Radar des startups 2019 : Un écosystème de plus en plus dynamique

Cybersécurité et confiance numérique Transformation métier sécurisée & données

Publié le

Cette année a montré l’amorçage d’une transformation de l’écosystème des cyber-startups françaises. Le dynamisme des startups n’est plus à prouver et les entrepreneurs français brillent par leur capacité à innover sur différents sujets de la cybersécurité. 

 

+18% de croissance en nombre de startups depuis janvier 2018

Notre radar recense désormais 134 startups cybersécurité, ce qui représente 25 startups de plus qu’en janvier 2018. Il est intéressant de remarquer que leur taille évolue également de manière positive : si les « très petites entreprises » restent majoritaires, le nombre de « petites entreprises » a augmenté de près de 56%. Au total, les startups représentent plus de 1200 emplois, soit 9% de plus que l’année précédente, et ce pour la 3ème année consécutive !

Concernant les sorties, 27 startups ont quitté notre radar, soit seulement 4 de plus que l’année dernière. Parmi ces dernières, 37% sortent du radar à cause de leur ancienneté (>7ans d’existence) et sans pour autant dépasser le critère de la taille limite (<35 employés), ce qui est un signe de difficultés de croissance ou bien simplement d’un manque de volonté de croissance et de prise de risque par les fondateurs. Ce manque de prise de risque est appuyé par un faible taux de liquidation (30%). Cependant nous constatons cette année que les cas de croissance rapide (dépassant les 35 employés avant d’atteindre les 7 ans d’existence) sont plus nombreux (18%) et observons même les premiers rachats (15%), ce qui témoigne d’une attractivité plus forte des ces acteurs.

Au niveau géographique, peu de surprises par rapport aux années précédentes, avec un centre névralgique positionné sur le bassin parisien. L’écosystème reste néanmoins bien réparti avec des présences régionales issues des différents incubateurs. En particulier le pôle Rennais gagne en importance avec les nombreux investissements réalisés par le ministère des armées qui souhaite y créer un véritable deuxième pôle d’expertise en France sur les sujets cybersécurité, comme le montre la présence de l’activité cybersécurité de la DGA sur son campus de Bruz.

 

 

Des signes particulièrement positifs pour la transformation de l’écosystème qui s’observent chez les clients …

Identifié l’année dernière comme un axe essentiel au développement de l’écosystème, le financement des POC par les entreprises devient une pratique de plus en plus répandue puisqu’elle concerne 67% des startups que nous avons interrogées. Cette démocratisation est un signe particulièrement positif pour l’écosystème, car en plus de supprimer cet investissement initial pour les startups, cela montre que les grands groupes évoluent et font confiance à nos pépites françaises.

 

… du marché …

On ne peut que saluer l’ampleur prise par les levées de fonds cette année. Au niveau de notre radar, le total est 4 fois supérieur à celui de 2017 et pas moins de 6 startups ont levé des montants supérieurs à 10 millions d’euros. Il est également intéressant de mentionner la structure française Vade Secure qui a levé 70 millions d’euros via le fond américain General Catalyst, et la startup franco-américaine Dashlane qui a levé 110 millions de dollars. Cette ampleur est le résultat d’un début de démystification de l’écosystème qui permet aux investisseurs d’être moins frileux sur le sujet. Une autre preuve de cette confiance est la création d’un fonds d’investissement dédié, Brienne III. Cette structure qui a déjà réalisé un premier closing de 80 millions va permettre de continuer à rassurer les investisseurs et contribuer à l’évangélisation de l’écosystème.

Nous observons aussi les premiers « exits » des startups françaises. Ils concernent 4 startups de notre radar cette année, dont notamment Trustelem acquise en juillet par Wallix, Sentryo qui est en négociation avancée avec Cisco pour une intégration d’ici le premier trimestre 2020, et Madumbo qui a été rachetée par l’éditeur franco-américain Datadog. Ils sont une preuve que ces startups françaises sont de plus en plus différenciantes, ce qui les rend plus attractives. En revanche, ces exits sont très souvent portés par des structures étrangères et dans la majorité des cas, ils entraînent la délocalisation des centres de décisions et de R&D de ces startups, ce qui reste dommageable pour l’entretien du dynamisme de l’écosystème et la souveraineté technologique en France.

