Lorsque SolarWinds a annoncé vendredi dernier, le 7 février 2025, un accord de 4,4 milliards de dollars pour être acquis par le fonds d'investissement Turn/River Capital, les RSSI ont manifesté leur inquiétude face à ce qu'ils apprécient le moins : l'incertitude. "Chaque fois qu'une entreprise de sécurité est acquise par un fonds d'investissement, il ne faut jamais se féliciter", a déclaré Frank Dickson, vice-président du groupe de recherche sur la sécurité et la confiance chez IDC. "Ce n'est presque jamais positif." M. Dickson a déclaré que la formule d'un fournisseur de sécurité repose sur la combinaison de trois éléments : une gestion cohérente, une exécution cohérente et une vision cohérente. "Le changement ne fonctionne pas bien. Et un fonds d'investissement a tendance à vouloir changer de direction. Cela ne profite généralement pas aux clients", a déclaré l'analyste. "Le problème est qu'un fonds d'investissement n'est pas dans le jeu pour le long terme. Le changement crée de l'incertitude. Les bénéfices seront réalisés par les investisseurs, et ceux qui paieront le prix seront les clients."

Le problème, a déclaré M. Dickson, est la manière dont les fonds d'investissement fonctionnent. "Lorsqu'une société d'investissement acquiert des entreprises dans le domaine de la sécurité, ce qu'elles essaient traditionnellement de faire est de débloquer de la valeur. Cela signifie augmenter la rentabilité, ce qui signifie souvent réduire les coûts et céder des entités de l'entreprise", a expliqué Franck Dickson. "Ces types de transitions sont positives pour le client dans une minorité de cas." L'accord devrait être conclu d'ici le 30 juin, selon le communiqué de presse de l'acquisition.

L'incertitude est mauvaise pour les clients

SolarWinds avait une bonne réputation pour ses offres de sécurité, mais son image a été ternie à jamais par l'attaque de sa chaîne d'approvisionnement en 2020 qui a introduit un cheval de Troie dans les mises à jour de sa plateforme Orion pour livrer des logiciels malveillants. Douglas Brush, qui dirige une société de conseil en cybersécurité appelée Brush Cyber Consulting, a indiqué que la base installée de SolarWinds, qui, comprend des clients Walmart, Amazon, McDonalds, CVS Health et Morgan Stanley, se retrouve dans le noir. Le niveau d'incertitude pourrait inciter certains RSSI à envisager de travailler avec l'un des concurrents de SolarWinds [ManageEngine OpManager, Nagios ou encore Zabbix], a déclaré M. Brush, mais c'est une option particulièrement difficile à mettre en plcae. Cela est dû à deux raisons : la complexité et le coût de la transition - "c'est un énorme effort de migration", a déclaré M. Brush - et les autres fournisseurs pourraient également être acquises. A la place des RSSI, "je tiendrais bon. Attendez de voir ce qui se passe", a précisé M.Brush. Ce dernier suggère de demander aux dirigeants actuels de SolarWinds quelle sera la direction future. C'est en fait une question test, a-t-il dit ; étant donné le changement de propriété, la direction ne connaîtra pas vraiment la direction future. "S'ils disent 'Nous ne savons pas ce qui va se passer', alors vous avez au moins affaire à quelqu'un d'honnête", a déclaré l'analyste. "Vous posez la question non pas parce que vous voulez connaitre la réponse. Vous voulez vsavoir comment ils répondent."

L'analyste craint le pire

Douglas Brush a souligné qu'avec le rachat de SolarWinds par Turn/River, il craint le pire. "Ils vont le cannibaliser. Ils vont faire ce que le capital-investissement fait avec ces entreprises : ils vont les démanteler et vendre les morceaux à de plus grands fournisseurs [...] Ils vont apporter du changement. C'est dans leur ADN", a indiqué M. Brush. "J'espère qu'ils ne vont pas faire quelque chose de maladroit et laisser péricliter l'éditeur. Mais encore une fois, étant donné que River est dans le nom, j'ai des inquiétudes."

