Radar 2020 des startups cybersécurité françaises: notre analyse (2/2)

Cloud & Next-Gen IT Security

    Publié le

    Dans un précédent article, nous avons partagé une première analyse sur la dynamique de l’écosystème des startups cybersécurité en France. Le panorama des startups demeure constant, avec des startups nouvellement créées montrant déjà de belles promesses. D’autres, avec déjà plusieurs années d’activité à leur actif, n’ont cessé de croître, à tel point qu’il nous a été nécessaire de créer une nouvelle catégorie: les scale-ups. Cependant, cet écosystème fait face à deux nombreuses adversités, telles que la crise sanitaire actuelle et le ralentissement des échanges internationaux qui en découle. Nous avons donc essayer d’envisager les évolutions nécessaires à cet écosystème startups.

    La crise sanitaire : un ralentissement de l’activité mais pas un coup d’arrêt

    Malgré une crise sanitaire d’envergure qui les a impactées de plein fouet, les startups restent en grande majorité confiantes pour leur avenir (plus de 80% des startups interrogées).  Certaines entreprises clientes ont même priorisé leurs activités de cybersécurité pour se renforcer dans ce contexte inédit.

     

     

    Ainsi, 34% des startups interrogées déclarent être à l’équilibre en termes d’opportunité commerciales, celles décrochées depuis mi-Mars ayant pu compenser celles perdues, 21% d’entre elles ont même constaté une progression !

    Un chiffre rassurant, à relativiser car elles sont plus d’un tiers (37%) à avoir subi des pertes de parts de marché, notamment du fait d’arrêts d’investissements chez certains clients. Certaines ayant encore du mal à se prononcer du fait d’un manque de visibilité commerciale (8%).

    Sur ce dernier point, la pertinence du secteur d’activité de ces startups vis-à-vis des nouveaux enjeux amenés par la crise sanitaire est probablement en lien. La majorité de celles qui résistent adressent en effet des sujets portés par la généralisation forcée du nomadisme et de l’accès à distance des SI : protection des données et sécurisation des échanges, surveillance et protection des actifs, gestion des accès. La réorientation de leurs efforts commerciaux vers les secteurs résilients, celui du médical par exemple, est probablement un autre facteur de ces résultats.

    75% des startups interrogées ont également profité de la période pour se recentrer sur la R&D ou le marketing de leurs produits.

    Des chiffres qui nous démontrent la capacité des startups à faire face à la crise, malgré le lot d’adversités et d’incertitudes qu’elle apporte, par leur grande souplesse et réactivité. Ils mettent également en avant la résilience du secteur de la cybersécurité. Elle reste en effet un enjeu principal des entreprises. Même en cette période de crise économique, elles continuent à chercher des solutions toujours plus pertinentes et efficaces pour garantir leur sécurité.

    Un ralentissement particulièrement visible sur les levées de fonds

    Nous comparons ici deux périodes de levées de fonds sur l’écosystème complet (startups et scale-ups cybersécurité) : période 2019-2020 (de Juillet 2019 à Juin 2020) et période 2018-2019 (de Juillet 2018 à Juin 2019).

    La résilience qualitative de l’écosystème constaté précédemment masque une situation plus négative sur les levées de fonds. Les 100 millions d’euros levés en cybersécurité sur la période 2019-2020 font pâle figure face aux plus de 260 de la dernière, 2018-2019.

     

     

    La période 2018-2019 avait cependant été exceptionnelle : 7 startups du radar avaient levé autour de 10 millions d’euros, 2 avoisinaient les 200 millions d’euros à elles seuls. Les levées de fonds des années précédentes n’avaient jamais atteint de tels niveaux.

    2019-2020 a été exceptionnelle aussi, mais d’une manière bien différente. De belles levées ont eu lieu jusqu’en février : le top 4 a été réalisé sur cette période. Malheureusement l’activité a rapidement été impactées par la crise sanitaire. Un certain nombre de levées prévues entre Février et Avril ont été reportées.

    Toutefois, un redémarrage a été constaté dès Avril (Stamus Networks) et des levées intéressantes ont suivi sur Juin (e.g. Didomi, Quarkslab). Ces résultats laissent présager une fin d’année plus fructueuse.

    Comme le pressent également ACE-Management (entretien à retrouver ici), un effet de décalage de quelques mois des investissements semble se profiler et non une diminution, mettant une nouvel fois en avant le dynamisme du marché de la cybersécurité.

