Connect with us

Sri Iyer, CTO et co-fondateur de Kovr.ai – Série d’entretiens

Entretiens

Sri Iyer, CTO et co-fondateur de Kovr.ai – Série d’entretiens

mm
Published
Updated

Sri Iyer, CTO et co-fondateur de Kovr.ai, est un leader technologique accompli avec une expérience approfondie dans l’innovation en intelligence artificielle, en analyse de données, en informatique quantique et en automatisation. Avant de fonder Kovr.ai, il a occupé des postes de direction chez Amazon, Guidehouse, PwC et Raytheon, où il a dirigé des équipes de développement de solutions de nouvelle génération dans les secteurs public et privé. Avec plus d’une décennie d’expérience dans les technologies émergentes et de nombreuses certifications industrielles, Iyer a bâti une réputation pour aider les organisations à exploiter les outils perturbateurs pour résoudre des défis commerciaux et de sécurité complexes.

Kovr.ai redéfinit la conformité en matière de cybersécurité grâce à une plate-forme native en intelligence artificielle conçue pour les environnements cloud et hybrides. L’entreprise automatise des cadres réglementaires complexes tels que FedRAMP et CMMC à l’aide d’une intelligence en temps réel et basée sur le code, permettant aux entreprises d’obtenir une autorisation d’exploitation (ATO) en seulement 15 minutes. En remplaçant les consultations manuelles traditionnelles et les outils de conformité rigides, Kovr.ai fournit une approche adaptable et évolutiva de la gestion des risques, permettant aux organisations réglementées de rester sécurisées, conformes et prêtes à affronter les changements continus.

Avant de co-fonder Kovr.ai, vous avez occupé des postes de direction chez AWS, PwC et divers startups axées sur le gouvernement fédéral. Quelles expériences personnelles ou professionnelles vous ont amené à réaliser qu’il existait une meilleure façon d’aborder la conformité en matière de technologie de l’information fédérale – et finalement à lancer Kovr.ai ?

J’ai vécu les défis de la conformité en matière de technologie de l’information fédérale des deux côtés – d’abord en tant que propriétaire de système construisant de grandes plateformes pour le ministère de la Défense, et plus tard en dirigeant les initiatives cloud et IA chez AWS. Dans un cas, un système que j’ai aidé à construire a mis des années à se développer, pour finalement être bloqué dans la conformité pendant encore plus longtemps. Cette frustration a été un point de rupture.

Chez AWS, j’ai dirigé des équipes qui ont soutenu des services passant par des processus de conformité tels que FedRAMP et des processus similaires. Malgré les ressources étendues d’Amazon, l’obtention d’une autorisation de service dans de nouvelles régions peut encore prendre jusqu’à trois ans. Même à cette échelle, les meilleures solutions internes étaient essentiellement des tableurs glorifiés – des outils comme Quip ou Google Docs – pour suivre et gérer le processus. L’inefficacité était stupéfiante, et j’ai vu de première main que la plupart des agences faisaient face au même problème.

Pendant des années, j’ai cru qu’il devait y avoir une meilleure façon, mais la complexité de la cartographie de milliers de contrôles à travers les bases de code et la documentation rendait l’automatisation véritablement hors de portée. Cela a changé lorsque j’ai dirigé l’équipe d’architecture de solutions d’IA/ML chez AWS. Voir comment l’IA générative pouvait transformer les flux de travail manuels a été révélateur. Soudain, ce qui semblait impossible – réduire la charge de travail de conformité au lieu de simplement la déplacer dans un autre outil – semblait réalisable.

Après quelques expérimentations et R&D, mon co-fondateur et moi avons réalisé que nous pouvions construire une plate-forme qui ne suivait pas seulement la conformité, mais l’accélérait également de manière significative. Cette prise de conscience a été à l’origine de Kovr.ai, un moyen d’exploiter l’IA pour réduire, et non simplement gérer, la charge de la conformité en matière de technologie de l’information fédérale.

De nombreuses startups technologiques ont du mal avec la complexité, le coût et le rythme des exigences de conformité fédérale. Quels ont été les principaux obstacles que vous avez rencontrés au début – et comment Kovr.ai a-t-il réussi à les surmonter pour construire une solution viable ?

