En Israël, les start-ups de la cybersécurité affichent leurs références, surtout celles issues du secteur public, l’armée et le gouvernement, sur leurs sites. En France, ce n’est pas encore le cas. Les grands clients, du public comme du privé, ont du mal à passer commande auprès des start-ups et PME françaises du secteur, déplore Jean-Noël de Galzain, président d’Hexatrust l’organisme qui regroupe 27 éditeurs spécialisés, rencontré aux Assises de la sécurité. « Ne nous trompons pas, c’est le chiffre d’affaires, la conquête des clients qui fera le succès de nos entreprises, pas le capital-risque. Face aux grands éditeurs mondiaux, souvent américains ou israéliens, les éditeurs français font preuve d’innovation, mais les clients français vont-ils les suivre ?
« Nous avons fait tous les efforts nécessaires en certification et en qualification, plaide Jean-Noël de Galzain, nos entreprises sont référencées à l’Ugap et auprès des directions achats, mais nous sommes parfois écartés pour de simples raisons de coûts, le client choisit le mieux disant. Il faut savoir ce que l’on veut. Si l’on veut vraiment un éco-système d’entreprises françaises en cybersécurité, c’est maintenant au client de le prouver. Sinon, nous irons conquérir l’international, c’est déjà commencé. Ce serait dommage de ne pas favoriser en France les acteurs français qui se sont formidablement développés et deviendront pour certains, j’en suis convaincu, des licornes. Le monde qui naît, celui de l’économie numérique, ne peut émerger qu’avec une cybersécurité de bon niveau. L’éco système et les pouvoirs publics ont fait beaucoup d’efforts, c’est maintenant aux clients de se décider ».
Souverain ne veut pas dire protectionniste
Les Assises ont permis de clarifier la position des acteurs français. Tous se disent « souverains » dans leurs offres. Ce qui signifie qu’elles sont réalisées, hébergées et auditées en France, la R&D se situe dans l’hexagone, de même que le support ce qui permet au client d’être en confiance et d’aller plus vite. Mais attention, souverain ne veut pas dire protectionniste. Guillaume Poupard, le directeur général de l’ANSSI a bien précisé qu’il se voulait souverain, européen, et ouvert aux acteurs internationaux. Sans naïveté, devait-il préciser, mais tout de même, l’association des trois notions, souverain, européen, ouvert à l’international, a fait son effet. Le directeur général d’Orange Cyberdéfense, Michel Van Den Berghe, se définit par exemple comme un acteur français à vocation internationale et un acteur souverain, dans la mesure où aucune donnée client ne sort du territoire national. L’aspect souverain, n’est pas un but en soit, ou un argument. Le grand objectif commercial est d’aller à l’international, c’est actuellement le quart des effectifs, 300 sur 1 200 personnes, pour accompagner les clients. Orange Cyberdéfense va par exemple ouvrir un bureau en Asie avec 15 personnes.
Les adhérents d’Hexatrust, des PME du logiciel, réalisent 32% de leur chiffre d’affaires à l’international. Wallix la société de Jean-Noël de Galzain opère en Russie avec un partenaire en OEM qui passe les certifications avec les autorités locales. Airbus Defense & Space est membre de l’ECSO, European cybersecurity organisation qui devrait accorder pour plus de 450 millions de crédits aux entreprises européennes en cybersécurité. Mais en France, Airbus D&S a lancé il y a dix-huit mois une sonde souveraine, Keelback net, destinée aux OIV. Thales a proposé la sienne lors des Assises de cette année tout en l’associant à un partenariat avec Cisco. Il porte sur l’hébergement à Elancourt chez Thales d’une solution de détection qui s’appuie sur celle de Cisco, AMP (Advanced malware protection). Elle va bénéficier de la base Talos de renseignement sur les incidents détectés au plan mondial et gérée par Cisco. Mais les informations remontées par les clients français ne seront pas communiqués à Cisco. Les deux partenaires vont également concevoir un laboratoire de co-innovation sur la cybersécurité.
Une belle reconnaissance pour Vade Secure
Cisco n’a pas que Thales comme partenaire. Il a également signé l’an passé avec une PME de la cybersécurité, Vade Secure, pour intégrer sa technologie de gestion des emails dans sa propre solution d’antispam « email security appliance ». Un accord moins médiatisé que celui passé avec Thales, mais une belle reconnaissance pour Vade Secure (ex Vade Retro) et la preuve que la cybersécurité doit fonctionner dans les deux sens, pour promouvoir les entreprises françaises sans ignorer les partenaires américains.
Orange Cyberdéfense va moins loin pour chercher un partenaire, il s’appuie sur sa maison mère, l’opérateur, qui a une base de données de 16 millions d’incidents, c’est MUD, Malware Url Database qui se met à jour tous les quarts d’heure. Michel Van Den Berghe, le directeur général d’Orange Cyberdéfense ne craint pas la concurrence. S’appuyer sur Orange lui permet aussi de détecter les menaces plus en amont que ses concurrents ESN françaises ou que les sondes dites souveraines, posées, selon lui, trop près des entreprises. « Il serait intéressant de comparer les sondes classiques et les sondes souveraines, glisse Cyrille Elsen directeur de la sécurité des systèmes d’information au groupe Casino, savoir ce qu’elles bloquent et ce qu’elles laissent passer ». Le thème de la souveraineté va demander encore quelques clarifications.