    Autre aspect intéressant de la période 2019-2020 : les levées plus faibles sont en hausse. 7 startups ont levé entre 2,5 et 5 millions d’euros contre 3 seulement sur la période précédente. Est-ce là un indicateur potentiel de la volonté croissante des startups de réaliser des levées au plut tôt pour accélérer leur développement ? Ou peut-être assistons-nous à la préparation des prochaines générations de scale-ups ? C’est en tous cas un signe très positif pour le dynamisme de l’écosystème.

    Compte tenu des caractères exceptionnels des deux périodes, il est toutefois difficile de tirer une analyse définitive. Rendez-vous l’année prochaine pour une prise de recul qui s’avérera nécessaire.

     

    Des évolutions nécessaires dans toutes les facettes de l’écosystème pour en assurer sa réussite

    Clients : prenez le risque d’aller au-delà des POCs

    Les clients ont également un rôle clé à jouer dans le développement des startups françaises.

    A ce titre, nous constatons que les entreprises font de plus en plus confiance aux startups françaises et les soutiennent tout en les testant : 70% d’entre elles réalisent des « Proof Of Concepts » financés par leurs clients contre 67% l’an dernier. Une augmentation que nous ne pouvons que saluer, ces investissements permettant aux pépites françaises de se développer plus rapidement.

    Mais pour continuer à soutenir le développement de cet écosystème, il est également nécessaire d’accepter le risque de transformer l’essai en contractualisant avec les pépites testées. Les entreprises ont cette année davantage de mal à le faire rapidement : 30% d’entre elles peuvent mettre plus de 6 mois à signer un contrat après un POC contre 25% en 2019. La crise sanitaire peut expliquer en partie cette situation.

    Travailler avec une startup peut certes représenter un risque, mais c’est également un pari sur l’avenir. Elles peuvent apporter des solutions à des problématiques auxquelles le marché « traditionnel » n’apporte pas de réponses satisfaisantes depuis des années, permettre de rester à la pointe, ou encore d’accompagner davantage l’innovation des métiers (e.g. en sécurisant de nouveaux usages), et in fine apporter des différenciants majeurs. Certains pays ont dans leurs gênes de prendre ce type de risque, c’est moins le cas en France mais rien ne nous empêche de nous transformer.

    Startups : sachez identifier les prochaines pépites chez vos clients !

    Même si cela semble être trivial, il est important de rappeler à quel point il est crucial de se positionner sur des problématiques ayant peu ou pas de réponse satisfaisante sur le marché « classique ».

    Pour ce faire, il est essentiel pour les startups d’être à l’écoute des besoins de leurs futurs clients et de se positionner sur leurs problématiques cruciales.

    L’identification ne doit pas être que technologique, mais aussi prendre en compte des critères tels que la difficulté d’intégration de la technologie dans le système d’information des clients, l’existence d’une concurrence établie ou la volonté des principaux donneurs d’ordres d’investir dans une nouvelle technologie. C’est la combinaison de ces critères qui permet d’identifier les sujets qui auront le plus de succès sur le marché !

    Les produits qui nécessitent d’installer des éléments sur de très nombreux équipements du SI (e.g. un nouvel agent de sécurité sur les postes de travail) sont particulièrement difficiles à “vendre” à des grandes entreprises déjà équipées. Des approches plus passives les séduisent davantage. Cela peut se faire d’autant plus facilement pour les thèmes encore en forte évolution comme la surveillance ou l’analyse de journaux du SI.

    Une concurrence d’acteurs d’envergure bien implantés peut être complexe à dépasser pour une jeune pousse. C’est le cas sur le marché des EDR par exemple, de forts arguments différenciateurs seront alors nécessaires pour percer face à des acteurs majeurs déjà reconnus. A l’inverse, des thèmes comme la cyber-résilience et la cryptographie, par exemple, restent sous-adressés par rapport aux attentes du marché, et seraient donc plus faciles à percer de ce point de vue.

    Enfin, la volonté d’investissement des donneurs d’ordres est également cruciale à prendre en compte. Si on reprend le sujet de la cryptographie, l’arrivée des ordinateurs quantiques est encore trop lointaine pour qu’il fasse partie de leurs préoccupations imminentes, l’horizon dans le secteur privé se situe certainement vers 2023/2024. Ceux de l’anonymisation des données tout en gardant la cohérence des bases anonymisées (synthetic data), du Data Leakage Prevention ou du Passwordless sont également des préoccupations majeures des entreprises qui n’ont toujours pas de réponses satisfaisantes sur le marché. La rationalisation des outils des RSSI, qui sont plus en recherche d’optimisation actuellement que d’investissement dans des nièmes solutions de sécurité, est un sujet qui sera bien plus présent à court terme.

