Alors que le paysage de la cybersécurité continuait son évolution rapide au cours de la seconde moitié des années 2010 et au début des années 2020, CyberArk a entrepris une transformation significative, élargissant stratégiquement son focus au-delà de la gestion des accès privilégiés (PAM) traditionnelle pour englober un paradigme de sécurité des identités plus large. Ce changement complet a été nécessité par plusieurs tendances convergentes qui ont fondamentalement modifié l'environnement informatique des entreprises et la nature des menaces cybernétiques. L'adoption généralisée de l'informatique en nuage, déplaçant les charges de travail des centres de données sur site vers des infrastructures de cloud public et privé, a introduit de nouvelles surfaces d'attaque et une prolifération des identités. Simultanément, l'essor des méthodologies DevOps a accéléré les cycles de développement logiciel, nécessitant une gestion automatisée et sécurisée des identités et des secrets des machines. La prolifération même des identités humaines et machines – des employés et sous-traitants aux applications, microservices et dispositifs IoT – a créé un réseau complexe de points d'accès. Ces développements, couplés à un écosystème d'acteurs de menace de plus en plus sophistiqué et motivé financièrement, signifiaient que sécuriser uniquement les comptes humains privilégiés n'était plus suffisant. Une approche complète, centrée sur l'identité, était désormais nécessaire pour protéger toutes les identités – humaines, non humaines et machines – à travers des environnements hybrides et multi-cloud. Cette perspective plus large reconnaissait que les identifiants et les identités, quel que soit leur type, étaient devenus le principal vecteur d'attaque pour les menaces persistantes avancées et les campagnes de ransomware.
Au cœur de cette transformation se trouvait une série d'acquisitions stratégiques conçues pour renforcer les offres de base de PAM de CyberArk et étendre son influence dans des domaines de sécurité adjacents et critiques. En 2017, l'acquisition de Conjur a apporté des capacités avancées de gestion des secrets spécifiquement adaptées aux environnements DevOps. Cela a répondu à un point de douleur critique où les développeurs codifiaient souvent des identifiants ou les stockaient de manière non sécurisée, créant des vulnérabilités significatives dans les pipelines d'intégration continue/livraison continue (CI/CD). La technologie de Conjur a permis la gestion et la rotation sécurisées des identifiants, des clés API et d'autres secrets utilisés par les applications, les conteneurs et les microservices dans des architectures cloud-native dynamiques, fournissant une couche de protection cruciale pour les identités non humaines. Cela a été suivi par l'acquisition de Vaultive la même année, qui a amélioré les capacités de CyberArk à protéger l'accès privilégié aux applications et données cloud. La technologie de Vaultive a fourni une couche sécurisée pour surveiller et contrôler l'accès privilégié aux applications SaaS telles que Microsoft Office 365 et Salesforce, garantissant que les données sensibles résidant dans le cloud n'étaient pas exposées par des comptes administratifs compromis. Ces intégrations n'étaient pas simplement additives ; elles représentaient un effort conscient pour tisser un tissu homogène de sécurité des identités à travers l'ensemble de l'empreinte numérique d'une organisation, des serveurs sur site à l'infrastructure cloud public et aux applications SaaS, démontrant une prévoyance face à la réalité hybride de l'entreprise.
Le pivot stratégique le plus significatif est survenu en 2020 avec l'acquisition d'Idaptive, un fournisseur de premier plan de solutions d'Identity as a Service (IDaaS). Cette acquisition clé a considérablement élargi les capacités de CyberArk, apportant l'authentification multi-facteurs adaptative (MFA), le single sign-on (SSO) et la gestion du cycle de vie des identités dans le portefeuille de CyberArk. Avant cela, CyberArk s'était largement concentré sur après l'accès initial (c'est-à-dire la gestion et la sécurisation des sessions privilégiées). Idaptive a élargi le champ d'action de CyberArk à la phase d'accès initial, permettant aux organisations de vérifier l'identité au point d'entrée et de gérer l'ensemble du cycle de vie des comptes utilisateurs, de la provision à la déprovision. L'intégration de la technologie d'Idaptive a été essentielle dans l'établissement de la CyberArk Identity Security Platform, une approche unifiée conçue pour sécuriser chaque identité à travers tout le spectre de l'informatique d'entreprise. Cette plateforme combinait PAM de base, gestion des secrets, sécurité des privilèges cloud et accès adaptatif, formant une stratégie cohérente de l'authentification initiale à l'application granulaire des privilèges. Cette approche de plateforme a permis aux organisations de gérer et de sécuriser de manière centralisée l'accès pour tous les utilisateurs, qu'il s'agisse d'employés, de sous-traitants ou de clients, simplifiant ainsi les opérations de sécurité tout en renforçant considérablement la défense globale contre les attaques basées sur l'identité. Ce mouvement a également positionné CyberArk plus directement contre les fournisseurs traditionnels de gestion des identités et des accès (IAM) tout en se différenciant par son expertise approfondie en matière de privilèges.
