Rohan Sathe, cofondateur et PDG de Nightfall – Série d'entretiens

À l'origine, nous souhaitions utiliser l'apprentissage automatique pour découvrir et protéger les données sensibles, où qu'elles se trouvent, dans les applications cloud et les workflows modernes. Après notre sortie de l'ombre en 2019, nous nous sommes positionnés comme une solution SaaS de DLP cloud-native, optimisée par le ML, avec pour ambition de créer le « plan de contrôle des données cloud ». Au-delà du SaaS, nous avons étendu notre activité à l'exfiltration de données sur les terminaux et à l'IA générative, et l'expression « DLP IA-native » est devenue notre expression générique.

Avant de créer Nightfall, vous étiez ingénieur fondateur chez Uber Eats, où vous avez pu constater de visu la diffusion des données entre les outils SaaS et cloud. Comment vos expériences ont-elles façonné votre vision de la sécurité des données, et quels moments ou défis précis ont suscité l'idée de Nightfall ?

Chez Uber Eats, je dirigeais des équipes back-end et développais des services de ML appliqués, comme les ETA et les prévisions de l'offre et de la demande. Nous manipulions des données de plusieurs pétaoctets réparties sur de nombreux systèmes différents, un environnement où les informations sensibles peuvent circuler très rapidement et souvent de manière invisible. Cette expérience, combinée aux enseignements tirés par l'ensemble du secteur suite à des incidents comme la faille de sécurité d'Uber en 2016 – où des attaquants ont exploité des identifiants exposés dans du code sur GitHub pour accéder aux données AWS – a clairement mis en évidence l'ampleur des risques engendrés par cette combinaison de prolifération de données, d'identifiants et d'infrastructure cloud, sans meilleure détection ni meilleure protection. Ces réalités ont motivé dès le départ Nightfall à privilégier la découverte et la prévention contextuelles.

Nightfall a été lancé publiquement en 2019 grâce à un financement de série A. Pouvez-vous nous décrire le parcours initial, du mode furtif au lancement, en incluant les points d'inflexion clés ?

Nous avons opéré discrètement pendant environ un an, puis avons officiellement lancé notre solution le 7 novembre 2019, grâce à un financement de 20.3 millions de dollars mené par Bain Capital Ventures et Venrock. Les premiers points d'inflexion ont véritablement porté sur le développement d'intégrations SaaS étendues et d'une classification de contenu plus précise basée sur le Machine Learning, susceptible de réduire les faux positifs qui empoisonnaient les solutions DLP existantes.

L'IA fantôme désigne l'utilisation non contrôlée d'outils comme ChatGPT, Gemini et Copilot sur le lieu de travail, ce qui entraîne souvent des fuites de données invisibles. Comment définissez-vous l'IA fantôme et pourquoi constitue-t-elle une préoccupation croissante pour les organisations modernes ?

Nous définissons l'IA fantôme comme l'utilisation non autorisée ou non contrôlée d'outils d'IA par les employés (par exemple, l'insertion de code source ou de données clients dans des chatbots), ce qui crée des risques d'exposition en dehors de la gouvernance informatique. Cette définition rejoint celle observée chez d'autres acteurs du secteur comme IBM et Splunk. L'IA fantôme est essentiellement une utilisation de l'IA sans approbation ni supervision, ce qui crée des angles morts et des risques potentiels d'exfiltration de données. La combinaison d'applications d'IA générative faciles à utiliser et de l'absence de contrôles adéquats explique la croissance rapide de ce problème.

Vous avez décrit plusieurs différences entre l'approche de Nightfall en matière d'IA Shadow et la DLP traditionnelle. Laquelle de ces fonctionnalités, qu'il s'agisse de surveillance contextuelle, de traçabilité des données ou de blocage en temps réel, a eu le plus d'impact pour vos clients ?

D'après ce que nous disent régulièrement nos clients, deux leviers principaux font la plus grande différence. Le premier est le contrôle préalable à la soumission, qui permet de détecter les contenus sensibles avant leur envoi aux outils d'IA ou leur publication sur le web. Le second est notre détection native par IA, qui va au-delà de la simple recherche de motifs pour comprendre la traçabilité et le contexte des données.

Notre véritable atout réside dans notre réduction du bruit grâce à l'apprentissage continu. Notre système comprend la lignée des contenus et des fichiers, apprend des annotations et des actions des utilisateurs et identifie les flux de travail sécurisés pour supprimer les activités à faible risque. Cela réduit considérablement les faux positifs par rapport aux solutions DLP traditionnelles. Nous détectons également les menaces et hiérarchisons les risques en temps réel grâce aux LLM, aux transformateurs et à la vision par ordinateur, avec des classificateurs de fichiers et de sensibilité personnalisés qui permettent de détecter les mouvements de propriété intellectuelle et de documents de grande valeur, bien au-delà de la simple détection d'entités basée sur des règles. Nos clients nous disent constater cette transformation : la lassitude face aux alertes se transforme en actions de sécurité ciblées et à fort impact.

Comment le système de détection basé sur le navigateur et natif des points de terminaison de Nightfall arrête-t-il les fuites avant qu'elles ne se produisent, et comment cela se compare-t-il aux systèmes DLP hérités qui ne détectent les violations qu'après la soumission ?