Kovr.ai a rencontré plusieurs obstacles majeurs au début pour répondre à la conformité fédérale pour les startups, notamment:

  • Complexité et processus manuels: Les startups ont souvent trouvé la conformité fédérale accablante en raison du grand nombre de contrôles (par exemple, NIST 800-53 compte plus de 1200 contrôles) et des processus manuels, basés sur des tableurs, généralement utilisés. Cela rendait la conformité lente, sujette aux erreurs et gourmande en ressources.
  • Rétroaction lente et itération: Les processus de conformité traditionnels nécessitaient de longs cycles de va-et-vient entre les équipes et les consultants, retardant les progrès et rendant difficile pour les startups de savoir où elles en étaient ou ce qu’elles devaient corriger ensuite.
  • Coût élevé et charge de ressources: Les startups, avec un temps et des ressources limités, ont eu du mal à donner la priorité à la conformité par rapport à leur feuille de route de produit, souvent retardant les travaux gouvernementaux pendant des années.

Nous avons surmonté ces obstacles en utilisant l’automatisation, les entrées flexibles, l’itération rapide et une intégration profonde du flux de travail pour rendre la conformité plus accessible aux startups. La plate-forme scanne automatiquement la documentation, le code et les environnements cloud pour les mapper aux contrôles de conformité et fournir des évaluations de lacunes instantanées. Elle prend en charge les artefacts dans n’importe quel format, réduisant les barrières à l’entrée, et met l’accent sur la rétroaction rapide de l’utilisateur pour garantir la pertinence dans le monde réel. En intégrant les vérifications de conformité dans les pipelines de développement, Kovr.ai aide les équipes à intégrer la conformité de manière transparente sans perturbations majeures.

Comment le passage vers des formats de conformité lisibles par machine comme OSCAL [Open Security Controls Assessment Language] a-t-il changé la façon dont les fournisseurs et les agences abordent la sécurité ?

OSCAL a le potentiel de rendre la conformité plus automatisée et efficace, mais son impact est actuellement limité par le rythme d’adoption parmi les fournisseurs et les agences. À mesure que davantage de parties utilisent OSCAL, les avantages de l’automatisation et de la normalisation dans les processus de conformité devraient augmenter. Kovr.ai est construit de manière native sur OSCAL, lui permettant de transmettre et de traiter les informations de conformité dans ce format, mais les avantages plus larges ne seront réalisés que lorsque davantage de parties prenantes adopteront des flux de travail basés sur OSCAL.

Vous décrivez Kovr.ai comme un « copilote de conformité ». Nous vous demandons de nous expliquer ce que cela signifie dans la pratique – de la documentation à la préparation à l’audit. Qu’est-ce qui se passe en arrière-plan pour rendre ce processus plus rapide ou plus facile ?

En arrière-plan, Kovr.ai utilise l’IA et l’automatisation pour éliminer le travail manuel, fournir une rétroaction instantanée et maintenir à jour la documentation de conformité, rendant ainsi l’ensemble du processus, de la documentation à la préparation à l’audit, beaucoup plus rapide et plus facile pour les utilisateurs.

Les utilisateurs peuvent apporter tous les artefacts de conformité qu’ils possèdent déjà, dans n’importe quel format – documents, code, données d’environnement cloud, diagrammes d’architecture, etc. À partir de là, Kovr.ai scanne automatiquement chaque ligne de chaque document, base de code et environnement, puis mappe toutes ces informations aux contrôles de sécurité pertinents, tels que ceux de NIST 800-53. Cela est réalisé à l’aide de modèles d’IA qui construisent un graphique de connaissance complet du paysage de conformité de l’utilisateur.

Ensuite, notre système évalue chaque contrôle, identifie les lacunes et génère des recommandations d’action pour la remédiation. Les utilisateurs peuvent résoudre ces lacunes en mettant à jour leur environnement ou leur documentation et en réuploadant vers Kovr.ai, qui fournit ensuite une rétroaction instantanée sur la résolution des problèmes. La bonne nouvelle est que ce processus peut être répété autant de fois que nécessaire, permettant aux utilisateurs d’améliorer de manière itérative leur posture de conformité avec une rétroaction rapide et automatisée, éliminant ainsi les retards traditionnels de va-et-vient entre les équipes et les consultants.

Kovr.ai peut également générer toute la documentation de conformité requise, y compris les modèles de gouvernement, comme les SSP de FedRAMP, à l’aide des informations du graphique de connaissance.

Enfin, la plate-forme maintient toutes les informations de conformité à jour et peut les emballer pour les auditeurs. De plus en plus, les auditeurs peuvent même accéder directement à Kovr.ai pour examiner et interroger les données de conformité, rationalisant ainsi le processus d’audit.

Les startups sont souvent confrontées à un difficile arbitrage : aller vite et casser des choses, ou ralentir pour se conformer. Comment avez-vous abordé cet arbitrage pendant la construction de Kovr.ai – et quels conseils donneriez-vous à d’autres innovateurs qui tentent de pénétrer les marchés réglementés ?