Autre signe positif de l’évolution du marché, on observe également l’ouverture de la Défense, notamment avec la fondation de l’« Innovation Défense Lab » qui sera accueilli au sein du « Starbust Accelerator » et qui favorisera la collaboration des startups avec la DGA. En parallèle, l’Etat a lancé un projet de campus de la cybersécurité. Cette entité aura pour vocation de créer des synergies entre les différents acteurs de l’écosystème en réunissant notamment des acteurs industriels, des startups, des universitaires, ainsi que certaines agences et ministères.

 

… et des startups

L’internationalisation des startups reste un gros levier de croissance, et les startups cybersécurité françaises l’ont compris. La moitié de celles que nous avons interrogées ont déjà des clients à l’étranger, et 15% sont en recherche d’opportunités à l’international : elles se donnent ainsi les moyens d’accéder à des marchés plus importants, plus stratégiques et potentiellement plus matures… et donc de trouver les leviers de croissances nécessaires à leur développement.

De plus, le positionnement de l’innovation change pour l’année 2019 grâce à une augmentation de la proportion de startup innovantes parmi les nouvelles créations. En effet, 44% des startups créées cette année proposent des solutions disruptives n’existant pas auparavant sur le marché.

Cela porte à 31% le nombre total de startup de notre radar appartenant à cette catégorie alors qu’il n’était que de 19% l’année dernière.

Les entrepreneurs cybersécurité innovent dans les domaines matures de la cybersécurité

On pourrait s’attendre à ce que ces domaines bien établis où la concurrence est rude soient moins attractifs. Cependant les entrepreneurs n’hésitent pas à les aborder sous un angle nouveau afin de gagner des parts de marché.

La sécurité de la donnée comporte ainsi son lot d’innovations. Les startups Binex et Ugloo ont par exemple conçu des solutions de stockage « décentralisé » en faisant la promesse aux entreprises de pouvoir récupérer le contrôle de leurs données aujourd’hui sauvegardées dans des Cloud de fournisseurs différents.

La gestion des identités et des accès, éternel casse-tête des entreprises, est un terrain où l’innovation est possible, comme le prouve ArmadAI qui optimise les habilitations des utilisateurs via l’utilisation de l’intelligence artificielle. La start-up Reachfive se positionne elle sur le CIAM (Customer Identity and Access Management) en fournissant une plateforme d’identité client répondant aux enjeux de sécurité et d’expérience utilisateur. Enfin des acteurs comme RubycatLabs n’hésitent pas à bousculer les segments où les parts de marché sont rares, ici la gestion des comptes à privilèges, en se différenciant non pas par la technologie mais par une simplicité d’utilisation et des modèles tarifaires attractifs.

Dans la même optique, la start-up Sqreen propose de révolutionner le domaine de la sécurité applicative en déployant son micro-agent au sein des applications, permettant ainsi de les monitorer et protéger. D’autres startups ont choisi des problématiques de niche dans ce domaine, comme Datadome avec sa solution qui empêche les « mauvais » robots (Scraping, DDoS, vol de compte …) de nuire aux applications des entreprises, tout en autorisant les robots légitimes (Googlebot…) à y accéder.

Que dire de la gestion des vulnérabilités où les quelques leaders du marché se partagent les parts du gâteau. Le constat est simple aujourd’hui : les entreprises sont très compétentes quand il s’agit de trouver des vulnérabilités, mais beaucoup moins quand il s’agit de les corriger, à cause des problèmes de criticité (d’un point de vue disponibilité) des ressources concernées. On observe ainsi deux approches intéressantes visant à modifier ce constat : celle de Cyberwatch qui propose d’évaluer les vulnérabilités dans un contexte métier afin de prioriser celles qu’il faut corriger ; et l’approche d’Hackuity qui suggère de centraliser et de normaliser les résultats des différents tests d’intrusion sur une même plateforme et d’implémenter une fonctionnalité de « rejeu » de la vulnérabilité afin de pouvoir suivre la résolution de cette dernière de façon automatique.

