L’importance de la suite M365 en entreprise

La suite logicielle Microsoft 365 offre un ensemble de services collaboratifs primordial pour les entreprises (figure 1). Ces services collaboratifs manipulant un volume important de données, potentiellement sensibles, ont besoin d’être sécurisés notamment grâce à de l’outillage. Microsoft a donc mis à disposition un panel de produits de sécurité, permettant de réduire ces risques.

Figure 1 – Les fonctionnalités de la suite M365.

Des menaces internes souvent oubliées mais de plus en plus présentes

Les tenants M365 au même titre que n’importe quel système informatique, représentent évidemment une cible potentielle pour les attaquants externes. Il ne faut pourtant pas sous-estimer la menace interne, d’autant plus que la proportion et l’impact de ces dernières ne sont pas négligeables. En effet, en 2020 en Amérique du Nord, près de 19% des acteurs de menace[1] proviennent de l’intérieur de l’entreprise. On peut distinguer différentes catégories de menaces internes :

• Le sabotage qui désigne un collaborateur interne utilisant ses accès légitimes pour endommager ou détruire les systèmes ou les données de l’entreprise afin de nuire à l’entreprise ;
• La fraude, représentée par la modification ou la destruction de données par un initié dans le but d’en tirer des avantages personnels ;
• Le vol de données où l’initié vole la propriété intellectuelle de l’entreprise dans le but de la revendre ou de la garder pour lui-même dans le cadre d’un prochain emploi. L’initié peut également voler des informations pour une autre organisation (concurrents ou gouvernements par exemple), dans le but de réaliser de l’espionnage industriel ou gouvernemental ;
• La maladresse qui provient d’erreurs ou d’actions involontaires réalisées par un collaborateur négligent.

On associe également à ces menaces les acteurs potentiels :

• Les employés malintentionnés ayant pour but de réaliser des actes de sabotage (par exemple modification ou suppression de données).
• Les employés quittant une entreprise, particulièrement s’ils la quittent de manière forcée. Dans ce cas, la plus grande menace associée est le vol de données. D’après une étude^[2], 70% des employés déclarent emporter avec eux le travail qu’ils ont produit pour l’entreprise, alors qu’il ne leur appartient pas.
• L’agent interne qui est une personne travaillant pour un groupe externe afin de leur permettre d’accéder aux ressources de l’entreprise. Ces personnes peuvent avoir été sujette à des méthodes de corruption ou même de chantage.
• Les personnes désobéissantes qui contournent les politiques de sécurité mises en place par une entreprise, par exemple en utilisant des solutions personnelles de stockage de données en ligne, créant ainsi un risque de fuite de donnée.
• Les travailleurs externes qui ne sont pas des employés mais qui sont amenés à accéder au système d’information de l’entreprise (prestataires, fournisseurs, partenaires…).
• Les travailleurs négligents, qui n’ont pas conscience que leurs actions induisent des vulnérabilités pour l’entreprise. En effet, dans la majorité des cas, les failles de sécurité impliquant un employé ne sont pas intentionnelles, mais proviennent de travailleurs négligents (dans 56% des cas en 2021^[3]). Par exemple, un employé peut perdre ou se faire voler un appareil non chiffré possédant des données sensibles pouvant mettre en danger l’entreprise. Ou tout simplement partager des fichiers aux mauvaises personnes ou supprimer des objets importants sans s’en rendre compte.

La réponse de Microsoft face à ces menaces internes

Un des défis de Microsoft aujourd’hui, est d’accompagner ses clients à se prémunir face aux risques internes. Actuellement, Microsoft propose un groupe de solutions pour lutter contre les menaces internes appelé : « Microsoft Purview », anciennement nommé « compliance center » (voir figure 2[4]).

Ce groupe inclut

• « Communication compliance» : minimiser les risques de communication en permettant de détecter, de capturer et d’agir sur les messages à risque au sein d’une organisation ;
• « Information barriers» : restreindre la communication et la collaboration entre 2 groupes pour éviter les conflits d’intérêt internes ;    
• « Privileged access management» : contrôler les accès aux taches administrateur dans Exchange Online permettant d’éviter les droits d’accès trop élevés.

