Connect with us

David Matalon, PDG et fondateur de Venn – Série d’entretiens

Entretiens

David Matalon, PDG et fondateur de Venn – Série d’entretiens

mm
Published
Updated

David Matalon, PDG et fondateur de Venn, est un entrepreneur en série avec une longue expérience de construction de plateformes technologiques d’entreprise sécurisées, ayant précédemment dirigé OS33, un leader précoce dans les espaces de travail sécurisés pour les entreprises financières, et External IT, un pionnier dans les services d’hébergement IT. Avec Venn, il se concentre sur la rédefinition de la sécurité du travail à distance en permettant aux organisations d’adopter des modèles d’apport de votre propre appareil (BYOD) sans sacrifier la conformité ou le contrôle, en exploitant son expérience approfondie dans les infrastructures cloud, la sécurité des points de terminaison et les industries réglementées pour répondre aux défis croissants des effectifs distribués.

Venn est une plateforme de cybersécurité et de travail à distance conçue pour sécuriser les données de l’entreprise sur les appareils personnels et non gérés grâce à sa technologie propriétaire Blue Border, qui crée un environnement sécurisé et chiffré sur l’ordinateur de l’utilisateur où les applications et les données de travail sont isolées de l’activité personnelle. Contrairement aux infrastructures de bureau virtuel traditionnelles, Venn permet aux applications de s’exécuter localement avec des performances natives tout en appliquant des politiques de protection et de conformité des données strictes, aidant les organisations à réduire les coûts IT, à intégrer rapidement les travailleurs à distance et à maintenir la confidentialité en séparant les environnements d’entreprise et personnels sur le même appareil.

Vous avez passé plus de deux décennies à construire des technologies pour un travail à distance sécurisé, de lancer Offyx aux débuts des fournisseurs de services d’applications à la fondation d’OS33 et maintenant Venn. Quelles leçons tirées de ces entreprises précédentes vous ont amené à construire Venn, et comment ces expériences ont-elles façonné l’idée derrière Blue Border et votre vision pour sécuriser les effectifs BYOD modernes ?

Au cours des deux dernières décennies, j’ai eu l’occasion de construire des entreprises à différents stades de l’évolution du travail à distance. À OS33, nous avons passé des années à fournir des environnements de travail à distance sécurisés grâce à des infrastructures hébergées qui utilisaient une technologie similaire à l’infrastructure de bureau virtuel (VDI). Même si le modèle de sécurité fonctionnait, nous avons continué à recevoir les mêmes commentaires de la part des clients : l’expérience d’utilisation des applications hébergées à distance était souvent lente, complexe à maintenir et frustrante pour les utilisateurs.

Ces commentaires ont été un tournant. L’hébergement à distance a introduit une latence inévitable et nécessitait une infrastructure significative, créant une complexité opérationnelle pour les équipes IT. Nous avons commencé à nous poser une question simple : qu’est-ce qui se passerait si vous pouviez supprimer l’hébergement de l’équation entièrement ? Au lieu d’exécuter le travail ailleurs et de le diffuser à l’utilisateur, pouvait-on exécuter le travail localement sur l’appareil de l’utilisateur tout en protégeant les données de l’entreprise ?

Cette réflexion a finalement conduit à Venn et au concept derrière Blue Border. Au lieu de forcer le travail à travers l’hébergement à distance et la virtualisation, nous avons créé un nouveau modèle qui permet aux applications d’entreprise de s’exécuter localement sur l’appareil de l’utilisateur tout en gardant les données de l’entreprise chiffrées et protégées. Même sur un ordinateur portable personnel, le travail reste isolé et protégé de l’activité personnelle.

Les outils d’intelligence artificielle se propagent dans les entreprises plus rapidement que les politiques ne peuvent suivre. De votre point de vue, pourquoi la gouvernance a-t-elle du mal à suivre le rythme de l’adoption de l’IA au sein des organisations ?