    Startups : n’oubliez pas de saisir les opportunités de financement et d’accompagnement !

    Cette année, encore 32% des startups interrogées n’envisagent pas de lever des fonds, et plus de la moitié d’entre elles n’a jamais été accompagné dans leur développement.

    Financement et accompagnement sont pourtant des accélérateurs intéressants, d’autant plus dans le marché extrêmement rapide de la cybersécurité, où la rapidité de conquête du marché est un atout crucial (retours d’ACE-Management sur le sujet à retrouver ici).

    Cette absence de volonté de faire appel à des accélérateurs, constaté depuis plusieurs années, peut en partie s’expliquer par un manque historique de structures spécialisées en cybersécurité en France, complexifiant les échanges et la valorisation des startups auprès de ces dernières.

    La situation a pourtant bien évolué et la considération au niveau national de la cybersécurité s’accélère particulièrement cette année :

    • L’état mobilise des fonds pour l’innovation, en particulier dans le secteur de la cybersécurité pour lequel le plan de relance économique prévoit à minima 136 millions d’euros ;
    • Un grand défi dédié à la cybersécurité a été lancé, la publication de sa feuille de route en Juillet de cette année a été suivie par un appel à projets de BPI France avec des investissements de plusieurs dizaines de millions d’euros ;
    • Le fond français Brienne III, lancé officiellement en Juin 2019 par un premier tour de table à 80 millions d’euros et géré par ACE-Management, est spécialisé en cybersécurité. D’autres investisseurs n’hésitent pas aujourd’hui à financer des initiatives dans ce domaine.

    Autant d’opportunités à saisir pour les startups de l’écosystème, dont il serait aujourd’hui dommage de se passer ! L’actualité met d’autant plus en lumière le fait que c’est le bon moment de se tourner vers ces accélérateurs, la cybersécurité apparaissant comme un élément essentiel du « nouveau monde », où le télétravail restera inscrit dans la durée.

    Ecosystème : catalysons et amplifions ces initiatives prometteuses !

    Nous l’avons vu, les initiatives pour le développement de la cybersécurité fusent : l’état se mobilise (cyberdefense factory, grand défi, contrat de filière, campus cyber…), les investisseurs et incubateurs lancent également des initiatives privées.

    L’état s’ouvre largement grâce à ces initiatives et adopte une posture de plus en plus tournée vers l’innovation. Espérons que ces mouvements incitent des collaborateurs des entités concernées à se lancer dans l’aventure entrepreneuriale. En effet, nos acteurs cyber étatiques disposent d’une visibilité sans pareille de la menace et utilisent des outils ou des approches qu’il serait bénéfique d’offrir au secteur privé à court ou moyen terme. La création de spin-off est encore trop timide en France comparé à d’autres pays, par exemple évidemment Israël mais aussi les Etats-Unis, où les entités étatiques sont parmi les premières pourvoyeuses de startuppers.

    L’enjeu maintenant va être d’exploiter au mieux cette multiplicité de dynamiseurs potentiels de l’écosystème cyber français. Le risque serait que ces moyens d’accompagnement du marché se fassent concurrence et se dispersent, fonctionnent en silo, au point d’amener de la confusion et de « brouiller » les messages auprès des acteurs de l’écosystème.

    Et cela serait vraiment dommageable. Nous sommes à l’aube d’une année charnière pour notre écosystème : toutes les composantes semblent réunies pour réaliser sa transformation et lui permettre de passer à l’échelle. La question nous semble maintenant être : réussirons-nous collectivement à concrétiser ce mouvement ? Car pour se faire, il nous semble essentiel de joindre les forces en présence, de les catalyser vers ce but commun. Un rôle que le campus cyber pourrait jouer ?

     

    2021 : l’année de la concrétisation ?

    Malgré l’effet sur 2020 des impacts de la crise sanitaire mondiale, la cybersécurité reste un secteur résilient, l’écosystème des startups françaises dans ce domaine l’a également démontré. Leurs projets de développements sont parfois décalés mais elles restent confiantes pour leur avenir malgré les challenges qu’elles ont eu et auront encore à relever.

    Dans ce contexte, il reste primordial de continuer à soutenir le développement de l’écosystème. De plus en plus d’accompagnements spécialisés dans le secteur voient le jour, à ce titre 2021 sera une année charnière pour concrétiser la transformation de notre écosystème et le hisser à un niveau international.