Enfin, Microsoft Purview est aussi nouvellement composé du module « Insider Risk Management » (IRM). Ce module, aide à minimiser les risques internes en permettant de détecter, d’enquêter et d’agir sur des activités malintentionnées ou involontaires au sein d’une organisation.

Figure 2 – Les modules de gestion de menaces internes de Microsoft.

Insider Risk Management, la solution Microsoft qui aide les organisations à traiter une partie de ces menaces internes.

Comme expliqué précédemment, IRM aide à minimiser les risques internes. Concrètement, l’outil fonctionne en différentes phases (qui seront détaillées par la suite) et repose sur des données provenant des flux de travail Microsoft. Il comporte des scénarios de fuite de données pré établis comme la démission d’un employé ou son mécontentement. Ces scénarios facilitent l’analyse des activités à risque en apportant du contexte. L’outil va pouvoir utiliser des métadonnées liées au scénario ciblé, comme les dates de départ ou d’entretien annuel d’un employé par exemple. Ainsi il va pouvoir évaluer le niveau de risque des utilisateurs et générer des alertes au moment approprié.

Pour cela, Insider Risk Mangement utilise différents modules de M365. IRM est une solution avancée et nécessite donc des licences spécifiques. Pour pouvoir utiliser ce module, il existe plusieurs possibilités de licensing :

Figure 3 – Trois façons d’obtenir Insider Risk Management avec les licences Microsoft.

Un outil qui fonctionne en 6 phases

La première est la phase de création de stratégies, elle permet de définir les évènements déclencheurs et les indicateurs de risques menant à la génération d’alertes.

La deuxième est la détection, lorsque les activités d’un utilisateur commencent à être analysées par IRM à la suite d’une activité suspicieuse (évènement déclencheur).

La troisième est une phase de génération des alertes, elles sont générées automatiquement par les indicateurs de risques définis dans les stratégies.

Une fois qu’une alerte est levée, IRM met à disposition une étape de triage qui permet aux administrateurs de classifier les alertes en fonction de leur niveau de gravité et d’autres paramètres.

Vient ensuite la phase d’inspection qui permet d’analyser en profondeur toutes les activités liées à un utilisateur et à une alerte grâce à la création d’un dossier d’analyse en profondeur (« case »).

Une fois que l’alerte a été traitée, la phase d’action intervient. Elle consiste à résoudre le dossier d’analyse, soit en alertant l’utilisateur d’un comportement inhabituel, soit en alertant les parties prenantes de l’organisation (services juridiques, SI, ressources humaines, etc.) pouvant prendre les mesures adéquates.

Figure 4 – Les 6 phases de fonctionnement d’IRM.

Pour fonctionner, Insider Risk Management s’intègre pleinement avec les composantes M365 du tenant sur lequel il est déployé (voir schéma en figure 5). En effet, les données reçues d’autres modules permettent l’analyse des flux de travail et des différentes activités.

Figure 5 – Schéma d’architecture global d’IRM.

Pour commencer, définir les stratégies de détection

Comme présenté précédemment, la première étape est la définition des stratégies, qui s’appuient sur un des 5 scénarios établis par Microsoft :

• Vol de données: Lutte contre le vol des données de l’entreprise dans le but d’en tirer un profit ou un intérêt personnel. Ce scénario s’applique aux utilisateurs quittant l’entreprise (volontairement ou non).
• Fuite de données: Lutte contre le partage intentionnel ou non d’informations sensibles.
• Utilisation abusive de données de santé: Lutte contre l’exploitation illégale d’informations de santé par des employés.
• Violation des politiques de sécurité: Lutte contre l’installation de logiciels malveillant et la désinstallation ou désactivation de certains services.
• Utilisation dangereuse des navigateurs: Détecte les comportements de navigation qui pourraient ne pas être acceptables par la charte de l’entreprise (visite de sites incitant à la haine, avec du contenu pour adultes) ou présentant une menace (sites de phishing).

