De l’extérieur, Upwind Security semble avoir connu un parcours sans problème jusqu’à présent. À peine quatre ans plus tard, la start-up de sécurité cloud vaut désormais 1,5 milliard de dollars et compte parmi ses clients Siemens, Peloton, Roku, Wix, Nextdoor et Nubank. Mais si l’on demande à Amiram Shachar, co-fondateur et PDG de l’entreprise, le chemin pour arriver ici était tout sauf certain.
« Il y a trois ans, nous passions des heures à nous demander si nous allions dans la bonne direction, et 80% du temps, nous avions l’impression que ce n’était pas le cas », a déclaré Shachar franc à TechCrunch dans une interview à la suite de la récente série B de 250 millions de dollars de la startup.
« Au début, nous nous demandions constamment si le marché avait besoin de notre solution, si elle serait trop difficile à intégrer dans des systèmes plus vastes ou si les clients l’adopteraient », se souvient-il. « Développer une nouvelle approche a été difficile ; les gens sont habitués à installer certains agents sur les machines, mais ils n’aiment pas le faire. »
Upwind aime appeler cette approche la sécurité « d’exécution » : prioriser les alertes et les efforts de remédiation autour des menaces et des vulnérabilités dans les services actifs en temps réel. Comme le dit Shachar, il s’agit d’une vision « inversée » de la sécurité du cloud, où les signaux internes tels que les requêtes réseau et le trafic API fonctionnent comme contexte pour aider les équipes de sécurité à séparer les risques urgents de ceux qui peuvent attendre.
Cependant, développer cette approche n’a pas été facile, car Shachar et ses cofondateurs n’avaient pas d’expérience traditionnelle en matière de sécurité : ils ont d’abord construit et vendu une société de courtage de calcul cloud appelée Spot.io à NetApp pour environ 450 millions de dollars en 2020.
« Après avoir rejoint NetApp après l’acquisition de Spot, j’ai pu constater à quel point la sécurité du cloud est difficile », a déclaré Shachar. « L’équipe de sécurité analysait notre environnement et signalait les problèmes, mais elle manquait de contexte critique. Issus d’un milieu DevOps, nous (Shachar et son équipe) comprenions profondément l’infrastructure, tandis que les équipes de sécurité ne savaient souvent pas comment les API étaient exposées ou quels packages étaient en cours d’exécution. En conséquence, elles ont signalé de nombreux problèmes qui ne constituaient pas de réels risques. «
Mais Shachar et son équipe ont estimé qu’ils avaient une meilleure compréhension des environnements cloud parce qu’ils les exécutaient. « L’approche dominante était sans agent, un modèle « de l’extérieur vers l’intérieur » dans lequel vous analysez les environnements de l’extérieur », a-t-il expliqué. « C’est facile à déployer, mais cela crée beaucoup de bruit car on ne voit que ce qui est visible de l’extérieur. »
Événement Techcrunch
Boston, Massachusetts
|
23 juin 2026
L’équipe a réalisé que le contexte fourni par les signaux internes serait plus utile aux équipes de sécurité, car elles pourraient voir ce qui se passait sur le réseau, en temps réel. Mais vendre leur nouvelle approche de la sécurité du cloud s’est avéré difficile, car les équipes de sécurité n’ont souvent pas l’autorisation de déployer des logiciels en interne et utilisent par défaut des outils plus traditionnels.
Les ventes Upwind ont donc pris du temps. « Au début, ce n’était pas clair et il y avait beaucoup d’incertitude ; les clients étaient hésitants », a déclaré Shachar.
« Mais nous avons vu quelque chose que d’autres n’ont pas vu », a-t-il expliqué. « L’inside-out n’est pas une option avancée ; c’est le seul moyen de résoudre la prochaine génération de problèmes. Avec une infrastructure éphémère comme les conteneurs, les charges de travail sans serveur, les agents d’IA qui communiquent entre eux et les données circulant constamment via les API, vous ne pouvez tout simplement pas cartographier cela de l’extérieur. Cela doit être à l’intérieur. »
Pourtant, l’entreprise a dû faire face à un marché de la sécurité surpeuplé. Les équipes de sécurité étaient déjà submergées par le nombre d’outils, et les clients ne voulaient pas de plusieurs produits uniquement pour gérer la sécurité du cloud. « Dès le début, il était clair qu’Upwind aurait besoin de construire une plate-forme large et intégrée », a déclaré Shachar. « Sinon, les clients ne s’impliqueraient pas ou ne nous permettraient pas de déployer notre technologie. »
La logique de l’entreprise a finalement séduit ses clients cibles : de grandes organisations à forte intensité de données avec une empreinte cloud importante. Depuis sa série A de 100 millions de dollars en 2024, Upwind a connu une croissance rapide, affichant une croissance de ses revenus de 900 % d’une année sur l’autre et doublant sa clientèle. La société s’est également étendue de ses marchés principaux aux États-Unis, au Royaume-Uni et en Israël vers des marchés émergents, notamment l’Australie, l’Inde, Singapour et le Japon.
La série B de 250 millions de dollars a été dirigée par Bessemer Venture Partners, avec la participation de Salesforce Ventures et Picture Capital. L’argent frais sera utilisé pour le développement de produits et la mise sur le marché, et la startup prévoit d’investir dans ses capacités de sécurité IA au sein de sa plate-forme principale de sécurité cloud et « d’étendre son approche plus près des développeurs pour aider à éviter les erreurs de configuration avant qu’elles n’atteignent la production ».
