Tarun Thakur, cofondateur et PDG de Veza – Série d'entretiens

Tarun Thakur, cofondateur et PDG de Veza, est un ancien cadre de Data Domain, Veritas et IBM, fort de plusieurs décennies d'expérience dans la création d'infrastructures d'entreprise. Il a cofondé Veza pour répondre à la crise croissante de la prolifération des identités, en mettant l'accent sur la clarté et le contrôle des architectures hybrides et cloud natives complexes.

Véza est une plateforme de sécurité des identités spécialement conçue pour les environnements multicloud modernes, permettant aux entreprises de gérer et de faire respecter les droits d'accès sur les applications, les plateformes cloud et les systèmes de données avec une visibilité et une précision inégalées. Fort d'un financement de plus de 125 millions de dollars, dont une levée de fonds de série C de 110 millions de dollars menée par Accel avec la participation de Sequoia Capital, GV et Norwest Venture Partners, Veza accompagne des entreprises de premier plan telles que Blackstone, Autodesk, SoFi, Wynn Resorts et S&P Global pour prévenir les failles de sécurité, atténuer les risques internes et garantir la conformité.

Vous avez cofondé avec succès plusieurs entreprises d'infrastructures d'entreprise au fil des ans. Qu'est-ce qui vous a poussé à lancer Veza, et comment vos expériences passées chez Datos IO, Data Domain et IBM Research ont-elles façonné votre vision de la sécurité axée sur l'identité ?

Toutes les entreprises que j'ai créées se sont attaquées à un point faible fondamental de l'infrastructure d'entreprise : la protection des données, la résilience et l'évolutivité. Mais l'identité était toujours le chaînon manquant. Chez Datos IO, nous contribuions à la protection des données critiques des applications cloud natives, mais nous nous heurtions constamment à un problème plus profond : nous ne savions pas qui avait accès à quelles données, ni pourquoi. Il s'agit d'une défaillance systémique, non pas du stockage ou du calcul, mais de la gouvernance des accès.

J'ai fondé Veza car j'imaginais un avenir où l'identité serait la principale surface d'attaque. Et c'est bien ce que nous vivons aujourd'hui. Pendant 20 ans, le secteur a prétendu que l'IAM était un problème de case à cocher. Ce n'est pas le cas. Il s'agit d'un plan de contrôle continu. C'est là que sécurité, conformité et productivité se rencontrent. Notre mission est de rendre l'accès non seulement visible, mais aussi exploitable.

Il suffit de prendre l'exemple de l'acquisition de CyberArk par Palo Alto. C'est le signal le plus clair du secteur à ce jour : l'identité n'est plus une fonction de back-office, mais un élément central de la stratégie de sécurité des entreprises. Pourtant, malgré cet accord, le marché manque encore de ce dont les entreprises modernes ont le plus besoin : une visibilité en temps réel sur le potentiel des identités, sur chaque application, système et ensemble de données. C'est cette lacune que Veza comble.

Nous entrons dans une nouvelle ère où les agents d'IA ne sont plus de simples outils, mais des acteurs, accédant de manière autonome aux systèmes, aux données et aux applications. Comment cette évolution remet-elle en cause les paradigmes traditionnels de la gestion des identités et des accès (IAM) ?

L'IAM a été conçue pour les humains. L'IA agentique brise complètement ce modèle. Ce sont des entités autonomes qui prennent des décisions, génèrent des résultats, enchaînent des workflows et déclenchent des accès en aval, à la vitesse d'une machine. Pourtant, la plupart des outils IAM posent encore la question : « À quel groupe appartient cette identité ? » C'est ridicule.

Le changement de paradigme est le suivant : l'accès n'est plus provisionné manuellement : il est émergent, dynamique et contextuel. Impossible de le gérer avec des rôles statiques et des droits obsolètes. Il faut une intelligence d'accès en temps réel. Il faut des systèmes qui comprennent ce qu'un agent d'IA peut faire sur chaque système, et pas seulement ce qu'il est « autorisé » à faire en théorie.

