An unauthorized actor accessed MailChimp’s tools used by teams interacting with customers• Data was compromised for 133 MailChimp enterprise customers
Activision• Attackers gained access to the internal systems through an SMS phishing attack on an employee• Bad actors were able to obtain sensitive workplace documents and employee information
ChatGPT• The data breach was caused by a bug in the Redis open-source library, which led to the exposure of other users’ personal information• The breach potentially revealed information (e.g., email addresses, last four digits of credit cards) about 1.2% of ChatGPT Plus subscribers
Shields Healthcare• The data breach involved unauthorized access to Shield’s systems• Attackers accessed a wide range of sensitive patient information / confidential data of 2.3 million people
MOVEit• The breach involved a zero-day vulnerability in MOVEit Transfer, which allowed attackers to raid MOVEit Transfer servers and steal customers’ sensitive data• As of August 2023, over 1,000 victim organizations and more than 60 million individuals were impacted
• Total estimated cost of ~$10B. This figure could potentially scale to at least $65B
Indonesian Immigration• The data breach involved the unauthorized access and leakage of passport data of more than 34 million Indonesian citizens• The breached data of 34.9 million Indonesian passport holders was offered for sale for $10,000
T-Mobile• The breach involved two security incidents (employee and customer data exposure)• Latest reports suggest that the personal information of millions of individuals could have been exposed

Source: NordLayer – Breakdown of the 12 most significant 2023 data breaches

Identité : La dissolution du périmètre 

La prolifération des politiques de travail hybride et à domicile, ainsi que des applications de logiciel, a entraîné une augmentation des identités numériques au sein des organisations. De plus, la transition de l’environnement sur site (i.e., “on-premise”) vers le cloud a dissous le périmètre de l’entreprise et élargi la surface d’attaque.

Figure ii | Number of digital identities within organizations

Source: Oasis – What are Non-Human Identities?

Les défis sont multiples : les organisations autorisent souvent l’accès à distance à partir de divers appareils, ce qui accroît les risques d’accès non autorisés. De plus, avec la disponibilité accrue de données d’identification sur le “dark web”, les acteurs malveillants peuvent facilement naviguer à travers l’infrastructure numérique d’une organisation. En outre, la nature disparate des infrastructures de gestion des identités et des accès (IAM) complique la surveillance de la sécurité. 

Outre les outils classiques de gestion des identités et des accès (IAM) et de gouvernance et administration des identités (IGA), les entreprises doivent investir dans des produits qui découvrent les identités, améliorent la posture et l’hygiène et surveillent les activités d’exécution pour détecter les comportements suspects. De plus, ces solutions doivent couvrir l’informatique fantôme et les identités non humaines (NHI), qui sont plus nombreuses que les identités humaines dans une organisation (voir figure ii, en anglais seulement). 

Plusieurs startups émergent avec des approches novatrices pour s’attaquer à ce problème critique, notamment des entreprises telles que Oasis, Opal Security, CloudFence, Conductor One, Cerby, Silverfort, Sempris, et bien d’autres encore.

Attaques ciblant les PME et émergence des MSP et MSSP 

Comme nous l’avons souligné précédemment, la cybersécurité est devenue une priorité non négociable pour les entreprises de toutes tailles. Avec le passage à des modèles de travail hybrides pendant la pandémie de la COVID-19, les petites et moyennes entreprises (PME) sont devenues une cible de cyberattaques plus fréquente (voir figure iii1, en anglais seulement). Les pirates informatiques ont identifié les PME comme des cibles vulnérables qui disposent de mesures de cyber-protection plus faibles que les grandes entreprises. Cette dynamique a placé les PME dans une situation difficile, car elles ne disposent généralement pas de l’expertise, des ressources, du budget et du temps nécessaires pour mettre en place des pratiques et des équipes internes solides en matière de cybersécurité. 

Figure iii | Percentage of SMBs who experienced a data breach, a cyberattack, or both in the last 12 months

Source: Identity Theft Resource Center (2023 Business Impact Report, October 2023)

Par conséquent, les PME se sont tournées vers des fournisseurs de services tiers, connus sous le nom de fournisseurs de services gérés (MSP) et de fournisseurs de services de sécurité gérés (MSSP), pour externaliser leurs besoins en matière de sécurité et d’informatique. Chez Inovia, nous sommes particulièrement intéressés par cette tendance de marché, comme en témoignent nos investissements dans des entreprises de cybersécurité telles que Cavelo, qui a mis au point des solutions sur mesure pour répondre aux besoins des MSP et des MSSP. Outre Cavelo, Evo, Zorus, Judy Security et Defendify sont d’autres startups ayant adopté cette stratégie de commercialisation indirecte et/ou une stratégie ciblant les PMEs.

