Les analystes s’attendent à des réductions de dépenses profondes, car la société de capital-investissement essaie de stimuler les marges chez le fournisseur de cybersécurité, se préparant à une vente rapide.
Vendredi, lorsque Solarwinds a annoncé un accord en espèces de 4,4 milliards de dollars pour qu’il soit acquis par la société de capital-investissement (PE) Turn / River Capital, il a livré la dernière chose que les CISO de l’entreprise nerveuse souhaitent: l’incertitude, suivie d’une plus grande incertitude.
« Chaque fois qu’une entreprise de sécurité est acquise par le capital-investissement, vous ne voulez jamais organiser une fête », a déclaré Frank Dickson, vice-président du groupe pour la pratique de la recherche sur la sécurité et la confiance d’IDC. « Ce n’est presque jamais positif. »
Dickson a déclaré que la formule pour un fournisseur de sécurité réussi est massivement une combinaison de trois choses: une gestion cohérente, une exécution cohérente et une vision cohérente.
«Le changement ne va pas bien. Et le capital-investissement a tendance à vouloir changer de direction. Cela ne profite généralement pas aux clients », a déclaré Dickson. «Le problème est que le capital-investissement n’est pas là à long terme. Le changement crée une incertitude. Les avantages seront réalisés par les investisseurs et les personnes qui paient le prix seront des clients. »
Le problème, a déclaré Dickson, est le fonctionnement des sociétés de capital-investissement.
«Lorsque le private equity acquiert des entreprises en sécurité, ce qu’ils essaient traditionnellement de faire, c’est débloquer de la valeur. Cela signifie accroître la rentabilité, ce qui signifie souvent réduire les coûts et séparer les parties de l’entreprise », a déclaré Dickson. «Ces types de transitions sont positifs pour le client dans une minorité de cas.»
L’accord devrait être conclu d’ici le 30 juin, a déclaré le communiqué de presse de l’acquisition.
Incertitude mauvaise pour les clients
Solarwinds a une bonne réputation pour ses offres de sécurité, mais sa marque est probablement terni par la cyberattaque de la chaîne d’approvisionnement en 2020 qui a transformé les mises à jour de sa plate-forme d’Orion pour livrer des logiciels malveillants.
Douglas Brush, qui dirige une société de conseil en cybersécurité appelée Brush Cyber Consulting, a déclaré que la décision de ce qu’il fallait faire maintenant est problématique pour la base d’installation de SolarWinds, qui, selon la page d’accueil actuelle de Solarwinds, comprend Walmart, Amazon, McDonalds, CVS Health et Morgan Stanley.
Le niveau d’incertitude pourrait inciter certains CISO à envisager de passer à l’un des principaux concurrents de Solarwinds, a déclaré Brush, mais il est peu probable que ce soit une option particulièrement viable.
C’est à cause de deux choses: la douleur et les dépenses de la transition – « C’est un énorme ascenseur et changement », a déclaré Brush – et la réalité pratique que les autres sociétés pourraient également être acquises.
«Je tiendrais. Attendez et voyez ce qui se passe », a déclaré Brush. Il a suggéré de demander aux dirigeants actuels de Solarwinds pour une orientation future. C’est en fait une question de test, a-t-il dit; Compte tenu de la propriété changeante, la haute direction ne connaîtra pas vraiment l’orientation future.
« S’ils disent » nous ne savons pas ce qui va se passer « , alors au moins quelqu’un est honnête », a déclaré Brush. «Vous posez la question non pas parce que vous voulez voir la réponse. Tu veux voir où ils répondent
L’analyste craint le pire
Brush a dit qu’avec Solarwinds et Turn / River, il craint le pire. «Ils vont le cannibaliser. Ils vont faire ce que le capital-investissement fait avec ces sociétés: ils le déshabilleront et vendront les pièces à de grandes entreprises. »
«Ils fourniront un chiffre d’affaires. C’est juste à leur nom », a déclaré Brush. «J’espère qu’ils ne font pas quelque chose comme l’envoyer la rivière. Mais encore une fois, étant donné que la rivière est là dans le nom, j’ai mes préoccupations. »
Une autre préoccupation concerne la visibilité financière de l’entreprise en tant que société de capital-investissement, a-t-il déclaré. Avec une entreprise de sécurité détenue par un public, les CISO peuvent examiner chaque dépôt de la SEC pour des indices sur la viabilité du fournisseur et les plans futurs, mais «avec une société de capital-investissement, c’est complètement une boîte noire».