Veza a dénoncé le risque croissant lié aux identités non humaines : agents IA, comptes de service, robots. Comment différencier une automatisation légitime d'un sur-permissionnement risqué dans des environnements dynamiques comme DevOps ou la finance ?

C'est la question à 10 milliards de dollars. La plupart des organisations ne peuvent même pas inventorier leurs identités non humaines, et encore moins les gouverner. Veza inverse le modèle : on ne commence pas par l'identité, mais par l'action. Qui ou quoi peut lire ce bucket S3 ? Qui peut supprimer des lignes dans cette base de données de production ?

En DevOps ou en finance, l'automatisation est essentielle. Mais la contrainte l'est tout autant. Il faut une visibilité précise sur ce que ces identités peuvent faire immédiatement, et non sur ce qu'un ticket IAM indiquait il y a six mois. Et il faut pouvoir les fermer instantanément lorsque cet accès devient toxique. C'est le super-pouvoir de Veza.

Alors que les entreprises intègrent l'IA à leurs flux de travail critiques, l'application en temps réel du principe de moindre privilège devient essentielle. Pouvez-vous nous expliquer comment Veza permet ce niveau de granularité sur les infrastructures hybrides et multicloud ?

La granularité sans automatisation est inutile. Veza se connecte directement au plan de contrôle (AWS, Salesforce, Snowflake ou SAP) et crée un graphique de chaque autorisation, chaque rôle et chaque action disponibles pour une identité. Humain ou machine, sur site ou dans le cloud. C'est une infrastructure d'accès unifiée.

Nous intégrons ensuite un contexte métier : à qui appartient l'application, quand a-t-elle été utilisée pour la dernière fois ? Fait-elle partie d'un processus critique ? Cela permet de créer des politiques telles que : « Aucun agent GenAI ne peut accéder aux informations personnelles identifiables sans leur approbation explicite et leur journalisation. » En cas de violation de cette règle, Veza peut alerter, révoquer ou corriger l'application en temps réel. C'est ainsi que vous appliquez le principe du moindre privilège à grande échelle.

Vous avez décrit Veza comme un outil de « gestion intelligente des accès ». Concrètement, qu'est-ce que cela signifie et en quoi est-il différent des solutions traditionnelles de contrôle d'accès ou des plateformes de gouvernance des identités ?

L'intelligence d'accès permet de savoir, à tout moment, ce que chaque identité, humaine ou non, peut faire, où et pourquoi. Les outils traditionnels vous indiquent ce qui a été attribué à un utilisateur. Nous vous indiquons ce qu'il peut réellement faire à l'instant même et si cela est sécurisé.

Les outils IGA gèrent la gouvernance trimestriellement. Veza la gère en continu. Les outils PAM se concentrent sur un petit sous-ensemble de comptes privilégiés. Nous couvrons chaque identité, chaque application, chaque droit. Et nous le faisons en tenant compte du contexte pour prendre des décisions éclairées, et non pas simplement du bruit de journalisation.

En ce qui concerne l'avenir de l'IA agentique, comment les architectures de sécurité devraient-elles évoluer pour suivre le rythme ? Dans quelles capacités les organisations doivent-elles investir dès aujourd'hui pour éviter les manquements à la conformité ou les failles de sécurité internes demain ?

Les équipes de sécurité doivent cesser de penser en termes d'utilisateurs et commencer à penser en termes d'actions. Les agents d'IA ne pointent pas. Ils ne remplissent pas de formulaires de demande d'accès. Ils s'activent, agissent et disparaissent.

Vous avez besoin d'architectures compatibles avec les accès, temps réel et adjacentes au plan de contrôle. Cela signifie :

• Surveillance continue des autorisations
• Analyse de référence du comportement de l'IA
• Révocation d'accès autonome
• Auditabilité inviolable sur toutes les interactions de l'IA

Ce n'est pas facultatif. Chaque agent d'IA représente une menace interne potentielle, et les cadres de conformité évoluent rapidement. Si vous ne pouvez pas expliquer qui a fait quoi et pourquoi, vous risquez d'échouer aux audits, de perdre la confiance des utilisateurs, voire pire.