Une autre préoccupation concerne la visibilité financière de l'entreprise en tant que société détenue par un fonds d'investissement, a-t-il déclaré. Avec une société de sécurité cotée en bourse, les RSSI peuvent examiner chaque dépôt auprès de la SEC pour obtenir des indices sur la viabilité et les plans futurs du fournisseur, mais "avec un fonds d'investissement, non coté, c'est vraiment une boîte noire." Richard Caralli, conseiller principal en cybersécurité chez Axio, a également indiqué qu'il pense que le plus grand changement de cet accord, en supposant qu'il soit finalement conclu, sera le passage du statut public au statut privé. "En devenant privée, les problèmes que SolarWinds a rencontrés avec la SEC disparaîtront en grande partie. L'absence d'actionnaires signifie des pressions externes réduites pour améliorer la posture de cybersécurité, en particulier dans la prévention des attaques de type man-in-the-middle qui nuisent aux utilisateurs", a déclaré M. Caralli. "L'absence d'exigences de divulgation basées sur la réglementation peut signifier que de nouveaux problèmes qui pourraient potentiellement mettre les clients en danger ne seront pas identifiés ou communiqués en temps opportun. De plus, l'accent mis par les investisseurs privés sur la croissance et la valeur peut reléguer au second plan les améliorations de la cybersécurité au profit de la reconstruction de l'entreprise." Cela signifie que les clients doivent surveiller attentivement comment les produits SolarWinds changent et réévaluer continuellement leur valeur, a déclaré Caralli. Will Townsend, vice-président et analyste principal chez Moor Insights & Strategy, a convenu que l'attaque de la chaîne d'approvisionnement de 2020 continue de hanter SolarWinds et qu'il s'agit probablement d'un facteur clé dans la décision de SolarWinds d'accepter le rachat. "Devenir privé par le biais d'un accord de capital-investissement n'est pas une surprise. [SolarWinds] n'a jamais fait assez pour rassurer les investisseurs et les clients qu'il avait appris et mis en oeuvre des mesures pour empêcher que ce piratage épique de la chaîne d'approvisionnement ne se reproduise", a déclaré M. Townsend dans un post sur X, ajoutant que SolarWinds n'a pas fait grand-chose "au-delà d'une tournée d'excuses qui n'a jamais atteint le marché plus large."

RSSI, ne faites rien d'imprudent  

Comme M.Brush, M.Dickson d'IDC encourage les RSSIà attendre et à observer. "Chaque fois que le capital-investissement achète une entreprise de sécurité, la première chose à faire est de respirer. La dernière chose à faire est quelque chose d'imprudent", a relevé M. Dickson. Lors de l'évaluation de fournisseurs alternatifs, l'analyste recommande de se concentrer sur le tableau d'ensemble. "Dix pour cent de la valeur réside dans l'outil, et quatre-vingt-dix pour cent dans les personnes et les processus autour de l'outil. Regardez quels outils sont disponibles et donnez-vous du temps. Ensuite, dans six mois, réévaluez", a expliqué M. Dickson. Pour les clients confrontés à des problèmes de renouvellement à court terme, il pousse au renouvelement, "maisde ne pas aller au-delà d'un délai d'un an pour vos renouvellements" et de se concentrer sur les clauses de sortie. Ensuite, élaborez une stratégie sur une période de 2 à 4 ans, a-t-il dit.

Lorsqu'on lui a demandé ce que signifiait l'acquisition pour les RSSI, Jess Burn, analyste principale pour la sécurité et le risque chez Forrester, a été succincte : "Pas grand-chose [...] Le piratage de SolarWinds et les violations qui en ont résulté ont donné aux RSSI deux points à considérer : un examen plus approfondi des tiers et quatrièmes parties dans ou connectés à l'entreprise, et la responsabilité personnelle", a déclaré Mme Burn. "SolarWinds a marqué le début d'un réveil plus large en matière de sécurité des produits pour les RSSI et les agences gouvernementales comme la CISA, qui a lancé Secure By Design en 2023 après une série de violations liées à la chaîne d'approvisionnement logicielle. La gestion des risques liés aux tiers et quatrièmes parties reste un problème, mais les RSSI savent maintenant quoi demander à leurs partenaires, y compris les fournisseurs de logiciels et de services IT gérés."