La goutte d'eau qui fait déborder le vase ? Le rachat de l'éditeur britannique Darktrace par Thoma Bravo en avril dernier (pour 5,3 Md$) a, en tout cas, poussé le Cesin (Club des experts de la sécurité de l'information et du numérique) à s'inquiéter de la mainmise du fonds américain sur des acteurs clefs de la cybersécurité. Et à interroger ses membres sur le sujet en mai dernier. Résultat : 75% des répondants se disent effectivement inquiets de la concentration des solutions de cybersécurité entre les mains de Thoma Bravo.

Car l'acquisition de Darktrace (détection des menaces) suit celles de Barracuda et Veracode (en 2018), d'Imperva (2019), de Sophos (2020), de Proofpoint (2021), de SailPoint, de Ping Identity et de ForgeRock (tous trois en 2022) ou encore de Magnet Forensics (en 2023). Soit environ 40 Md$ investis ces six dernières années. Un poids significatif si on compare cet investissement aux actifs sous gestion dont dispose le fonds de Chicago, s'élevant à 130 Md$ en 2023.

« Un puzzle où il ne manque plus beaucoup de pièces »

Certes, une partie de la stratégie du fonds consiste à revendre les sociétés qu'il rachète pour dégager une plus-value rapide. C'est par exemple ce qu'a fait Thoma Bravo avec Imperva, revendu à Thales il y a un an, soit moins de 5 ans après son acquisition, en réalisant au passage une plus-value de 1,5 Md$. Mais Thomas Bravo ne se cache pas de déployer une autre stratégie visant à consolider un secteur d'activité. « Ces multiples rachats donnent l'impression d'un puzzle dans lequel il ne manque plus beaucoup de pièces, à part un EDR », souligne Alain Bouillé, le délégué général du Cesin. D'où la première inquiétude de l'association, qui touche aux prix et à l'évolution des technologies.

« Les rachats par des fonds s'effectuent toujours au détriment des clients, indique Alain Bouillé, le délégué général du Cesin. Soit via la facture dont ils doivent s'acquitter, soit via la réduction de l'innovation. » Selon ce dernier, des membres de l'association de RSSI ont d'ores et déjà constaté une stagnation de l'innovation sur certaines des technologies rachetées. Et, pour Alain Bouillé, ces stratégies peuvent difficilement être contournées par les RSSI qui s'engagent sur des technologies de cybersécurité sur plusieurs années. « Vu la difficulté d'un projet d'IAM par exemple, on s'engage sur une solution de ce type pour environ 10 ans », illustre-t-il.

Des outils plus intrusifs que ceux des Gafam

L'autre inquiétude du Cesin réside dans la criticité des données que récupèrent les sociétés de cybersécurité, surtout avec des technologies de plus en plus construites sur des logiques cloud. « Ces outils sont très intrusifs, davantage que ceux des Gafam en général ou que Microsoft 365 en particulier », souligne Alain Bouillé. Même si les différents éditeurs du portefeuille de Thoma Bravo opèrent indépendamment les uns des autres, les voir regroupés sous une tutelle unique représente donc un risque. Surtout au regard des pratiques du renseignement américain, habitué à piocher dans les données des entreprises étrangères.