sdecoret - stock.adobe.com
Achat d’Alsid par Tenable : une opération motivée par la nature critique d’Active Directory
En février dernier, l’Américain Tenable annonçait l’acquisition d’une pépite française de la cybersécurité, Alsid. Ce champion de la sécurité d’Active Directory, fondé par des anciens de l’ANSSI, passait alors sous pavillon américain. Les deux dirigeants expliquent une transaction qui a provoqué l’émoi jusqu’à Bercy.
LeMagIT : Renaud, qu’est-ce qui vous a poussé à vous intéresser à Alsid ?
Renaud Deraison, Cofondateur et CTO de Tenable : Si on regarde les attaques des derniers mois, depuis les attaques par ransomware d’un côté jusqu’aux attaques très évoluées du type de celle qui a frappé SolarWinds en fin d’année dernière, dans tous les cas, l’attaquant vise Active Directory. Active Directory est devenu le centre névralgique de tous les réseaux d’entreprise.
Énormément de RSSI se posent la question de la sécurité de leur Active Directory, mais il existe assez peu de solutions sur le marché qui aident et qui guident les utilisateurs dans la sécurisation de leur installation, tant au niveau configuration que dans la gestion des droits des utilisateurs. Je me suis intéressé à ce marché et j’ai rencontré Alsid, une société qui a bénéficié de tout le savoir-faire et des efforts de l’ANSSI, qui a été pionnière dans ce domaine. Nous avons estimé qu’Alsid avait la meilleure solution du marché et que le monde entier avait intérêt à les connaître.
LeMagIT : Emmanuel, pourquoi cette acquisition maintenant ?
Emmanuel Gras, cofondateur et CEO d’Alsid : Nous ne nous sommes pas réellement tournés vers Renaud. Cette acquisition est partie d’une rencontre et d’une discussion entre Français installés à New York. Alsid, c’est une société que Luc [N.D.L.R. : Luc Delsalle, cofondateur et CTO d’Alsid] et moi avons créée en 2016. Nous sommes des ingénieurs, nous croyons en notre technologie et nous sommes persuadés que celle-ci répond aux problèmes de sécurité liés à Active Directory. Lorsque nous avons eu ces discussions avec Renaud et son équipe, la question qui se posait était : quelle est la meilleure façon pour nous de résoudre ce problème ?
Plusieurs chemins se présentaient à nous : lever des fonds, rester indépendants et devenir une entreprise profitable, ou se rapprocher d’un plus grand acteur. Notre conviction a été que cette acquisition était la meilleure façon de répondre à un problème qui potentiellement touche toutes les entreprises dans le monde.
Nous sommes convaincus que notre technologie est la meilleure façon de répondre à ce problème et c’est ce qui nous a guidés dans notre décision de nous rapprocher de Tenable. Se développer sur un marché comme les États-Unis et le reste du monde peut être fait en levant des fonds et en se développant de manière organique, mais cela demande du temps.
Avec ces vagues de ransomwares, ce sujet est devenu prégnant et notre but était de déployer notre technologie le plus vite possible. Nous avions la conviction que nous étions capables de nous intégrer et de travailler avec Tenable, ce qui a achevé de nous convaincre qu’il s’agissait de la meilleure façon de déployer notre technologie dans le monde.
LeMagIT : L’acquisition d’Alsid, pépite française de la cybersécurité, a provoqué un certain émoi dans le milieu cyber français. Comment réagissez-vous aux critiques qui ont pu être émises ?
Emmanuel Gras : Alsid ne part pas aux États-Unis et, à titre personnel, c’est plutôt l’inverse, puisque j’ai quitté Manhattan pour rejoindre nos nouveaux bureaux parisiens. Je considère que cette acquisition fertilise l’écosystème français en créant une génération de personnes qui ont vécu l’hypercroissance dans une start-up indépendante et vont continuer à la vivre au sein d’un groupe américain.
