Sécurité cloud : le runtime prend le dessus sur la posture, UPWIND lève 212 millions d’euros
📩 Pour nous contacter: redaction@decode.media
Pendant plus d’une décennie, la sécurité cloud s’est construite sur une promesse de contrôle. Scanner les configurations, vérifier les droits, comparer l’infrastructure à un référentiel de bonnes pratiques, puis corriger les écarts. Cette logique dite posture first a accompagné la généralisation du cloud public et l’essor du DevOps. Elle a permis de structurer un marché, d’outiller les équipes et de répondre à des exigences de conformité croissantes.
Mais à mesure que les architectures se sont complexifiées, cette approche montre ses limites. Applications distribuées, conteneurs éphémères, identités dynamiques, flux temps réel, modèles d’IA intégrés au cœur des workloads. Le cloud ne se décrit plus de manière statique. Il se vit. Et c’est dans cet écart entre description et exécution que s’est installée une fatigue opérationnelle largement partagée par les équipes de sécurité.
Quand la sécurité devient un problème de bruit
Les responsables sécurité ne manquent pas d’alertes mais manquent de lisibilité. Dans de nombreuses organisations, les outils de posture produisent des milliers de signaux de risque théoriques, déconnectés de l’usage réel des applications. Une permission trop large, un bucket mal configuré, un service exposé sur le papier. Mais sans savoir si ces ressources sont actives, sollicitées, ou simplement dormantes.
Ce décalage a des conséquences concrètes. Les équipes passent du temps à traiter des risques qui n’existent pas en pratique, pendant que d’autres, bien réels, restent invisibles. Le problème n’est plus l’absence de données, mais leur hiérarchisation. La sécurité cloud est devenue un enjeu cognitif autant que technique.
Le runtime comme point d’observation central
C’est dans ce contexte qu’une autre approche a progressivement gagné du terrain. Plutôt que de partir de la configuration, partir de l’exécution. Observer ce qui se passe réellement dans le cloud, quelles charges de travail tournent, quels flux sont actifs, quelles identités accèdent à quelles ressources, dans quelles conditions.
Le runtime ne remplace pas la posture, mais la recontextualise. Une mauvaise configuration peut exister sans jamais être exploitée. À l’inverse, une configuration apparemment conforme peut devenir critique si elle est associée à un comportement anormal. En ramenant la sécurité au niveau de l’usage effectif, le runtime permet de qualifier le risque, non plus de l’inférer.
Ce changement est aussi lié à l’évolution des applications elles-mêmes. L’intégration de composants d’intelligence artificielle, l’appel massif à des API externes, la multiplication des identités machine rendent toute photographie statique rapidement obsolète. Ce qui compte n’est plus ce qui est autorisé, mais ce qui est utilisé.
Une redéfinition silencieuse du CNAPP
Le concept de CNAPP a longtemps été présenté comme une addition de briques. CSPM pour la posture, CWPP pour les workloads, CDR pour la détection, IAM pour les identités. Dans la pratique, cette superposition a souvent reproduit la fragmentation qu’elle prétendait résorber.
La logique runtime introduit une autre lecture. Elle ne juxtapose pas les signaux, elle les relie. Une vulnérabilité n’est plus un objet isolé, mais un élément situé dans une chaîne d’exécution. Une identité n’est plus un droit abstrait, mais un acteur qui agit dans un contexte précis. Cette capacité à relier comportement, configuration et exposition redonne du sens aux alertes et, surtout, elle permet d’en réduire le volume sans en sacrifier la pertinence.
De la conformité à la décision
Pour les grandes organisations, l’enjeu n’est pas seulement technologique maisorganisationnel. La sécurité cloud a longtemps été tirée par la conformité, par la nécessité de démontrer un état de contrôle. Aujourd’hui, elle est de plus en plus attendue sur sa capacité à éclairer la décision. Que faut-il corriger en priorité. Quel risque est acceptable. Quel autre ne l’est pas.
Dans cette perspective, la posture devient un socle, mais plus un objectif en soi. Elle fournit un cadre. Le runtime apporte la réalité. Entre les deux, les équipes cherchent des outils capables de transformer des signaux techniques en arbitrages opérationnels.
Une évolution plus large des infrastructures numériques
Cette évolution ne concerne pas uniquement la sécurité. Elle s’inscrit dans un mouvement plus large de convergence entre observabilité, fiabilité et protection. Les plateformes qui comprennent le mieux le comportement des systèmes sont celles qui sont capables d’anticiper les défaillances, qu’elles soient techniques ou sécuritaires.
Le runtime devient ainsi un terrain commun entre SRE, DevOps et SecOps. Non comme un nouvel outil à ajouter à la pile, mais comme un point de vue partagé sur la réalité des systèmes. Cette convergence explique en partie l’intérêt croissant des acteurs de l’observabilité pour les sujets de sécurité, et inversement.
Une transition encore en cours
La sécurité posture first reste nécessaire pour poser des garde-fous, structurer les environnements et répondre aux exigences réglementaires, mais elle ne suffit plus à elle seule. Dans des environnements cloud devenus continus, mouvants et fortement automatisés, la sécurité ne peut plus se contenter de photographies ponctuelles.
Upwind en fin de parcours
Cette évolution du marché explique en partie la trajectoire récente d’Upwind, qui s’inscrit pleinement dans cette approche runtime first. La société, fondée en 2022 en Israël par Amiram Shachar, Liran Polak, Lavi Ferdman et Tal Zuri, anciens fondateurs de Spot.io, a annoncé une levée de fonds de 250 millions de dollars en série B, soit environ 212 millions d’euros, pour une valorisation de 1,5 milliard de dollars.
Le tour est mené par Bessemer Venture Partners, avec la participation de Picture Capital et d’investisseurs historiques parmi lesquels Craft Ventures, Greylock, Cyberstarts ou TCV. Depuis son précédent tour fin 2024, Upwind indique avoir fortement accéléré sa croissance, avec une adoption par des groupes internationaux comme Siemens, Peloton, Roku ou NuBank. La société a également renforcé son offre par l’acquisition de Nyx Security en 2025, spécialisée dans la sécurité applicative temps réel.