Les entreprises françaises, en particulier celle ayant le statut d’opérateur d’importance vitale (OIV), sont toujours à la recherche de souveraineté, et cela s’applique également à la sécurité réseau, où les entreprises étrangères comme Darktrace ou Vectra sont les leaders du marché. C’est ce qui explique, entre autres, la réussite de la startup Gatewatcher dont les sondes de détection d’intrusions ont été récemment qualifiées par l’ANSSI. C’est également le cas de la sécurité endpoint, où des EDR à la française voient le jour comme la jeune pousse Harfanglab et son EDR Hurukai.

Pour finir, la connaissance de la menace est devenue un atout stratégique pour les entreprises, faisant la part belle au domaine de la Threat Intelligence. Dans ce domaine, l’acteur français Citalid innove en commercialisant une plateforme d’anticipation des cybermenaces et de quantification des risques reposant sur l’utilisation de la méthodologie FAIR.

 

Les startups comprennent les enjeux du marché et se positionnent sur les sujets « porteurs ».

Le domaine de la vie privée a fait parler de lui ces derniers mois en raison de la multiplication des fuites de données à caractère personnel et des premières sanctions vis-à-vis du RGPD. Les entrepreneurs cybersécurité l’ont bien en tête car c’est aujourd’hui une petite quinzaine de startups qui adressent ce sujet, comme la startup Smart Global Privacy dont la solution smart GDPR optimise la gestion des traitements de données à caractère personnel en automatisant certaines actions et en fournissant des templates préconstruit en fonction des métiers de l’entreprise.

Dans le même temps, le besoin de pouvoir collaborer de façon sécurisée est plus présent que jamais. Cependant, les solutions actuelles pâtissent d’un manque de simplicité de déploiement et d’ergonomie d’utilisation. C’est ce qui explique la multitude de solutions qui apparaissent sur le marché, et qui promettent à la fois un niveau de sécurité élevé et une expérience utilisateur acceptable. La messagerie mobile élaborée par la startup Olvid est un parfait alliage entre un modèle de sécurité cryptographique extrêmement robuste et les fonctionnalités standards d’une messagerie. Shadline et Twinlife proposent également des outils collaboratifs sécurisés. Mais il sera dur de se faire une place sur un marché déjà très concurrentiel.

La thématique de la gestion de crise fait son apparition sur le radar 2019. La startup Easylience a notamment conçu une solution permettant d’assister les entreprises dans la gestion des crises de grande ampleur.

Avec l’avènement de la digitalisation des parcours client, le besoin de pouvoir identifier et authentifier ces derniers sans avoir besoin de les rencontrer physiquement a émergé. Ubble et Serendptech adressent cette problématique, d’ailleurs encadrée par le règlement européen eIDAS, en distribuant une technologie de vérification d’identité basée sur des algorithmes de reconnaissance vidéo pour les premiers, et une application mobile qui aide à garantir l’authenticité d’un titre d’identité pour les seconds.

Enfin, le domaine de la sécurité de l’IoT n’a rien à envier à ceux mentionnés précédemment quand on considère l’avènement des objets connectés, pour les particuliers mais également pour les entreprises. La startup Acklio contribue à sécuriser les objets connectés en rendant compatibles les réseaux LPWAN (réseaux à longue portée et basse consommation comme Lora ou Sigfox) nécessaires au bon fonctionnement de ces objets et le protocole IP. Sa solution permet de comprimer les messages internet et d’ainsi assurer la communication native entre l’objet et les applications métier. La startup Moabi elle se positionne sur l’évaluation de la sécurité des firmwares intégrés dans ces objets, en utilisant notamment les technologies d’exécution symbolique.

En revanche, la sécurité par déception est encore trop peu adressée par les startups, bien qu’elle ait fait son apparition avec des startups comme SesameIT et Anozrway qui commencent à implémenter des fonctionnalités de ce type.

 

Retrouvez dans ce deuxième article, une analyse des actions concrètes qui permettraient aux acteurs d’intensifier le développement de leurs startups, d’acquérir une nouvelle envergure et, d’ainsi, confirmer le changement d’échelle amorcé.