Nous pouvons être très fiers de ce qu’on sait faire sur le plan technologique et en termes d’innovation en France, mais il y a aussi beaucoup de choses à apprendre de ce qu’est un éditeur de logiciels américain. Cela fertilise l’écosystème du point de vue des talents, mais aussi l’écosystème de financement. Les fonds d’investissement qui financent les start-up cyber voient qu’ils peuvent financer des entreprises cyber en France, car celles-ci seront validées par le marché via de nouvelles levées ou une acquisition, ou une éventuelle introduction en bourse.
Tous les fondateurs de start-up de cyber français sont heureux de voir cette transaction. En outre, cette acquisition valide d’une certaine façon la politique de l’État français en termes de développement et d’innovation, mais aussi notre savoir-faire technologique et le fait que nous avons la meilleure technologie. Je suis issu de la filière ingénieurs et on peut être heureux de voir cette filière reconnue hors de nos frontières.
Renaud Deraison : D’une part, Alsid ne part pas à l’étranger. Nous continuons à développer l’activité en France, à recruter des ingénieurs en France, et nous allons continuer à faire grossir cette équipe. Alsid fait maintenant partie de Tenable, mais nous avons une vraie velléité à développer l’écosystème cybersécurité en France.
De mon point de vue, cette acquisition est un vrai succès pour l’écosystème français. Alsid, c’est une sortie à près de 100 millions de dollars ; c’est un beau succès et il n’y a pas beaucoup de sorties de sociétés françaises de cybersécurité. Si on regarde cet écosystème des start-up françaises, on ne peut passer d’un seul coup d’un stade où il n’y a aucune société dépassant une certaine valorisation en France, à celui où un acteur pèse 5 milliards de dollars. Il y a des étapes à franchir, des étapes en termes de sorties, mais aussi dans l’apport de savoir-faire.
Les équipes d’Alsid font maintenant partie d’une société américaine qui fonctionne à une plus grande échelle et qui compte des clients dans le Fortune 500, des clients très exigeants. Ces équipes vont être exposées au savoir-faire d’un éditeur américain, un savoir-faire qu’elles emporteront tout au long de leur carrière, même si j’espère qu’elles resteront avec nous le plus longtemps possible.
Personnellement, j’ai du mal à comprendre que cette acquisition ait soulevé une émotion. Tenable a été cofondée par un Français. C’était pour moi un peu un retour aux sources que de participer au rachat d’Alsid, car, quand je suis parti aux États-Unis, la seule manière d’avoir une sortie de grande envergure était de créer une société aux États-Unis. Nous avons prouvé que ce n’est plus le cas aujourd’hui.
LeMagIT : Concernant la sécurisation d’Active Directory, pensez-vous que les RSSI mesurent bien aujourd’hui la criticité de cet environnement dans leur système d’information ?
Renaud Deraison : Je pense que cette prise de conscience a eu lieu. Avec le mouvement généralisé vers le télétravail, les utilisateurs sont beaucoup plus distribués géographiquement. Ils utilisent parfois leurs propres terminaux pour accéder aux données de l’entreprise. La gestion des droits utilisateurs n’a jamais été aussi critique.
En parallèle, toute une série d’attaques a été développée contre Active Directory et les faiblesses structurelles du protocole font que les pirates et les logiciels malveillants les exploitent de plus en plus. Je pense que cette prise de conscience est plus élevée en France grâce au travail de l’ANSSI, qui a vraiment été en pointe sur ce sujet, mais on commence à la voir aussi ici aux États-Unis.
Emmanuel Gras : On peut être fiers de dire que la France a su identifier ce problème lié à la sécurité d’Active Directory avant les autres, et rendre ainsi notre marché plus mature que le marché américain ; ce qui est peu fréquent dans les domaines technologiques. Je salue les efforts de l’ANSSI – où j’ai encore de nombreux anciens collègues – qui a mené un travail de fond de recherche, de communication et d’éducation sur ce sujet.
