Comme le suggère la définition même de son nom, la conformité n’est pas simplement un « bon à avoir ».
C’est une exigence, et elle doit être priorisée le plus tôt possible.
Mais comme les efforts de mise en conformité ont généralement été effectués manuellement, les entreprises peuvent avoir du mal à trouver du temps, des ressources et des fonds pour le développer, le gérer et le maintenir.
« Avec une mer de paperasse, des tâches récurrentes et fastidieuses comme la collecte de preuves, la conformité est en fait devenue quelque chose que les entreprises évitent aussi longtemps qu’elles le peuvent, ou quelque chose qu’elles négligent de préserver progressivement », a déclaré Adam Markowitz, cofondateur et PDG de la plateforme d’automatisation de la conformité Drata.
Événement
Intelligent Security Top
Découvrez la fonction importante de l’IA et du ML dans la cybersécurité et les études de cas particulières de l’industrie le 8 décembre. Inscrivez-vous pour votre laissez-passer gratuit dès aujourd’hui.
Inscrivez-vous maintenant
Cela a en fait entraîné une forte demande de logiciels de gouvernance, de danger et de conformité (GRC ) : IDC prévoit que le marché mondial de la GRC passera de 11,3 milliards de dollars en 2020 à près de 15,2 milliards de dollars en 2025.
Pour répondre à cette demande, Drata a émergé avec son offre il y a un peu moins de deux ans, et a en fait pris un élan considérable en raison d’une courte période. Pour preuve, l’entreprise a dévoilé aujourd’hui un tour de table de série C de 200 millions de dollars. Cela porte l’évaluation de la société à 2 milliards de dollars, doublant son évaluation de 1 milliard de dollars par rapport à son tour de série B 2021.
« À une époque où les risques liés à l’information et l’application des directives sont en augmentation, les entreprises doivent révéler des preuves concrètes de leurs exigences en matière de sécurité grâce à la conformité pour construire et préserver la confiance avec leurs clients et parties prenantes », a déclaré Markowitz.
Élargissement des réglementations, demandes du marché
Le marché GRC ne fera que continuer à croître, selon IDC ; l’entreprise prévoit que les classifications de continuité des activités et ESG/RSE connaîtront la croissance la plus rapide, suivies par la conformité et la gestion des risques. Les classifications progressives comprennent la confidentialité, la gestion des menaces par des tiers (TPRM) et l’écologie, la santé et la sécurité (EHS).
Pour ne citer que quelques facteurs, selon l’entreprise, l’accélération du marché est motivée par l’évolution des politiques de conformité, l’augmentation des risques liés aux données et le besoin accru de responsabilité écologique et sociale.
Une enquête IDC a révélé que près des deux tiers des organisations utilisent plusieurs outils GRC, certaines en déployant cinq ou plus. La plupart des entreprises prévoient d’augmenter leurs dépenses GRC au cours des trois prochaines années et environ la moitié prévoient une augmentation de l’utilisation d’outils basés sur le cloud au cours des trois prochaines années.
Dans le même temps, les entreprises avec des chiffres plus élevés des plates-formes constatent un taux de combinaison inférieur entre elles, selon IDC.
« Le marché GRC est positionné pour un développement considérable alors que les entreprises recherchent des méthodes pour automatiser et gérer les complexités de l’expansion des mandats de gouvernance, de menace et de conformité », a déclaré Amy Cravens, responsable de l’étude de recherche sur la gouvernance, la menace et la conformité. à IDC.
Elle ajoute que « comprendre comment les organisations adoptent ces solutions et leurs préférences en matière de conditionnement et de déploiement de services aidera les fournisseurs de services de solutions à adapter leurs offres pour répondre à la demande du marché. »
Réel- visualisation du temps
La plate-forme d’automatisation de la sécurité et de la conformité de Drata filtre et recueille des preuves des contrôles de sécurité d’une entreprise et contribue à améliorer les flux de travail de conformité pour garantir la préparation aux audits, a déclaré Markowitz.
La plateforme intègre plus de 75 applications et services comprenant AWS, Azure, Github et Okta et permet une cartographie croisée des contrôles avec diverses structures de conformité. Les panneaux de contrôle permettent aux entreprises d’imaginer leur posture de conformité en temps réel, et des avis les informent des espaces afin qu’ils puissent rester conformes, a déclaré Markowitz.
Avec 22 mois de discrétion, Drata a en fait publié plus de 14 cadres, y compris la politique générale de sécurité des données (RGPD), la loi californienne sur la protection des clients (CCPA), l’exigence de sécurité des données du marché des cartes de paiement (PCI DSS) et NIST 800-153 pour les connexions WLAN. La société a également introduit un centre de confiance et une offre de gestion des menaces en 2015.