La gouvernance a du mal à suivre le rythme de l’adoption de l’IA parce que la technologie est devenue un outil quotidien presque du jour au lendemain. Au cours des dernières années, depuis l’explosion de ChatGPT, les employés ont intégré l’IA dans leur vie et leurs flux de travail. Ils n’attendent pas les cycles d’approbation formels de l’IT ; ils utilisent déjà l’IA pour écrire plus rapidement, analyser les informations, résumer les réunions ou générer du code en quelques secondes. Dans la plupart des organisations, la création de politiques, la révision juridique, la validation de la sécurité et le déploiement de l’IT se font sur un horizon temporel beaucoup plus lent que le comportement des utilisateurs. C’est là que la gouvernance de l’IA est en retard.

Le problème plus profond est que de nombreuses organisations tentent d’appliquer le modèle de contrôle d’hier à la réalité de l’IA d’aujourd’hui. La gouvernance traditionnelle était axée sur l’approbation ou le blocage d’un ensemble connu d’applications, mais l’IA est maintenant intégrée aux navigateurs, aux plateformes SaaS et même aux systèmes d’exploitation. La gouvernance doit évoluer pour aller au-delà du contrôle d’un ensemble prédéterminé d’outils et se concentrer sur la protection des données où qu’elles résident, en sécurisant l’environnement de travail et en définissant les conditions dans lesquelles les informations sensibles peuvent être utilisées en toute sécurité.

De nombreuses entreprises tentent de résoudre le problème en restreignant ou en interdisant les outils d’IA générative. Pourquoi pensez-vous que cette approche échoue dans la pratique, et quels risques de sécurité involontaires peut-elle créer ?

Les interdictions échouent parce qu’elles ignorent la réalité de la façon dont les gens travaillent. Les employés trouveront des moyens d’utiliser les outils d’IA malgré l’approbation officielle. Cela crée une IA de l’ombre, ou une utilisation non autorisée des outils, des comptes personnels, des flux de travail de copie-collage et des interactions basées sur les navigateurs, qui peuvent se produire en dehors de la surveillance approuvée. L’entreprise perd alors la visibilité, mettant ses données sensibles à risque.

Dans de nombreux cas, les politiques restrictives peuvent augmenter le risque plutôt que de le réduire. Lorsque les employés ne peuvent pas utiliser ces outils de manière sécurisée, ils trouvent souvent des solutions de contournement. Les données sensibles de l’entreprise peuvent alors s’écouler dans des outils que les équipes IT ou de sécurité ne surveillent pas ou ne contrôlent pas. La meilleure approche n’est pas la prohibition pour elle-même, mais la possibilité d’une utilisation sûre grâce à l’isolement, au contrôle des données et à des garde-fous clairs qui permettent à l’entreprise de progresser sans exposer des informations critiques.

Les capacités d’IA sont de plus en plus intégrées directement dans les applications du quotidien plutôt que d’exister en tant qu’outils autonomes. Comment ce changement modifie-t-il la façon dont les équipes de sécurité devraient penser à la surveillance et au contrôle de l’exposition des données ?

Ce changement est important car il brise l’ancien modèle mental de « l’application à risque par rapport à l’application approuvée ». Si l’IA est intégrée dans le courrier électronique, la CRM, la conférence, l’édition de documents et la recherche, alors l’exposition des données n’est plus liée au fait qu’un utilisateur ouvre un outil d’IA distinct. Elle est liée aux données accessibles au sein de l’application, au contexte que l’IA peut voir et à la condition dans laquelle cette interaction se produit dans un espace de travail sécurisé.

En conséquence, les équipes de sécurité doivent se concentrer sur la protection des données plutôt que sur les verrous de dispositif complets. L’accent doit être mis sur l’isolement des sessions de travail, le contrôle de la copie/collage et des téléchargements lorsque cela est approprié, la prévention des fuites entre les contextes personnels et professionnels et la garantie que les informations sensibles restent dans un environnement protégé.

