Innovation

Cybersécurité

Des services innovants chez les start-up

Option Finance - 29 mai 2020 - Thomas Feat

Cybersécurité, start up

En quelques années, un vivier de près de 150 start-up s’est développé dans l’industrie française de la cybersécurité. Evoluant dans les domaines de l’authentification et de la protection des données, de l’analyse du risque cyber ou de la confidentialité, plusieurs de ces jeunes pousses sont susceptibles de répondre aux besoins des directions financières.

A l’instar de la santé, de la finance ou de l’agroalimentaire, l’industrie française de la cybersécurité a vu émerger, ces dernières années, un écosystème de start-up particulièrement dense et diversifié. Fin 2019, le cabinet Wavestone recensait dans l’Hexagone quelque 134 entités indépendantes de moins de 35 salariés et de moins de sept ans investies dans le champ de la cyberprotection, un chiffre en augmentation de 18 % sur un an. «L’écosystème français est aujourd’hui le deuxième d’Europe par le nombre d’entités et d’emplois créés, de 1 200 à 1 500, tout juste derrière celui du Royaume-Uni, indique Gérôme Billois, directeur de la practice cybersécurité de Wavestone. L’ensemble du territoire est couvert, et si le centre névralgique de cet écosystème se trouve sans surprise en région parisienne, d’autres métropoles, à l’instar de Rennes ou Lyon, s’imposent aujourd’hui comme des pôles d’expertise sur ces questions.»

Alors même qu’en France les directeurs financiers sont impliqués dans la prévention, l’évaluation ou la gestion du risque cyber dans près d’une entreprise sur deux, selon une étude conjointe d’Euler Hermes et de la DFCG datant de 2019, un certain nombre de ces start-up proposent aujourd’hui des services ou solutions susceptibles de répondre à leurs besoins. Dans le domaine de la fraude aux données tierces, qui constitue de loin la menace la plus sensible pour les entreprises tricolores et leurs directions financières – un quart des ETI et grands groupes ont été touchés à ce jour, pour un préjudice financier moyen de 80 000 euros, selon Stelliant –, des entités comme Trustpair s’emploient à détecter les anomalies relatives à la documentation paiement des fournisseurs. «A partir de quelques données fournies par un prestataire, souvent un numéro Siren ou un IBAN, nous sommes capables d’obtenir des informations complètes et fiables sur celui-ci, précise Baptiste Collot, co-fondateur et CEO de la jeune pousse qui compte, deux ans seulement après sa création, une cinquantaine de clients dont Air Liquide, Decathlon, Bolloré et LVMH. En définitive, nous ne prévenons pas les attaques à proprement parler, mais pouvons empêcher que des falsifications résultant d’intrusions extérieures puissent produire leurs effets.» Conceptrices de solutions dédiées à l’identification des fausses pièces et déclarations d’identité, AriadNext, Ubble et Serendptech entendent, pour leur part, simplifier les procédures de KYC, de facturation et de sécurisation des contrats clients et fournisseurs.

Bâtir des plans d’investissement

Un autre enjeu majeur pour les sociétés et les directions financières concerne la protection de leurs propres données. De nombreuses jeunes pousses l’ont compris, et ont développé, en conséquence, des outils idoines. Alors que Binex et Ugloo ont mis au point des solutions de stockage innovantes reposant sur la décentralisation (donc plus difficiles à cibler pour les hackers), Cosmian et Tanker, spécialistes du «confidential computing», ont conçu une méthode de chiffrement des data hébergées dans le cloud. «Certaines directions financières recourent d’ores et déjà à de tels outils pour protéger des données financières particulièrement sensibles relatives, par exemple, à leurs résultats ou à des opérations de fusions-acquisitions, signale Thierry Delville, associé au sein du pôle cyber-intelligence de PwC.

