CyberArk rachète Venafi à Thoma Bravo pour 1,5 milliard de dollars

CyberArk élargit son offre de gestion des identités et des accès en rachetant Venafi, propriété depuis fin 2020 de l’investisseur boulimique en matière de sécurité Thoma Bravo, pour un montant de 1,5 md $.

Le spécialiste de la gestion des droits d’accès a annoncé qu’il avait conclu un accord pour s’adjoindre le portefeuille d’outils de l’acteur historique de la gestion de l’identité des machines, mais également spécialiste de la sécurité des terminaux mobiles. Les offres de Venafi aident notamment les entreprises à sécuriser leurs infrastructures à clé publique (PKI), les clés de chiffrement ainsi que les certificats numériques, et peuvent être utilisées dans des environnements sur site ou cloud.

CyberArk invoque pour expliquer son mouvement la migration actuellement en cours vers une offre cloud et l’importance de la mise en œuvre et du maintien du contrôle des privilèges. Le problème auquel le marché doit faire face réside en partie dans la croissance rapide des identités propres aux machines et autres terminaux, qui permettent de sécuriser les données sensibles et d’en restreindre l’accès, notamment dans un contexte IoT.

Dans son communiqué, CyberArk indique qu’il existe actuellement « 40 identités de machines pour une identité humaine ». Les attaquants peuvent tirer parti des problèmes de visibilité et de gestion afin d’obtenir un accès initial aux organisations victimes qu’ils ciblent. La gestion des identités et des accès (IAM) est un problème permanent pour certaines entreprises, car les attaquants utilisent de plus en plus des informations d’identification volées, souvent acquises grâce à des techniques d’ingénierie sociale efficaces.

Les attaques ont même touché les fournisseurs d’IAM eux-mêmes. Par exemple, Okta a été victime l’année dernière d’une brèche dans laquelle des pirates ont utilisé des informations d’identification volées pour accéder au système de gestion des cas d’assistance du fournisseur et consulter des fichiers clients sensibles. Un an plus tôt, l’éditeur de solutions de gestion de mots de passe LastPass a révélé qu’il avait été victime d’une intrusion après que des pirates eurent compromis le compte d’un développeur.

Microsoft est un autre grand fournisseur à avoir subi une violation due à une sécurité IAM inadéquate. En janvier, Microsoft a révélé qu’un acteur russe, connu sous le nom de Midnight Blizzard, avait compromis un compte de tenant de test qui n’avait pas activé le MFA. Midnight Blizzard a ensuite utilisé des applications OAuth malveillantes pour accéder aux courriels de l’entreprise.

CyberArk a déclaré que l’acquisition établira une « nouvelle norme pour la sécurité de l’identité des machines de bout en bout ». L’acquisition devrait être finalisée fin 2024.

Un porte-parole de Venafi a expliqué à TechTarget (maison mère du MagIT) que cette annonce s’inscrit dans la lutte des entreprises pour mieux maîtriser la gestion de l’identité des machines et l’afflux d’appareils nouvellement connectés.

Et de préciser que des plans d’intégration, reliant système de contrôle d’accès sur les membres de l’organisation et les machines ou terminaux, étaient d’ailleurs d’ores et déjà en cours de déploiement chez ses clients.

Toujours selon les équipes de Venafi, « cette acquisition est révélatrice du point d’inflexion auquel nous sommes actuellement arrivés, en matière de sécurité de l’identité. De plus en plus de mandats et de contrôles obligent les clients à sécuriser l’identité, y compris les machines et les certificats. Par ailleurs, presque toutes les cyberattaques impliquent la compromission de l’identité d’une manière ou d’une autre. Le problème est encore exacerbé par l’adoption rapide de l’IA, qui produit une croissance exponentielle des identités machine, dont beaucoup nécessitent un accès sensible afin de remplir leur rôle ».

Todd Thiemann, analyste principal au sein du cabinet ESG (propriété de TechTarget), estime que l’acquisition de Venafi permettra à CyberArk d’étendre son champ d’action dans la gestion des certificats et l’infrastructure à clé publique (PKI).

Selon lui, « le portefeuille de Venafi permettra à CyberArk d’offrir davantage de fonctionnalités et de relever le défi de la gestion du cycle de vie des certificats. Les entreprises préférant avoir moins d’outils pour faire plus de travail, c’est un pas de plus dans cette direction ».

Todd Thiemann explique également que la sécurisation des identités des machines est devenue une priorité pour de nombreux fournisseurs de sécurité : « l’espace IAM a vu des initiatives récentes afin d’améliorer la gestion des identités non humaines en plus de l’accent mis sur les identités humaines. Ces identités non humaines représentent une part importante de la surface d’attaque des entreprises […] On observe ainsi une activité et une innovation importantes dans ce domaine, de la part de startups et d’acteurs établis qui s’attaquent au défi des identités non humaines, ainsi que de la part d’acteurs IAM établis comme CyberArk, qui étendent leur portée grâce à des acquisitions comme celle de Venafi. »

La vente de Venafi est la deuxième opération réalisée par Thoma Bravo ce mois-ci. La semaine dernière, la société avait annoncé que sa filiale LogRhythm allait fusionner avec son concurrent Exabeam. Thoma Bravo a indiqué que la fusion devrait être finalisée au cours du troisième trimestre.