La technologie Blue Border de Venn isole les applications et les données de travail localement sur l’appareil personnel de l’utilisateur au lieu de s’appuyer sur l’infrastructure de bureau virtuel traditionnelle. Comment cette architecture modifie-t-elle fondamentalement le modèle de sécurité des points de terminaison pour le travail à distance ?

Blue Border modifie fondamentalement le modèle de sécurité des points de terminaison en allant au-delà de l’idée que la sécurité nécessite soit un contrôle complet du dispositif, soit un bureau virtuel. L’infrastructure de bureau virtuel traditionnelle sécurise le travail en l’hébergeant à distance et en le diffusant à l’utilisateur. Blue Border sécurise le travail directement sur l’appareil personnel de l’utilisateur en créant un environnement sécurisé contrôlé par l’IT où les applications s’exécutent localement et où les données de l’entreprise restent isolées et protégées.

Le résultat est un modèle de sécurité différent pour le travail à distance, où les entreprises peuvent appliquer une protection autour du travail lui-même sans émettre des appareils d’entreprise ou forcer les utilisateurs à faire face au retard et à la latence qui accompagnent l’hébergement d’un bureau dans le cloud.

Du point de vue de l’architecture de sécurité, cela déplace le modèle de la gestion de l’ensemble du point de terminaison ou de la centralisation des protocoles de sécurité vers la protection de l’espace de travail lui-même, où il réside. Blue Border garantit que les données sensibles ne quittent jamais l’environnement local protégé et applique les politiques à l’intérieur de cette limite. Cela empêche les fuites vers le côté personnel de l’appareil. Par conséquent, les utilisateurs peuvent profiter des performances natives de calcul et d’application, et ils peuvent utiliser un appareil personnel depuis n’importe où dans le monde, contrairement à un appareil d’entreprise requis.

De nombreuses organisations luttent pour équilibrer la vie privée des employés et la surveillance de l’entreprise lorsque les travailleurs utilisent des appareils personnels. Comment les équipes de sécurité peuvent-elles protéger les données sensibles sans créer la perception de surveillance ?

La clé est de protéger le travail, et non l’activité personnelle. Les employés sont légitimement mal à l’aise lorsque les mesures de sécurité pourraient s’étendre à leurs fichiers personnels, messages, historique de navigation ou applications personnelles. Sur un appareil BYOD, la confiance compte. Si l’entreprise ne peut pas clairement expliquer où commence et où se termine sa visibilité, les employés supposeront le pire.

Un modèle plus solide est celui qui crée un espace de travail distinct pour l’activité professionnelle et applique des contrôles de sécurité uniquement à l’intérieur de cette limite. Cela donne à l’organisation la capacité de protéger les données de l’entreprise tout en donnant aux employés la confiance que leur activité personnelle n’est pas surveillée ou gérée. La vie privée et la sécurité n’ont pas besoin de se contester si l’architecture est conçue pour les séparer clairement.

Le travail à distance et les équipes basées sur des contractuels ont rendu les environnements BYOD quasi inévitables. Quels sont les plus grands risques de sécurité associés aux appareils non gérés aujourd’hui ?

Le plus grand risque est que les appareils non gérés effacent la frontière entre les activités personnelles et professionnelles. Sur la même machine, un utilisateur peut avoir des applications de travail ouvertes aux côtés du courrier électronique personnel, des outils d’IA grand public, des applications de messagerie, des services de partage de fichiers et des extensions de navigateur non fiables. Sans une couche de séparation sécurisée, il devient très facile pour les données sensibles d’être copiées, mises en cache, téléchargées, capturées d’écran ou exposées par des canaux que l’entreprise ne contrôle pas. Pour les organisations soumises à des réglementations en matière de sécurité des données, c’est un risque énorme.

Les agents d’intelligence artificielle et les flux de travail automatisés commencent à interagir directement avec les applications et les données d’entreprise. Quels nouveaux défis de sécurité introduisent ces systèmes autonomes ?