Réduire le délai de mise en conformité
Le client de Drata, Lemonade, a par exemple pu réduire le nombre de plus de 200 les heures qu’ils investissaient généralement dans les allers-retours avec un auditeur d’un dixième. Thnks, d’autre part, avait la capacité de suivre à la fois SOC 2 et ISO 27001, a déclaré Markowitz, et une startup de technologie d’assurance a estimé que l’utilisation de Drata leur avait permis de gagner 6 mois de temps dans la procédure d’audit SOC 2.
Comme Markowitz l’a noté, tirer parti de l’automatisation permet à Drata d’apporter la « conformité aux masses ».
Auparavant, les entreprises devaient utiliser de nombreuses plates-formes, telles qu’AWS pour l’infrastructure ou Jira pour la billetterie– pour prendre des captures d’écran et montrer qu’il a été configuré correctement.
« Cela prenait des centaines d’heures d’ingénierie et d’exploitation chaque année, donc l’équipe devrait tout recommencer la prochaine fois », a-t-il déclaré.
Au contraire, « nous aidons les entreprises à changer leur façon de voir la conformité et à la transformer en une partie intégrante de leur entreprise. »
Au-delà des outils GRC
Néanmoins, a souligné Markowitz, un programme de conformité réussi ne prospère que lorsqu’une entreprise adopte un état d’esprit « la cybersécurité d’abord ».
« Il est important que tout le monde dans l’entreprise comprenne, reconnaisse et soit responsable de son programme de conformité », a-t-il déclaré.
Cela signifie avoir l’adhésion de la direction lors de la poursuite de la conformité, en tenir compte dans la budgétisation et fournir les ressources nécessaires pour l’atteindre et la conserver. Ils doivent également être impliqués dans le processus de préparation de l’audit. L’établissement de ce type de responsabilité peut promouvoir la transparence dans l’ensemble de l’entreprise, a déclaré Markowitz, « ce qui, à son tour, simplifie encore plus le processus de conformité ».
Les entreprises doivent également mettre en œuvre des procédures cruciales et fondamentales qui peuvent informer les membres du personnel et conserver les données internes et externes protégées. Celles-ci consistent en les éléments suivants :
Exécuter une vérification des antécédents des employés et une formation à la sécurité
Les entreprises doivent effectuer des vérifications officielles des antécédents des travailleurs et des sous-traitants, ainsi qu’une formation annuelle à la sécurité pour s’assurer que chaque employé dépend de la date avec les détails de sécurité actuels et les moyens de prévenir les vecteurs d’attaque courants comme le phishing.
« Les membres du personnel constituent la toute première ligne de défense d’une entreprise lorsqu’il s’agit de sécuriser les informations contre les menaces extérieures », a déclaré Markowitz.
Utilisation des superviseurs de mots de passe et des MFA
En utilisant les superviseurs de mots de passe et l’authentification multifacteur (MFA), les employés peuvent beaucoup mieux créer, stocker, partager et gérer les mots de passe et autres informations d’authentification.
« Une excellente hygiène des mots de passe et une MFA garantissent que les acteurs destructeurs ne peuvent pas accéder à votre réseau par la » porte d’entrée « », a déclaré Markowitz.
Suivi des fournisseurs et réalisation d’évaluations des fournisseurs
Suivez toutes les applications tierces, les adhésions SaaS et les extensions de navigateur Internet. Comprenez les données partagées avec eux et, en fonction de la criticité du fournisseur, commencez à demander des documents de sécurité, y compris leur rapport SOC 2 le plus récent.
Effectuez des tests de pénétration d’applications externes
Annuel les tests d’intrusion par des tiers sont un moyen fiable d’évaluer la sécurité du système et de déterminer des étapes particulières pour aider à résister à une véritable attaque à l’avenir.
Vitesse continue
Le cycle de financement d’aujourd’hui est co- dirigé par GGV Capital et ICONIQ Growth, qui ont respectivement dirigé les séries A et B de Drata. Alkeon Capital a également réalisé des investissements considérables, tout comme Salesforce Ventures, Cowboy Ventures, S Ventures (SentinelOne), Silicon Valley CISO
Investments (SVCI) et FOG Ventures (Operators’ Guild).
Drata utilisera les fonds pour continuer à investir dans la R&D, tout en investissant également dans des fonctions pour les start-ups et les auditeurs, a déclaré Markowitz.
Comme il l’a rappelé, « dès le début, nous avons investi massivement dans les produits et l’ingénierie pour nous assurer que nous avions le produit qui pourrait servir le marché, et pour que nous puissions continuer à construire des expériences différenciées. »
La mission de VentureBeat est d’être une place publique numérique permettant aux décideurs techniques d’acquérir une compréhension de l’innovation commerciale transformatrice et de négocier. Découvrez nos Rundowns.
.
Toute l’actualité en temps réel, est sur L’Entrepreneur