Ces scénarios sont disponibles sous forme de « templates » pour alimenter les stratégies et peuvent inclure tout type d’utilisateur d’une organisation, mais IRM permet d’être plus précis et d’apporter plus de sens et de contexte en ciblant des catégories d’utilisateurs spécifiques. Voici les 3 types d’acteurs proposés par Microsoft :

• Les utilisateurs mécontents: Le comportement de l’employé peut être influencé par de nombreux événements tels que l’évaluation des performances ou les changements d’organisation (notamment la « rétrogradation » dans l’organisation). Pour ce faire IRM permet d’importer des données liées à la performance et à l’organisation.
• Les employés quittant l’entreprise: Un employé peut changer de société ou être licencié et donc devenir une menace pour l’organisation pour laquelle il travaillait.
• Les utilisateurs prioritaires: Utilisateurs avec un accès privilégié ou avec des responsabilités à haut risque.

Pour détecter ces cas, IRM permet d’importer des données depuis les outils RH (évaluation, organisation, démissions, licenciement), et des données liées aux habilitations des utilisateurs.

Figure 6 – Les composantes d’une stratégie de gestion des risques internes

La définition des stratégies de détection (scénarios et acteurs), permet de configurer la liste des évènements déclencheurs associée.

Si on prend pour exemple, le scénario « fuite de données », il regroupe un ensemble d’indicateurs et d’évènements déclencheurs permettant de prévenir des fuites de données accidentelles et intentionnelles. Mais en fonction des utilisateurs visés par cette stratégie, les indicateurs et les évènements déclencheurs seront différents (voir tableau ci-dessous). Dans cet exemple, la stratégie peut s’appliquer à tous les utilisateurs, à des utilisateurs prioritaires (groupe d’utilisateurs travaillant sur des données sensibles par exemple) ou à des utilisateurs mécontents (focus réalisé sur des utilisateurs ayant vu leur promotion refusée par exemple). Le mécanisme de détection et l’importance des indicateurs et des évènements déclencheurs propres aux profils d’utilisateurs sélectionnés sont détaillés dans la suite de cet article.

Ensuite, détecter les activités douteuses

Une fois la phase de création de stratégie effectuée, la phase de détection (figure 7) permet de générer des alertes. Cette étape est la plus importante pour détecter les comportements malicieux. Il est à noter, que sans événement déclencheur présent dans une stratégie de gestion des risques internes, les activités des utilisateurs ne sont pas analysées par IRM. Les évènements déclencheurs sont liés au scénario de détection choisi. Comme dit précédemment cela peut être une date de démission ou bien des activités massives d’exfiltration (impressions, téléchargements, copie vers USB, envoie de mail, etc.) ou de suppression. Les évènements déclencheurs peuvent également être une suite d’action, par exemple lorsqu’un fichier est téléchargé, puis exfiltré et enfin supprimé.

Figure 7 – Focus sur le processus de détection.

Une fois qu’un utilisateur a réalisé un évènement déclencheur, il devient la cible de la stratégie de détection associée. A partir de ce moment-là, les activités des utilisateurs définies dans cette stratégie par les indicateurs de risques sont analysées. Les indicateurs de risques peuvent être des indicateurs liés aux activités Office (manipulation de fichiers sur SharePoint, OneDrive, Teams…), aux activités sur les appareils (impression, renommage, création de fichiers cachés, utilisation de clé USB, installation de logiciels…), aux activités de navigation (accès à des sites malveillants, contenu dangereux…) et aux activités des autres applications cloud (grâce à Microsoft Defender for Cloud Apps).  Si un de ces indicateurs dépasse un certain seuil (défini via la stratégie), alors une alerte est générée et si l’alerte est confirmée par un administrateur IRM comme n’étant pas un faux-positif, un dossier est ouvert pour pouvoir analyser de manière détaillée les activités de l’utilisateur ciblé.

Enfin, traiter les alertes générées

Lorsqu’une menace est confirmée et qu’un dossier d’analyse en profondeur a été ouvert, les administrateurs IRM et les « global admins » peuvent alors observer le contenu qui a été téléchargé, partagé, imprimé, consulté, etc. Ce qui permet alors aux parties prenantes de prendre une décision sur l’action à mener face à la menace. On peut soit envoyer une notification à l’utilisateur concerné soit remonter le cas à des fins d’enquête. Cependant, il est important de rappeler qu’Insider Risk Management, ne permet pas de restreindre les agissements d’un utilisateur malveillant, cela reste un outil d’alerte et d’inspection facilitant la prise de décision.