Les défis durant cette période de transformation comprenaient la navigation dans les complexités de l'intégration de technologies et de cultures d'entreprise diverses. La fusion de lignes de produits disparates et d'équipes d'ingénierie de Conjur, Vaultive et Idaptive nécessitait une planification et une exécution minutieuses pour garantir une expérience de plateforme cohérente pour les clients, évitant des solutions isolées. Cela impliquait de standardiser les API, de consolider les interfaces utilisateur et d'assurer un flux de données fluide entre les composants. Le paysage concurrentiel s'est également intensifié de manière significative. Bien que CyberArk ait longtemps été un leader en PAM, le domaine plus large de la sécurité des identités a vu la concurrence d'acteurs établis de la cybersécurité comme Microsoft, Okta et Ping Identity, qui offraient des solutions IAM et IDaaS complètes, ainsi que des startups émergentes axées sur des domaines spécifiques comme l'identité cloud ou la gestion des secrets. CyberArk devait continuellement innover et articuler sa proposition de valeur unique, en mettant l'accent sur l'étendue et la profondeur de sa plateforme intégrée et son focus différencié sur l'accès privilégié comme pierre angulaire de la sécurité des identités dans un marché de plus en plus encombré. De plus, le rythme rapide de l'adoption du cloud et l'évolution continue des écosystèmes de fournisseurs de services cloud (par exemple, AWS, Azure, GCP) présentaient des défis techniques permanents, nécessitant une adaptation constante de ses solutions de sécurité pour soutenir de nouveaux services, API et modèles d'accès afin de rester efficaces.
En interne, l'entreprise s'est adaptée en restructurant ses unités organisationnelles pour soutenir l'élargissement du portefeuille de produits et la stratégie de plateforme. Cela impliquait un investissement significatif dans des talents en ingénierie cloud, une expertise en gestion de produits pour de nouveaux domaines d'identité, et un soutien aux ventes pour éduquer les clients sur les avantages d'une approche intégrée de la sécurité des identités au-delà de la seule PAM. Le nombre d'employés de l'entreprise a régulièrement augmenté durant cette période, passant d'environ 1 000 employés en 2017 à plus de 2 000 d'ici 2022, reflétant l'élargissement de la portée opérationnelle et l'augmentation des investissements en R&D et dans les rôles en contact avec les clients. Selon des rapports financiers publics, CyberArk a maintenu un fort engagement envers la recherche et le développement durant cette période, allouant des portions significatives de ses revenus pour développer organiquement de nouvelles fonctionnalités et capacités au sein de la plateforme tout en intégrant également les technologies acquises. Cette double stratégie de croissance organique et d'acquisition stratégique était centrale à sa transformation, permettant à CyberArk d'innover de l'intérieur et d'acquérir rapidement des capacités manquantes pour accélérer sa vision de plateforme. Par exemple, les dépenses en R&D en pourcentage des revenus sont restées constamment élevées, souvent dans les moyennes à élevées, soulignant cet engagement.
Des périodes d'incertitude économique, notamment les ralentissements mondiaux et les perturbations de la chaîne d'approvisionnement rencontrés au début des années 2020, ainsi que l'évolution des paysages réglementaires ont également exercé des pressions externes. CyberArk a continué de démontrer sa résilience en alignant son développement de produits sur les exigences de conformité émergentes. Des réglementations telles que le RGPD, la CCPA et divers mandats spécifiques à l'industrie (par exemple, HIPAA, PCI DSS) ont de plus en plus mis l'accent sur des contrôles stricts concernant l'accès aux données et la gouvernance des identités. La plateforme élargie de CyberArk a fourni des solutions qui aidaient les organisations à naviguer dans des réglementations complexes sur la confidentialité et la sécurité des données dans le monde entier en offrant une visibilité, un contrôle et une auditabilité améliorés sur toutes les identités accédant à des données sensibles. L'accent mis sur l'audit robuste, la surveillance des sessions privilégiées et l'application des politiques est resté un pilier de ses offres, garantissant que les clients pouvaient respecter leurs obligations de gouvernance même lorsque leurs environnements informatiques devenaient plus distribués et complexes. Les capacités de la plateforme ont permis aux organisations de démontrer leur responsabilité quant à qui a accédé à quoi, quand et pourquoi, une exigence critique pour les cadres de conformité modernes.
Au début des années 2020, CyberArk avait largement achevé sa transformation d'un spécialiste de la PAM à un leader reconnu dans la sécurité des identités complète. La CyberArk Identity Security Platform, soutenue par ses capacités fondamentales de PAM et augmentée par la gouvernance des identités, la gestion des secrets pour DevOps, la sécurité des privilèges cloud et les solutions d'accès adaptatif, représentait une évolution stratégique significative. Ce changement stratégique a positionné l'entreprise pour faire face aux menaces centrées sur l'identité omniprésentes de l'ère moderne, qui étaient de plus en plus reconnues comme la cause profonde de nombreuses violations significatives. Grâce à cette plateforme intégrée, CyberArk a fourni aux organisations les outils pour sécuriser non seulement leurs comptes administratifs, mais chaque identité – humaine ou machine, privilégiée ou non privilégiée – qui interagit avec leurs systèmes et données critiques, la préparant pour la prochaine phase de son héritage durable dans la protection de l'entreprise numérique. Le marché a réagi positivement, l'entreprise rapportant constamment une forte croissance des revenus et élargissant son marché total adressable bien au-delà de son créneau PAM d'origine.