Richard Caralli, conseiller principal en cybersécurité chez Axio, a également déclaré qu’il pensait que le plus grand changement de cet accord, en supposant qu’il finira par s’achever, sera le passage du public au statut privé.
«En devenant privé, les problèmes rencontrés par Solarwinds avec la SEC disparaîtront en grande partie. Un manque d’actionnaires signifie une réduction des pressions externes pour améliorer la posture de cybersécurité, en particulier dans la poursuite de la prévention des attaques d’homme dans le milieu qui blessent les utilisateurs », a déclaré Caralli. «Le manque d’exigences de divulgation réglementaire peut signifier que de nouveaux problèmes qui mettent potentiellement les clients en danger peuvent ne pas être identifiés ou communiqués en temps opportun. De plus, l’accent mis sur les investisseurs privés sur la croissance et la valeur peut prioriter les améliorations de la cybersécurité par rapport à la création de l’entreprise. »
Cela signifie que les clients d’entreprise devraient surveiller attentivement comment les produits Solarwinds changent et réévaluer continuellement leur valeur, a déclaré Caralli.
Will Townsend, vice-président et analyste principal chez Moor Insights & Strategy, a convenu que l’attaque de la chaîne d’approvisionnement de 2020 a continué de hanter Solarwinds et qu’il est probablement un facteur clé de la décision des Solarwinds d’accepter le rachat.
«Aller privé à travers un accord d’EP n’est pas une surprise. (Solarwinds) n’a jamais fait assez pour rassurer les investisseurs et les clients qu’il avait appris et mis en œuvre des mesures pour empêcher que ce piratage de la chaîne d’approvisionnement épique ne se reproduise « , a déclaré Townsend dans un article sur X, ajoutant que Solarwinds n’a pas fait grand-chose » au-delà des excuses Tour qui n’a jamais atteint le marché plus large. »
CISOS, ne faites rien de téméraire: analyste
Comme Brush, Dickson d’IDC a encouragé les CISO à attendre et à regarder.
«Chaque fois que le private equity achète une entreprise de sécurité, la première chose à faire est de respirer. La dernière chose que vous voulez faire, c’est quelque chose de téméraire », a déclaré Dickson.
Lors de l’évaluation d’autres fournisseurs, Dickson a déclaré se concentrer sur la vue d’ensemble.
«Dix pour cent de la valeur sont dans l’outil, et 90% se trouvent dans les personnes et les processus autour de l’outil. Regardez ce que les outils sont là-bas et donnez-lui du temps. Puis en six mois, réévaluez », a déclaré Dickson. Pour les clients qui envisagent des problèmes de renouvellement à court terme, il a déclaré de renouveler: «Mais ne vous optez pas plus qu’un délai d’un an sur vos renouvellements» et concentrez-vous sur les clauses de sortie. Ensuite, stratégies sur un délai de 2 ans à 4 ans, a-t-il déclaré.
Lorsqu’on lui a demandé ses réflexions sur ce que signifie l’acquisition pour les CISO de l’entreprise, Jess Burn, analyste principal pour la sécurité et les risques chez Forrester, a été succinct: «Pas grand-chose».
« Le piratage de Solarwinds et les violations qui en ont résulté ont donné à Cisos deux choses à penser: un examen plus approfondi des troisième et quatrième parties dans ou liés à l’entreprise, et responsabilité personnelle », a déclaré Burn. «Solarwinds a été le début d’un éveil de sécurité des produits plus large pour les CISO et les agences gouvernementales comme CISA, qui a lancé Secure by Design en 2023 après une série de violations liées à la chaîne d’approvisionnement des logiciels. La gestion des risques de troisième et quatrième partie est toujours un problème, mais les CISO savent maintenant quoi demander à leurs partenaires, y compris les fournisseurs de logiciels et géré les fournisseurs de services informatiques. »
