L’intersection de l’IA et de la sécurité : quoi de neuf avec le PDG de Secureframe

Dans le dernier épisode de notre A propos série, fondateur et PDG de Secureframe, Shrav Mehta, s'entretient avec Jason Lemkin, PDG et fondateur de SaaStr, pour partager les nouveautés de Secureframe, une société de logiciels SOC-2 et de conformité en plein essor qui se lance dans le SaaS.

Dans cet épisode, ils discuteront :

• Quand et pourquoi vous avez besoin de vous conformer aux normes SOC-2 et ISO ISO 27001 en tant qu'entreprise SaaS
• L'intersection de l'IA et de la sécurité
• Conformité au cours de la deuxième année et au-delà dans le SaaS
• Différences dans le service aux PME et aux entreprises
• Regroupement des services logiciels

[Contenu intégré]

Pour Jason, il a ouvert l'interview en partageant son expérience : la conformité est en fait l'enjeu de la première année pour toutes les entreprises SaaS B2B. 

“I was just catching up with a second-time founder who had taken his company public (and it was worth billions) and was doing another company,” Jason shared. “He was doing a freemium product and I was like ‘Why don’t you just walk into an Adobe or a Cisco and just close a six-figure deal? Even if your product’s not there, they’ll buy from you.’ And he was like, ‘yeah, but we have, we’re not like SOC 2 compliant.’”

Il peut sembler facile d'ignorer ou d'attendre pour mettre en œuvre un outil pour aider à la conformité et à la sécurité, mais le moral de l'histoire ici est que vous vous heurterez assez rapidement à un mur si vous n'avez pas mis en œuvre un outil de conformité d'ici la fin de l'année. Un. D'autant plus que vous essayez ensuite de vous déplacer vers les marchés moyens et supérieurs, la sécurité devient un enjeu de table pour le comité d'achat.

Shrav a ajouté que si vous souhaitez conclure des transactions plus importantes, non seulement pour les entreprises, mais également pour les entreprises de taille moyenne et les PME, dès que vous êtes prêt à entrer sur le marché, vous devez vous conformer.

"SOC-2 est souvent considéré comme une norme critique pour les logiciels SaaS", a expliqué Shrav. « Si vous avez des clients dans votre pipeline que vous essayez de clôturer éventuellement, ou si quelqu'un va vous retenir à un moment donné si vous n'avez pas de certification SOC-2 ou ISO 27001. Ou l'une de ces certifications similaires. »

Vous devez donc vous mettre en conformité (ou mettre à jour votre sécurité)… et maintenant ?

Eh bien, avec une application comme Secureframe, il peut automatiser environ 80 à 90 % de la conformité SOC-2 dont vous avez besoin via des intégrations et des APIS – c'est-à-dire en le connectant à vos plates-formes, outils, etc. existants et en lui permettant d'exploiter les données. Les délais de mise en œuvre et de conformité sont donc beaucoup plus rapides aujourd’hui qu’auparavant. Cependant, Shrav a expliqué quand cette automatisation ne serait plus nécessairement évolutive. "JESi vous vous développez et évoluez et que vous concluez davantage de transactions, cela peut justifier une embauche à temps plein pour alléger la charge de l'équipe. Nous voyons généralement cela se produire entre 50 et 100 employés. Désormais, si vous travaillez dans la FinTech ou dans un autre secteur hautement réglementé, vous allez probablement faire ces choses et recruter une personne dédiée plus tôt.

Prévoyez environ 50 à 100 employés pour embaucher un responsable informatique ou un RSSI (Chief Information and Security Officer) pour maintenir votre conformité et votre sécurité. Ensuite, à mesure que vous évoluez ou au cours de la deuxième année, votre liste de contrôle de conformité devrait ressembler un peu à ceci : 

• Au cours des années 2 et 3, le maintien et l'amélioration de votre conformité devraient devenir une partie de votre rythme opérationnel
• Maintenir la certification et la conformité ISO 27001
• Une surveillance continue est essentielle
• Alors que la première année est généralement un audit de certification complet, les années 2 à 3+ deviennent un audit de surveillance pour maintenir votre certification.

En fin de compte, lequel est le meilleur, SOC-2 ou ISO 27001 ? Cela dépend, mais la plupart des entreprises SaaS voudront aujourd'hui avoir les deux, et idéalement en même temps, car il y a un chevauchement d'environ 70 % entre le rapport SOC-2 et le certificat ISO 27001. 

"Souvent, si vous savez que vous devez faire les deux, nous disons aux gens de le faire en même temps et de faire d'une pierre deux coups", a expliqué Shrav. « Maintenant, la façon dont vous déterminez si vous avez besoin de SOC-2 ou d'ISO : ils sont très similaires. SOC-2 est beaucoup plus courant aux États-Unis, tandis que ISO 27001 est beaucoup plus courant si vous avez des clients en Europe, en Australie et dans d'autres territoires. Et pour beaucoup de ces clients, c’est aussi là que sont basés vos clients, pas nécessairement là où est basée l’entreprise, ce qui est une idée fausse courante.

Il va devenir un peu plus difficile pour les PDG et les CTO de maintenir la sécurité et la conformité jusqu'en 2024. 

« Des violations de données se produisent tout le temps », a déclaré Shrav. « Ces mesures ont des impacts concrets. Je pense donc que nous allons continuer à voir cela de plus en plus et qu'il y aura simplement plus de choses à respecter. Il y aura simplement une surveillance accrue et continue de la sécurité et de la confidentialité.

La barre ne fera que se relever à mesure que les acheteurs seront de plus en plus attentifs et que l’IA sera davantage intégrée au SaaS et à la technologie. 