De plus en plus importants dans les entreprises, surtout dans les grands groupes aux architectures IT complexes et éclatées, la détection puis le colmatage des failles cyber constituent des postes de dépenses en perpétuelle augmentation et de plus en plus difficiles à anticiper. Un tel besoin explique le succès croissant d’une start-up comme Citalid, créée en 2017 par deux anciens collaborateurs de l’Agence nationale de la sécurité des systèmes d’information (ANSSI) et qui, en moins de deux ans, a multiplié son chiffre d’affaires par huit et réalisé des tests (proofs of concept) au sein de groupes comme BNP Paribas, SNCF ou encore Leroy Merlin. «Notre logiciel associe des probabilités d’exposition financière à des scénarios d’attaques auxquels une entreprise peut potentiellement faire face, détaille Maxime Cartan, co-fondateur et CEO de Citalid. Cette analyse permet aux responsables des systèmes d’information et aux directeurs financiers de mettre au point des plans d’investissement efficients, proportionnels et rentables.» Pour le directeur financier d’un groupe de la distribution client de la solution, «un tel outil se révèle d’une aide précieuse dans le sens où il permet, de surcroît, d’évaluer l’ensemble des coûts et risques financiers d’une potentielle attaque : la perte de chiffre d’affaires, de compétitivité et de réputation, la réponse à l’incident, l’investissement de remplacement nécessaire et la dépense juridique». En complément, certaines solutions comme celle développée par Digitemis offrent à leurs utilisateurs la possibilité d’évaluer la sécurité des systèmes d’information de leurs prestataires. «Alors qu’un certain nombre d’entreprises délèguent aujourd’hui leur communication financière à des agences spécialisées qui peuvent être prises pour cibles par des cybercriminels, il y a fort à parier que de tels outils, parce qu’ils conféreront un degré de sécurité supplémentaire à cette sous-traitance, s’imposeront auprès de responsables financiers», estime Gérôme Billois.

S’adapter aux menaces

Bonne nouvelle pour les directions financières et les divers responsables d’entreprise appelés à ou souhaitant se tourner vers ces jeunes pousses, celles-ci s’adaptent très rapidement au caractère hautement évolutif des menaces cyber. Selon Wavestone, près de la moitié des start-up de l’écosystème ont mis au point, l’an dernier, des solutions disruptives ou innovantes qui n’existaient pas sur le marché, une proportion qui n’atteignait que 19 % un an plus tôt. «Certes, ces acteurs répondent en général à des problématiques plus restreintes que les grands éditeurs, mais cette spécialisation leur permet d’être beaucoup plus agiles et réactifs», estime Gérôme Billois.

Une flexibilité que l’on retrouve également dans les prix de leurs services. «En général, les prix des solutions proposées par les start-up varient en fonction de leurs licences, du nombre de données traitées, du périmètre informatique couvert et de la durée de la souscription passée par l’entreprise», indique Thierry Delville. Afin de proposer des offres compétitives, certaines jeunes pousses nouent des partenariats et proposent des solutions hybrides. Exemple avec AriadNext et Citalid, dont l’offre conjointe lancée en début d’année, Team Secure, combine dans un seul et même forfait diagnostic du cyber-risque et authentification des données tierces. 

Des levées qui augmentent, mais pour quelle finalité ?

l  Les fonds levés par les start-up françaises de la cybersécurité augmentent d’année en année. Ceux-ci sont passés de 25 à plus de 100 millions d’euros entre 2018 et 2019, selon Wavestone. L’an dernier, cinq entités (Alsid, Sqreen, Cybelangel, Sentryo et Odaseva) ont levé plus de 10 millions d’euros. 

l  Conséquence de la recrudescence et de la diversification continues des attaques, qui appellent sans cesse de nouvelles réponses, cette tendance ne devrait pas s’estomper de sitôt. En témoigne le tour de table de 33 millions d’euros bouclé en février auprès de fonds européens par Cybelangel, spécialiste de la détection de fuites de documents confidentiels, à ce jour le plus important jamais réalisé par une entité de l’écosystème.

l  «Si ces levées gagnent en ampleur et soutiennent indéniablement l’écosystème, leurs montants sont encore trop faibles pour permettre aux entités de croître en dehors du marché français, notamment sur le marché américain, et donc de s’imposer comme des acteurs de référence dans leur domaine», nuance Gérôme Billois, directeur de la practice cybersécurité de Wavestone.

l  En outre, selon le cabinet de conseil, la majorité des sorties réalisées à ce jour par des investisseurs ont débouché sur des acquisitions d’entités françaises par des entreprises étrangères, à l’instar de Sentryo, passée l’an dernier dans l’escarcelle de l’Américain Cisco. «Le maintien des pépites françaises de la cybersécurité dans le giron hexagonal sera l’un des grands enjeux économiques de ces prochaines années», prédit Gérôme Billois.