Les systèmes autonomes introduisent une classe de risque différente car ils ne génèrent pas seulement du contenu, mais peuvent également agir. Les agents d’IA connectés aux systèmes d’entreprise peuvent récupérer ou déplacer des données, mettre à jour des enregistrements, déclencher des flux de travail ou communiquer à l’extérieur. Cela étend la zone d’impact d’une erreur, d’une mauvaise configuration ou d’une identité compromise de manière significative par rapport à ce que nous voyons avec les assistants d’IA passifs.

Cela crée également de nouvelles questions sur l’accès, la confiance et la responsabilité. Quelles données l’agent est-il autorisé à accéder ? Dans quelles conditions peut-il agir ? Comment cette activité est-elle consignée, contrainte et examinée ? Les équipes IT et de sécurité devront traiter les agents d’IA moins comme des fonctionnalités logicielles et plus comme des acteurs numériques privilégiés. Cela signifie appliquer des principes tels que le privilège minimum, la segmentation, l’isolement de session et une forte traçabilité dès le départ.

À mesure que les organisations intègrent l’intelligence artificielle générative dans les outils de productivité, les systèmes de support client et les flux de travail internes, quels types d’expositions de données sensibles vous inquiètent le plus ?

L’utilisation de l’IA générative sur le lieu de travail a flou la frontière entre les données personnelles et celles de l’entreprise. Les employés accèdent souvent à des outils externes tout en travaillant avec des informations de l’entreprise, ce qui rend facile pour les données sensibles telles que les dossiers clients, les documents internes, le code source ou les informations financières de fuir dans des environnements externes. Lorsque les données de l’entreprise s’écoulent dans des contextes personnels ou des appareils non gérés, les entreprises perdent la visibilité et le contrôle sur l’endroit où ces informations vont, comment elles sont stockées et qui pourrait finalement y accéder. À mesure que l’IA devient intégrée aux flux de travail quotidiens, les organisations doivent aborder cette frontière floue en garantissant que les données de l’entreprise restent protégées même lorsque le travail se fait sur des appareils personnels.

En regardant vers l’avenir, comment voyez-vous l’évolution de la sécurité des points de terminaison à mesure que les flux de travail alimentés par l’IA deviennent plus courants dans les effectifs distribués et à distance ?

La sécurité des points de terminaison devra devenir beaucoup plus adaptative, consciente du contexte et centrée sur l’espace de travail. Dans le passé, la conception de la sécurité des points de terminaison supposait un appareil géré, une périphérie de bureau définie et un ensemble relativement stable d’applications d’entreprise. Le futur est distribué, alimenté par l’IA et de plus en plus autonome. La sécurité doit suivre le travail lui-même, où qu’il se produise, sans supposer un contrôle total sur l’appareil ou bloquer la productivité.

Le modèle gagnant sera celui qui combine une séparation solide entre l’appareil et les données sensibles, des contrôles d’accès sensibles au contexte et une architecture qui préserve une frontière claire entre le travail et l’activité personnelle. Les organisations ont besoin d’environnements où les employés, les contractuels et les flux de travail alimentés par l’IA peuvent fonctionner de manière productive, mais dans des contrôles qui protègent les données par conception. Les entreprises qui réussiront ne seront pas celles qui tentent de ralentir l’adoption de l’IA ; elles seront celles qui rendent possible une adoption sûre à grande échelle.

Je vous remercie pour cette grande interview, les lecteurs qui souhaitent en savoir plus peuvent visiter Venn.

Related Topics:
mm

Antoine est un leader visionnaire et partenaire fondateur de Unite.AI, animé par une passion inébranlable pour façonner et promouvoir l'avenir de l'IA et de la robotique. Un entrepreneur en série, il croit que l'IA sera aussi perturbatrice pour la société que l'électricité, et se fait souvent prendre en train de vanter le potentiel des technologies perturbatrices et de l'AGI.
En tant que futurist, il se consacre à explorer comment ces innovations vont façonner notre monde. En outre, il est le fondateur de Securities.io, une plateforme axée sur l'investissement dans les technologies de pointe qui redéfinissent l'avenir et remodelent des secteurs entiers.