Notre extension de navigateur et nos agents de point de terminaison analysent les invites et les fichiers avant leur envoi. Nous pouvons supprimer ou bloquer les contenus à risque en temps réel, par exemple avant l'envoi d'une invite ChatGPT. Nous traçons également la lignée afin que les équipes de sécurité sachent si un fichier provient d'un système d'entreprise. Nous déployons nos services sur macOS et Windows avec des extensions Chrome et Firefox qui offrent cette fonctionnalité de suppression avant l'envoi et de blocage des téléchargements. C'est un contraste frappant avec les anciennes solutions de prévention des pertes de données, qui reposent principalement sur une détection a posteriori.

Nightfall a connu une croissance significative depuis sa création. Comment les besoins de sécurité des entreprises ont-ils évolué au fil du temps et comment votre produit s'est-il adapté ?

Le paysage a radicalement changé. Nous avons commencé avec l'analyse SaaS (comme Slack et Google Drive) vers 2020-2021. Puis, à partir de 2023, les garde-fous de l'IA générative sont devenus essentiels, et nous constatons aujourd'hui un besoin urgent de prévention des menaces autonome et intelligente, capable d'évoluer avec la croissance de l'organisation.

Les équipes chargées des opérations de sécurité sont confrontées à des outils de plus en plus complexes, à des DLP héritées avec correspondance de modèles, à des ajustements manuels constants des politiques et à une lassitude vis-à-vis des alertes. Ces problèmes ralentissent les investigations, augmentent les coûts et réduisent l'efficacité de la sécurité. L'évolution de nos produits a suivi cette transition, passant d'opérations réactives et manuelles à une automatisation proactive et intelligente. Nous avons annoncé la couverture de l'IA générative en 2023, puis l'avons étendue à la prévention de l'exfiltration, au chiffrement et à la protection des e-mails en 2024. Avec Nyx, nous inaugurons ce que nous considérons comme la prochaine ère de l'IA agentique en matière de protection des données : transformer la lassitude vis-à-vis des alertes en actions de sécurité ciblées et à fort impact sur les SaaS, les terminaux et les outils d'IA.

Vous avez récemment lancé Nightfall Nyx, que vous décrivez comme la première plateforme DLP autonome et native de l'IA du secteur. Qu'est-ce qui la rend autonome et quels problèmes cela résout-il pour les équipes de sécurité ?

La plateforme de détection IA de Nightfall fournit déjà des résultats extrêmement précis et peu bruyants : une précision de 95 %, contre 5 à 30 % pour les DLP traditionnelles basées sur des expressions régulières ou des règles. Sur cette base, Nyx est la couche d'intelligence artificielle qui aide les équipes de sécurité à enquêter, corréler et comprendre les risques.

Même après la fin du bruit, le vrai travail commence. Dans les grandes organisations, les équipes SecOps peuvent encore être confrontées à des centaines d'alertes légitimes chaque jour. Les analyser pour distinguer les workflows approuvés par l'entreprise des problèmes d'hygiène des données ou des menaces internes peut prendre des heures. Nyx se charge de cette lourde tâche d'investigation, accélérant l'analyse afin que les équipes puissent se concentrer sur l'action, plutôt que de parcourir et de trier des pages d'alertes.

Nyx relie les événements d'exfiltration (utilisateurs, domaines, appareils, types de données, noms de fichiers, etc.) et met instantanément en évidence des tendances. Grâce à son interface en langage naturel, les analystes peuvent agir sur les tendances, analyser les résultats, produire des rapports et obtenir des recommandations d'actions en quelques secondes. Des tâches qui prenaient autrefois deux heures peuvent désormais être réalisées en moins de deux minutes, un véritable gain de temps multiplié par 20.

Alors que l’utilisation de l’IA générative explose sur les lieux de travail et que les équipes de sécurité ont du mal à suivre, pensez-vous que des outils comme Nightfall deviendront une couche de contrôle par défaut pour les environnements d’entreprise ?

Je pense que la trajectoire suggère que oui. Nous observons des plans d'adoption généralisés de l'IA générative dans les entreprises, et des plateformes majeures comme Microsoft Entra Internet Access déploient des contrôles en ligne, avant soumission, pour le trafic génératif. Si l'on ajoute à cela le consensus du secteur sur les risques liés à l'IA fantôme, il est raisonnable de s'attendre à ce que la DLP, avant soumission et compatible avec l'IA, devienne une couche de contrôle par défaut, aux côtés d'outils tels que la gestion des identités et des accès, ainsi que la détection et la réponse aux points de terminaison.

Enfin, en tant que fondateur évoluant dans un espace en évolution rapide, quelle est votre vision à long terme pour Nightfall et le rôle de l'IA dans la protection des données d'entreprise ?

Notre vision à long terme s'appuie sur ce que nous avons défini dès le lancement : être le plan de contrôle des données cloud. Nous l'étendons désormais avec des opérations autonomes et des capacités d'IA agentique. Nous envisageons un avenir où la sécurité s'améliorera continuellement sans surcharger les analystes, où l'IA éliminera le besoin d'expertise spécialisée et où les organisations pourront passer d'opérations de sécurité manuelles et réactives à une prévention proactive et intelligente des menaces.

Concrètement, cela signifie une IA capable d'analyser les données en contexte et de prendre des mesures sûres et intelligentes (investigation, coaching, suppression, blocage) sur les SaaS, les terminaux, les e-mails et l'IA fantôme. Nous souhaitons boucler la boucle, de la détection à la prévention, en offrant aux équipes de sécurité un partenaire intelligent et toujours disponible, qui s'améliore à chaque enquête et transforme des semaines d'analyse forensique manuelle en minutes de réponse ciblée.

Merci pour cette excellente interview, les lecteurs qui souhaitent en savoir plus devraient visiter Tombée de la nuit.