Shrav considère la sécurité et l'IA comme les deux principaux visages du logiciel pour la prochaine décennie.

"Je pense que la sécurité est l'un des domaines les plus importants, derrière l'IA, car il y aura toujours de plus en plus d'attaquants et de plus en plus de violations et de plus en plus de raisons d'avoir un programme de sécurité renforcé", a expliqué Shrav. « Les dernières prévisions de Gartner en matière de dépenses informatiques indiquent que les services informatiques devraient être l'une des catégories à la croissance la plus rapide en 2024. Vous savez, ils connaissent une croissance de 10 % par rapport à l'année dernière. Et 80 % de ces RSSI ont déclaré qu’ils prévoyaient d’augmenter leurs dépenses en matière de cybersécurité et de sécurité de l’information.

Cela peut être dû en partie à cette grande intersection entre l’IA et la sécurité. Nous constatons déjà une énorme collection de données clients et de nouvelles menaces provenant de ces cyberattaques basées sur l'IA, qui ne feront que signaler une croissance accrue dans un espace déjà en croissance rapide. Attendez-vous donc à ce que la sécurité et la conformité prennent de l’ampleur cette année.

Nous avons récemment discuté avec ZoomInfo Henry Schuck, PDG on qu'est-ce que c'est que de vendre et de servir des clients qui sont à la fois des startups et des entreprises. Voyons maintenant cela du point de vue de la sécurité et de la conformité. Comment Secureframe dessert-il à la fois les startups et les entreprises clientes ? 

Du côté des PME, Secureframe reçoit beaucoup plus de trafic entrant lorsqu'une startup reçoit un questionnaire de sécurité d'un nouveau client potentiel et qu'elle doit se conformer très rapidement à la norme SOC-2 pour conclure la transaction. Ils ont un problème très spécifique qui doit être résolu rapidement. Du côté des entreprises, elles sont souvent déjà conformes à SOC-2 et disposent d'un processus existant. Ce qu'elles recherchent donc, c'est gagner du temps (et de l'argent) pour améliorer leur efficacité en matière de sécurité à grande échelle.

Alors, comment commercialiser auprès de ces deux segments radicalement différents qui ont toujours besoin du même produit ?

« Une grande partie des messages du côté des PME tournent autour du type : « Hé, mettons-nous en conformité avec SOC-2 ». Aidons-vous à le faire rapidement. Shrav a poursuivi : « Du côté des entreprises, ils ne se soucient pas vraiment de faire les choses rapidement. Ils ont déjà un SOC2. Ils veulent devenir plus efficaces dans leur façon de procéder. Ils souhaitent automatiser une grande partie des flux de travail de leur entreprise. Dire quelque chose comme : « Hé, aidons-vous à vous conformer au SOC2 en quelques semaines et non en quelques mois n'est pas très attrayant pour eux à ce niveau. »

Les équipes commerciales de Secureframe sont entièrement segmentées entre PME, Mid-Market et Enterprise pour cette raison. Shrav voit toujours une tonne de valeur dans les PME (alors que beaucoup d'autres ont abandonné leur service aux PME en raison de leurs budgets), mais Secureframe souhaite toujours que les PME à croissance rapide puisque beaucoup de leurs clients grandissent avec elles, car changer de fournisseur de conformité est beaucoup plus difficile que de changer, disons. outil de vente ou de marketing.

Je ne sais pas si vous l'avez remarqué, mais SOC-2 est en fait une catégorie extrêmement compétitive et encombrée au sein du SaaS.

"Si vous gagnez chaque marché, vous n'êtes pas assez, cela vient directement du blog SaaStr", a plaisanté Shrav. « Notre thèse avec Secureframe est que les 10 dernières années ont été consacrées au dégroupage de logiciels et il s'agit essentiellement d'offrir une solution ponctuelle ou un microservice pour tout.

Et nous pensons que les dix prochaines années seront consacrées à regroupage de logiciel. Et avec d'autres entreprises de notre espace, vous devez vous adresser à un autre fournisseur pour votre préparation, votre formation de sensibilisation à la sécurité, vos questionnaires de sécurité, votre centre de confiance, etc. Et cela représente beaucoup de fournisseurs à gérer et à intégrer. Et cela ne s’intègre jamais bien. Jamais beaucoup. Chez Secure Frame, nous gardons tout cela sous un même toit et nous intégrons toujours un grand nombre de ces autres partenaires.

L’objectif pour eux était de devenir le fournisseur le plus complet.

"C'est intéressant à quel point c'est la revanche de la suite aujourd'hui, non ?" » demanda Jason. "Vendr vient de recevoir un rapport disant que l'année dernière, 80 % de leurs dépenses ont été consacrées aux fournisseurs existants et aux renouvellements. C'est 80 % en un an, donc oui, les budgets cloud augmentent de 10 % ou plus pour Gartner, mais vos fournisseurs existants absorbent la totalité de cette augmentation. Donc, plus vous pouvez offrir, plus c'est gagnant, plus c'est le jeu gagnant. C'est assez fou.

[Contenu intégré]

• Contenu propulsé par le référencement et distribution de relations publiques. Soyez amplifié aujourd'hui.
• PlatoData.Network Ai générative verticale. Autonomisez-vous. Accéder ici.
• PlatoAiStream. Intelligence Web3. Connaissance Amplifiée. Accéder ici.
• PlatonESG. Carbone, Technologie propre, Énergie, Environnement, Solaire, La gestion des déchets. Accéder ici.
• PlatoHealth. Veille biotechnologique et essais cliniques. Accéder ici.
• La source: https://www.saastr.com/the-intersection-of-ai-and-security-whats-new-at-secureframe-with-ceo-shrav-mehta/