Kovr.ai a été construit avec la conformité et la sécurité à l’esprit dès le départ, en intégrant des fonctionnalités telles que des systèmes cloisonnés, une authentification robuste et un cryptage pour supporter les environnements réglementés. Nous avons également intégré des vérifications de conformité automatisées directement dans notre pipeline DevOps, permettant la détection précoce des problèmes et évitant les longues revues. Nous nous sommes concentrés sur une prototypage rapide et une intégration basée sur la rétroaction de l’utilisateur, garantissant que le produit répondait aux besoins de l’utilisateur tout en restant conforme. L’automatisation a encore réduit les frais généraux manuels, permettant un développement rapide et sécurisé à grande échelle.

Pour les innovateurs, il est crucial d’intégrer la conformité et la sécurité dans leur produit dès le départ, en particulier pour les marchés réglementés. Intégrez des vérifications de conformité automatisées dans votre pipeline DevOps pour détecter les problèmes tôt et faites appel à des experts en conformité humains lorsque nécessaire. Même si la conformité peut ralentir le développement de fonctionnalités, elle économise finalement du temps en évitant des reprises coûteuses.

Vous avez parlé de la nécessité de moderniser les achats fédéraux. Quelles parties du système actuel vous semblent les plus obsolètes – et quels changements pratiques rendraient-ils les choses plus faciles pour les entreprises en démarrage pour concurrencer ?

Le système d’achats fédéraux est souvent perçu comme obsolète, avec des cycles d’acquisition lents, un financement qui donne la priorité aux opérations plutôt qu’à l’innovation, et des mécanismes d’achat complexes qui rendent difficile pour les startups de percer. Pour soutenir les entreprises en démarrage, des réformes pratiques incluent l’allocation d’un financement plus flexible et axé sur l’innovation, la réduction des seuils d’acquisition pour des achats plus rapides et plus petits, l’élargissement de l’accès aux véhicules d’approvisionnement comme Tradewinds du DOD, et la création de plateformes simplifiées, similaires à un « app-store », pour faciliter la découverte et l’achat de nouvelles technologies par les agences.

En regardant en arrière, quels choix fondamentaux – autour de l’architecture, de la stratégie de lancement sur le marché ou de l’embauche – se sont avérés les plus importants pour amener Kovr.ai à où il en est aujourd’hui ?

Les choix fondamentaux les plus importants pour Kovr.ai étaient un prototypage et une itération rapides, une vision de produit guidée par l’utilisateur, des stratégies de production flexibles, la construction d’une communauté de rétroaction et le maintien d’un fort accent sur les besoins des clients. Ces choix nous ont permis de construire une solution qui répond réellement aux défis de la conformité fédérale.

En tant que CTO, comment équilibrez-vous l’innovation rapide et le maintien d’une conformité étanche ? Existe-t-il des cadres ou des pratiques internes que vous avez adoptés pour maintenir les deux priorités sur les rails ?

J’équilibre l’innovation et la conformité en intégrant la conformité dans chaque étape du développement, en utilisant l’automatisation, en maintenant des environnements de production flexibles et en restant étroitement connecté aux besoins des utilisateurs et à l’expertise. Ces pratiques garantissent que les deux priorités – innovation rapide et conformité étanche – sont constamment respectées.

En regardant vers l’avenir, où voyez-vous Kovr.ai s’étendre ensuite – que ce soit dans les gouvernements étatiques et locaux, d’autres industries réglementées comme la finance et l’énergie, ou même les marchés internationaux ?

L’équipe continuera à faire progresser la technologie Kovr.ai pour la gestion continue et automatisée de la conformité, en s’étendant dans plusieurs directions au-delà de son objectif actuel de conformité du gouvernement fédéral. Cela inclut l’expansion dans les gouvernements étatiques et locaux, d’autres industries réglementées comme la finance, l’énergie et les soins de santé, et les marchés internationaux.

Merci pour cette grande interview, les lecteurs qui souhaitent en savoir plus peuvent visiter Kovr.ai.

mm

Antoine est un leader visionnaire et partenaire fondateur de Unite.AI, animé par une passion inébranlable pour façonner et promouvoir l'avenir de l'IA et de la robotique. Un entrepreneur en série, il croit que l'IA sera aussi perturbatrice pour la société que l'électricité, et se fait souvent prendre en train de vanter le potentiel des technologies perturbatrices et de l'AGI.
En tant que futurist, il se consacre à explorer comment ces innovations vont façonner notre monde. En outre, il est le fondateur de Securities.io, une plateforme axée sur l'investissement dans les technologies de pointe qui redéfinissent l'avenir et remodelent des secteurs entiers.