Sécurité de la chaîne de développement des logiciels 

Avec l’augmentation des attaques contre la chaîne de développement des logiciels (i.e. “Software Supply Chain Security”), telles que celles observées dans les incidents SolarWinds et Log4J, la dépendance à l’égard des bibliothèques open-source est devenue à la fois une aubaine et un fardeau pour les développeurs de logiciels. Les vastes bibliothèques de codes open-source partagés multiplient les vecteurs d’attaques potentielles sur un grand nombre d’utilisateurs finaux. Outre le code open-source compromis, des pipelines CI/CD mal configurés et vulnérables peuvent entraîner des violations. À la lumière de ces incidents, l’administration Biden a introduit de nouvelles réglementations visant à normaliser les pratiques de développement de logiciels sécurisés au sein des organisations

Les scanners conventionnels (SAST, secrets, etc.), avec leur nombre élevé de faux positifs, ne suffisent plus à la demande, et c’est à ce moment que les fournisseurs de solutions de gestion de la sécurité des applications (ASPM), tels qu’Aikido, Ox, Legit, Boost et Jit, entrent en jeu. Ces solutions examinent minutieusement le bruit pour hiérarchiser et corréler les alertes, et intègrent l’application de politiques personnalisées. 

Repoussant encore les limites, des innovateurs tels que Socket.dev et Endor Labs font avancer le domaine de la sécurité des logiciels open-source (OSS). Ces plateformes surveillent les “malwares” et le “typosquatting” dans le code open-source, ainsi que les modules malveillants. Elles évaluent la qualité de la maintenance des projets open-source et mesurent leur fiabilité. VLT (une entreprise du portefeuille d’Inovia) contribue à résoudre ce problème en développant une nouvelle infrastructure de gestion de modules sécurisée pour l’écosystème JavaScript. Ensemble, ces outils et services modernes tissent un filet de sécurité plus serré à travers la frontière en expansion du développement de logiciels open-source. 

Le double impact de l’IA sur la cybersécurité

Les modèles d’intelligence artificielle (IA), y compris l’IA générative, sont sur le point de révolutionner la cybersécurité. Si le potentiel d’innovation et les nouveaux cas d’utilisation sont vastes, les acteurs du secteur doivent reconnaître que l’IA ne profitera pas seulement aux fournisseurs de sécurité, mais aussi aux pirates informatiques.  

Sur le plan défensif, les grands modèles de langage (LLM) offrent une opportunité significative d’améliorer les capacités des cyber-vendeurs dans divers cas d’utilisation et d’applications. Nous sommes particulièrement intéressés par la possibilité de rendre les analystes en sécurité plus efficaces grâce à l’auto-investigation, à la hiérarchisation et à la correction des tâches répétitives. Les entreprises Dropzone AI, Arcanna et Radiant Security en sont de bons exemples. 

Inversement, sur le front offensif, les modèles d’IA et les LLM donnent du pouvoir aux pirates et abaissent les barrières à l’attaque. Des exemples tels que «BadGPT» et «FraudGPT» illustrent la manière dont des chatbots d’IA malveillants peuvent être utilisés pour créer des courriels de phishing sophistiqués. De plus, les modèles « bons », mais insuffisamment sécurisés et testés, peuvent involontairement exposer les organisations à des violations de cybersécurité, étant donné que l’injection de “prompt” devient un vecteur d’attaque courant. Cette vulnérabilité, ainsi que d’autres risques liés aux applications des LLM comme l’empoisonnement des données et le vol de modèles, soulignent la nécessité d’une nouvelle catégorie de cybersécurité dédiée à la protection des modèles d’IA. Ces fournisseurs de sécurité de l’IA auront besoin de compétences en matière de sécurité, mais aussi d’une combinaison unique d’expertise approfondie en matière d’IA, ce qui ouvrira la voie à l’émergence de nouvelles catégories et d’entreprises leaders dans ce domaine. Le paysage de la sécurité de l’IA a fait l’objet de nombreux écrits, nous n’y reviendrons donc pas ici, mais parmi les entreprises prometteuses que nous avons rencontrées figurent Lakera, Protect AI, Hidden Layer, Troj AI, Credo AI, Calypso AI, Liminal AI, Private AI, Jericho et Aim Security.

Nous sommes enthousiastes à propos de l’évolution continue de la cybersécurité dans les années à venir. Alors que le paysage se transforme, nous sommes impatients de rencontrer de nouvelles startups et fondateurs qui apporteront des perspectives nouvelles à ce domaine dynamique. Pour rester en contact avec la pratique de cybersécurité d’Inovia et explorer des opportunités potentielles, communiquez avec Taha Mubashir, vice-président principal, ou Étienne Gauthier, chargé d’investissement.


1. Enquête en ligne de l’ITRC menée pour explorer les impacts de la cybercriminalité sur les petites entreprises telles que définies par l’administration américaine des petites entreprises. L’enquête a été menée en septembre 2023, couvrant les 12 mois précédents. Taille de l’échantillon de 276 répondants, caractérisés comme étant une personne occupant un poste de direction ou un professionnel de l’informatique dans une entreprise de 500 employés ou moins.