CyberArk étend ses offres de gestion des identités et des accès en acquérant Venafi, soutenu par Thoma Bravo, pour 1,5 milliard de dollars.
Le fournisseur a annoncé avoir conclu un accord pour acheter Venafi, un outil de gestion de l’identité des machines détenu majoritairement par la société de capital-investissement Thoma Bravo depuis 2020. Les offres de Venafi aident les entreprises à sécuriser l’infrastructure à clé publique (PKI), les clés cryptographiques et les certificats numériques et peut être utilisé dans des environnements sur site ou cloud.
CyberArk a cité la migration continue vers le cloud et l’importance de la mise en œuvre et du maintien de contrôles de privilèges comme deux moteurs de l’acquisition. Une partie du problème réside dans la croissance rapide des identités des machines, qui contribuent à sécuriser les données sensibles et à accorder un accès restreint.
Dans l’annonce, CyberArk a déclaré qu’il existe actuellement « 40 identités de machine pour chaque identité humaine ». Les attaquants peuvent exploiter les défis de visibilité et de gestion pour obtenir un premier accès à une organisation victime. La gestion des identités et des accès (IAM) constitue un défi permanent pour certaines entreprises, car les attaquants exploitent de plus en plus d’identifiants volés, souvent acquis grâce à des techniques efficaces d’ingénierie sociale.
Les attaques ont même touché les fournisseurs IAM eux-mêmes. Par exemple, Okta a subi une violation l’année dernière au cours de laquelle des attaquants ont utilisé des informations d’identification volées pour accéder au système de gestion des dossiers d’assistance du fournisseur et consulter les fichiers clients sensibles. Un an auparavant, LastPass, fournisseur de gestion de mots de passe, avait révélé avoir subi une violation après que des attaquants aient compromis le compte d’un développeur.
Microsoft était un autre fournisseur majeur à avoir subi une violation en raison d’une sécurité IAM inadéquate. En janvier, Microsoft a révélé qu’un acteur menaçant d’un État-nation russe, suivi sous le nom de Midnight Blizzard, avait compromis un ancien compte de locataire de test sur lequel la MFA n’était pas activée. Midnight Blizzard a ensuite utilisé des applications OAuth malveillantes pour accéder aux e-mails de l’entreprise.
CyberArk a déclaré que l’acquisition établirait « une nouvelle norme en matière de sécurité de l’identité des machines de bout en bout ». L’acquisition devrait être finalisée à la fin de cette année.
Un porte-parole de Venafi a déclaré à TechTarget Editorial que cette annonce montre à quel point les entreprises continuent de lutter contre la gestion de l’identité des machines et l’afflux de nouveaux appareils connectés. Le porte-parole a ajouté que l’acquisition contribuerait à étendre ses activités géographiquement.
Le fournisseur de gestion des identités des machines développe actuellement des plans d’intégration pour les clients.
“Cette acquisition est révélatrice du point d’inflexion auquel nous sommes actuellement confrontés en matière de sécurité de l’identité. De plus en plus de mandats et de contrôles obligent les clients à sécuriser leur identité, y compris les machines et les certificats. Parallèlement, presque toutes les cyberattaques impliquent la compromission de l’identité dans “Le problème est exacerbé par l’adoption rapide de l’IA, qui produit une croissance exponentielle des identités des machines, dont beaucoup nécessitent un accès sensible pour remplir leur rôle”, a déclaré le porte-parole de Venafi.
Todd Thiemann, analyste principal chez Enterprise Strategy Group de TechTarget, a déclaré que l’acquisition de Venafi étendrait la portée de CyberArk dans la gestion des certificats et la PKI.
« Cela permettra à CyberArk de fournir davantage de fonctionnalités et d’aider à résoudre le défi de la gestion du cycle de vie des certificats. Les entreprises préfèrent moins d’outils pour effectuer plus de travail, et c’est un pas supplémentaire dans cette direction », a-t-il déclaré.
Thiemann a également déclaré que la sécurisation des identités des machines est devenue une priorité pour de nombreux fournisseurs de sécurité. « L’espace IAM a vu une initiative d’acteurs établis et de startups visant à améliorer la gestion des identités non humaines, en plus de l’accent mis actuellement sur les identités humaines. Ces identités non humaines constituent une partie importante de la surface d’attaque des entreprises », a-t-il déclaré. “Vous constatez beaucoup d’activité et d’innovation dans cet espace, de la part de startups et d’acteurs établis qui relèvent le défi de l’identité non humaine, ainsi que d’acteurs IAM établis comme CyberArk qui élargissent leur portée grâce à des acquisitions comme Venafi.”
La vente Venafi marque la deuxième transaction de Thoma Bravo ce mois-ci. La semaine dernière, la société a annoncé que sa filiale LogRhythm fusionnerait avec son rival SIEM, Exabeam. Thoma Bravo a déclaré que la fusion devrait être finalisée au troisième trimestre.
Arielle Waldman est rédactrice pour TechTarget Editorial couvrant la sécurité des entreprises.