LeMagIT : Si la prise de conscience de l’importance de sécuriser Active Directory est bien réelle, peu d’experts en cybersécurité disposent d’outils pour mener ces projets de sécurisation. Il s’agit essentiellement d’un travail manuel et de l’application de bonnes pratiques notamment édictées par l’ANSSI.
Renaud Deraison : Le potentiel de développement pour un éditeur de logiciels est énorme. Active Directory est une brique logicielle qui est en place depuis 20 ans et tous les réseaux d’entreprise sont greffés dessus. Or cette brique est d’une telle complexité que personne n’ose vraiment y toucher, n’ose stopper un service qui va empêcher les utilisateurs de se connecter.
L’atout de la technologie d’Alsid est d’être exhaustive et de démystifier la sécurisation d’Active Directory. C’est aussi sa vraie valeur : elle apprend aux experts comment améliorer leur environnement AD et je suis convaincu qu’il y a de fortes opportunités pour nous.
LeMagIT : Avec Tenable.ad, on ne parle plus simplement de vulnérabilités, mais de gestion de la configuration. C’est une direction dans laquelle vous entendez aller plus avant ?
Renaud Deraison : Configurations et vulnérabilités sont deux sujets très complémentaires. Une manière d’aborder ces thématiques est de considérer la durée de vie de ces problèmes. Pour moi, une vulnérabilité est un problème bien délimité dans le temps. La faille Microsoft Exchange dont tout le monde parlait il y a deux mois, plus personne n’en parlera dans quelques mois, car tous les systèmes auront été patchés.
Un problème de configuration est intemporel : un problème d’Active Directory mal configuré ou une configuration réseau mal réalisée ne va pas se résoudre de lui-même. Tenable.AD va vérifier la configuration d’Active Directory en s’assurant que les paramétrages sont appropriés, que les paramètres de compatibilité ascendante inutiles ne sont pas actifs, etc. Pour le volet vulnérabilités, il s’agit de problèmes qui sont corrigés avec des patchs de sécurité.
LeMagIT : Peu avant Alsid, Tenable avait réalisé l’acquisition d’Indegy dans la sécurité des systèmes industriels. Quelle est la prochaine étape ? La gestion des vulnérabilités et des configurations d’environnements cloud ? Les conteneurs ?
Renaud Deraison : Sans trop en dire sur le futur, nous sommes concentrés sur la volonté d’aider nos clients à comprendre leur posture de sécurité de manière globale. L’infrastructure numérique n’a jamais été aussi stratégique, comme l’a bien démontré la crise de la Covid-19 avec des collaborateurs qui ont pu continuer à travailler en dépit des restrictions de circulation.
On l’a vu aussi il y a quelques années avec Wannacry et une prise de conscience des entreprises et d’organisations qui n’avaient pas encore compris que l’informatique était au cœur de leur activité et non plus un simple outil d’optimisation. Ces organisations se sont retrouvé le bec dans l’eau lorsque leurs infrastructures IT ont été bloquées par Wannacry, avec des hôpitaux qui ne pouvaient plus accueillir de patients.
En outre, l’IT n’a jamais été aussi compliquée et diversifiée, avec un système d’information qui est en partie dans le cloud, avec des objets connectés, le phénomène du BYOD, etc. Le système d’information n’a jamais été aussi fragmenté, et la vélocité apportée par le cloud et les applications SaaS n’a jamais été aussi élevée : en quelques heures, la puissance disponible peut être multipliée par 10.
Notre vision est d’aider les entreprises à analyser leur infrastructure numérique, car il est devenu très complexe d’en suivre à la trace les modifications, les liens entre de multiples composants et la manière dont fonctionne leur programme de sécurité de manière globale. Que ce soit par croissance organique ou par acquisitions, nous comptons nous développer en gardant cette optique d’aider nos clients à prendre le contrôle de leurs programmes de sécurité.