Veza compte parmi ses clients de grandes marques comme Autodesk, Blackstone et S&P Global. Quelles sont les tendances ou les erreurs courantes que commettent, même les organisations les plus matures, en matière de gouvernance des identités ?

L'erreur la plus courante ? Penser que quelqu'un d'autre en est propriétaire. L'IAM est souvent dispersé entre la sécurité, l'informatique, la conformité et l'ingénierie. Cette fragmentation nuit à la responsabilité.

Un autre problème est la prolifération des rôles, en particulier dans les organisations matures. Au fil du temps, personne ne supprime l'accès par crainte d'un risque. Ainsi, au lieu d'un privilège minimal, vous bénéficiez d'une exposition maximale.

Enfin, la plupart des organisations considèrent les contrôles d'accès comme un simple contrôle. Ce n'est pas le cas. Ce sont des solutions de fortune. Le véritable contrôle consiste à prévenir les accès toxiques. Veza aide les équipes à passer de la détection à la prévention.

L'entreprise a levé plus de $ 125 millions Avec le soutien d'Accel, Sequoia et GV. Que révèle ce niveau de soutien des investisseurs sur l'urgence de résoudre le problème de l'identité à l'ère de l'IA ? Comment comptez-vous exploiter cette dynamique pour accroître l'impact de Veza ?

On dit que nous résolvons un problème générationnel, et nous le faisons au bon moment. L'identité est désormais à la fois la porte d'entrée, le pare-feu et le maillon faible. Et l'IA vient d'ouvrir grand cette porte.

Nos investisseurs comprennent que Veza n'est pas un simple outil IAM. Nous construisons le plan de contrôle d'accès à l'ère de l'IA. Nous exploitons cette dynamique pour accélérer le développement de notre plateforme, approfondir l'intégration de notre écosystème et nous développer à l'échelle mondiale, notamment dans les secteurs réglementés comme les services financiers, la santé et le secteur public.

Vous détenez 18 brevets dans les domaines de la sécurité, du stockage et de la gestion des données. Y a-t-il des domaines d'innovation chez Veza qui, selon vous, établiront de nouvelles normes pour la gouvernance des accès au sein du secteur au cours de la prochaine décennie ?

Oui, deux en particulier.

Tout d'abord, notre graphe d'accès : il s'agit d'un modèle universel qui associe les identités aux autorisations et aux actions sur n'importe quel système, en temps réel. C'est un élément fondamental pour le principe du moindre privilège, la gouvernance de l'IA et la détection des menaces internes.

Deuxièmement, la correction autonome. Nous investissons massivement dans des environnements d'accès auto-réparateurs, où les violations sont détectées, contextualisées et corrigées sans intervention humaine. C'est ainsi que l'IA gouverne.

Au cours de la prochaine décennie, la gouvernance de l'accès passera d'une gouvernance réactive à une gouvernance autonome. Veza sera le moteur de cette évolution.

Enfin, vous avez dit que « le talent n'a pas de frontières ». Quels conseils donneriez-vous aux fondateurs ou ingénieurs techniques qui créent aujourd'hui des entreprises de sécurité ou d'infrastructures d'IA de nouvelle génération ?

Construisez en fonction des cas extrêmes, et non de la voie royale. L'avenir est chaotique : multicloud, multiagent, multipolaire. Votre architecture doit assumer le chaos.

Deuxièmement, n'ayez pas peur de remettre en question les principes fondamentaux. Le secteur de la sécurité est rempli d'idées reçues : « l'accès juste-à-temps suffit », « le problème vient des humains », « l'audit se résume à Excel ». Démystifiez ces modèles.

Enfin, recrutez des personnes obsédées par les principes fondamentaux. Les outils évoluent. Les paradigmes changent. Mais la clarté de pensée et la mission sont toujours gagnantes.

Et oui, le talent n'a pas de frontières. Construisez à l'échelle mondiale, développez la diversité et construisez pour avoir un impact.

Merci pour cette excellente interview, les lecteurs qui souhaitent en savoir plus devraient visiter Véza.