Né en 2013 à SF, le petit poucet de la supervision open source Sysdig a bien grandi. Après avoir enchainé les levées de fonds avoisinant 800 M$ pour une valorisation dépassant les 2,5 Md$ -sans toutefois avoir à ce jour atteint le seuil de la rentabilité -, l'éditeur californien a ajouté à son arc il y a quelques années déjà une corde stratégique en sécurisation des environnements cloud native avec son outil open source Falco. Grand bien lui en a pris, car c'est une tendance clé du marché des containers sur lequel de nombreux acteurs de la sécurité (Lacework, Orca Security, Palo Alto Networks...) se sont engouffrés mais pas seulement (Datadog...).

" Nous proposons toujours un outil de supervision qui est compétitif mais d'un point de vue technologique notre plateforme de protection des applications cloud native est très avancée sur les aspects de gestion des vulnérabilités, de la posture de sécurité à la gestion des risques, et de la détection des incidents ", nous a expliqué Loris Degioanni fondateur et CTO de Sysdig à l'occasion de sa venue à Paris pour la Kubecon 2024. " Nous avons un ADN fort dans les containers et Kubernetes et c'est toujours dans ce domaine que nous accélérons ". Depuis un an en effet, le fournisseur a enchainé les fonctions de sécurité, aussi bien pour protéger et apporter de la résilience aux microservices, que se renforcer dans les graphs d'attaques temps réel ou encore tout dernièrement sécuriser Azure Kubernetes avec Falco.

Reconstituer les chemins d'attaque des environnements cloud native

Présent sur les marchés du CNAPP (Cloud-Native Application Protection Platform) que du CSPM (Cloud Security Posture Management), Sysdig justifie cet ancrage par l'évolution des enjeux de conteneurisation qui ne passent donc plus seulement par la supervision mais sur la protection de ces environnements distribués. " Nous avons la capacité de vérifier les configurations des clouds, de la posture de sécurité et de détecter les risques liés aux données sensibles exposées ", poursuit Loris Degioanni. " Notre offre est une évolution d'un EDR classique proposées par des sociétés d'antivirus comme Crowdstrike et SentinelOne, mais nous nous concentrons spécifiquement sur le cloud et les containers ".

Pour être efficace, Sysdig se sert de sa capacité historique en matière de supervision pour évaluer le comportement des applications de l'entreprise, analyser et anticiper les données qu'elles utilisent ou qu'elles renferment. " En combinant posture de sécurité et rapidité d'exécution nous avons créé une plateforme puissante apportant des fonctions managées ", fait savoir le CEO de Sysdig. Parmi ses atouts, le recours à des agents basés sur une technologie d'observabilité eBPF (un framework d'exécution sécurisé de programmes en mode bac à sable dans le noyau Linux sans le modifier) à des fins de collecte de tout un tas de signaux (communications réseaux, services, processus, fichiers, logs...). " On connait toute l'activité du cloud, des machines, des buckets et aussi des applications pour mieux détecter les attaques , assure Loris Degioanni. " L'idée est donc de prendre tous ces appels systèmes, réseau, cloud, logs, logs applicatifs et de les rassembler pour déterminer les chemins d'attaques et les reconstitue ".

Une stratégie IA loin du rouleau compresseur

Comme bien d'autres acteurs, Sysdig s'appuie sur le machine learning et l'intelligence artificielle pour améliorer ses capacités de détection automatiques des menaces. Mais avant l'outillage, c'est surtout sur ses équipes humaines que l'éditeur dit miser et ce depuis 2009. " Nous ne croyons pas que tout doit être basé sur l'IA, contrairement à d'autres entreprises qui en ont fait leur mantra", lance Loris Degioanni, prenant soin de ne pas citer tel ou tel concurrent. "Nous ne croyons pas que l'IA est efficace pour toutes les situations mais qu'elle l'est dans certains cas d'usage. Nos clients nous choisissent à la fois pour notre technologie que pour le travail de notre équipe de recherche sur les menaces pour trouver de nouvelles règles de sécurité qui s'accordent avec leurs actuelles configurations ". Sysdig semble donc avoir fait le choix d'avancer sur le terrain de l'IA en privilégiant davantage une stratégie à petits pas et non de blitzkrieg. Depuis 7 mois, le groupe propose un assistant IA dans l'interface utilisateur de certains clients (beta privée) pour aider à retracer l'historique d'événements de sécurité dans tel ou tel environnement ou cluster et lui proposer des pistes de compréhension d'attaques. Un gadget ? Pas du tout selon le fondateur et CTO de l'éditeur : " Non, c'est vraiment utile et cela permet d'obtenir des résultats satisfaisants pour les clients pour mieux explorer les graphs et réduire le temps de résolution d'incidents ".

Dans les prochains mois, l'éditeur prévoit d'étoffer sa plateforme en matière de détection des chemins d'attaque et de la réponse à incidents dans les environnements cloud. Le groupe se félicite par ailleurs de la bonne réception de ses offres en Europe et tout particulièrement en France qui est son plus grand marché devant l'Angleterre et l'Allemagne. Côté financement, Sysdig verrait bien mener dans un avenir plus ou moins proche une introduction en bourse sans plus de précision à ce stade, sans écarter dans le même temps des acquisitions. En la matière le groupe a été particulièrement discret jusqu'à présent, une seule en 11 ans d'existence à savoir Apolicy en 2021. "Nous sommes très prudents en matière d'acquisitions et nous préférons investir davantage dans nos équipes d'ingénierie plutôt que d'en rassembler d'autres qui viennent de petites entreprises", explique Loris Degioanni.