Dans les faits IRM est une solution puissante et prometteuse mais pas encore assez mature

Bien qu’Insider Risk Management nécessite une bonne compréhension de l’ensemble des services M365 et de l’Azure AD, il permet d’exploiter les capacités des services de sécurité afin d’offrir une meilleure protection contre les menaces internes. Comme décrit précédemment, Insider Risk Management est un outil très efficace, qui analyse l’ensemble des flux de travail et qui s’adapte facilement aux activités des entreprises et des utilisateurs.

Cependant, certains points restent à éclaircir et à améliorer. En effet, l’efficacité d’IRM est contrastée par son temps de réaction assez élevé (environ 12h pour détecter les activités) et son interface qui n’est pas assez intuitive. Également, la documentation Microsoft peut s’avérer compliquée à comprendre voir fausse dans certains cas (mauvais format des dates proposé pour les données RH par exemple). De plus, dans la situation actuelle, les scénarios présentés pourraient être surveillés par les équipes du SOC d’une entreprise (via des scripts spécifiques, ou des alertes par exemple). C’est pourquoi l’outil est encore peu utilisé par les entreprises. Néanmoins, l’évolution de la maturité de cet outil doit être surveillée avec attention, puisque des changements réguliers y sont apportés (comme l’ajout de nouveaux scénarios de détection).

En conclusion, quelles questions se poser avant de se lancer ?

Définir les cas d’usages concrets à couvrir et évaluer la plus-value par rapport à l’alerting existant (au sein du SOC).

Evaluer l’impact de cet outil sur les données personnelles, compte tenu de sa puissance d’exploitation.

Réfléchir à l’organisation à mettre en œuvre (responsabilités, processus de traitement des alertes, processus d’évolution des stratégies).

[1] Source : 2021 Data Breach Investigations Report de Verizon (lien).

[2] Source : Article « What happens to your data when a departing employee leaves? » sur S2|DATA (lien).

[3] Source : 2022 Cost of Insider Threats Global Report de Ponemon Institute (lien).

[4] D’après la documentation Microsoft sur le produit Insider Risk Management.

Cet article IRM, un outil pour mieux gérer les risques internes dans l’écosystème M365 est apparu en premier sur RiskInsight.

Le besoin de collaboration avec l’externe : éternel point de souffrance des entreprises

Les entreprises ont toujours eu besoin de collaborer entre elles en partageant des ressources et en échangeant des données. Pour ce faire, leurs collaborateurs doivent être capables d’interagir en toute sécurité avec des utilisateurs extérieurs à leur environnement.

Plusieurs cas d’usages sont à couvrir, dont un des plus fréquents devient la collaboration bornée dans le temps avec des partenaires, des prestataires externes, des fournisseurs ou des clients B2B.

Aussi, il est courant d’observer une collaboration continue entre filiales d’un même groupe, qui ont besoin d’avoir accès aux ressources et données de l’entreprise, et qui ne partagent pas nécessairement le même Système d’Information.

Historiquement, la collaboration pouvait se réaliser de plusieurs façons présentant des inconvénients :

• Par échange successifs de mails, à la fois peu efficaces et entrainant une perte de contrôle de la donnée échangée ;
• En utilisant des solutions dédiées au partage de document à des tiers, qui s’avèrent coûteuses et peu adaptées d’un point de vue expérience utilisateur ;
• En créant une nouvelle identité dans les systèmes historiques (Active Directory, etc.), et en dotant les entités tierces de moyens pour accéder au SI de l’entreprise (VPN, machines virtuelles, machines physiques, etc.), ce qui augmentait considérablement la surface d’attaque de l’entreprise.

Microsoft a introduit Azure AD B2B pour ce besoin de collaboration

Aujourd’hui, l’usage d’Azure AD B2B permet à deux entités ou plus de collaborer au sein du tenant Azure de l’entreprise d’accueil. Les ressources partagées peuvent être des applications, des documents, des sites SharePoint, des OneDrive ou des équipes Teams.

Dans les faits, la solution Azure B2B permet à un utilisateur externe d’accéder au tenant de l’entreprise d’accueil via son compte habituel en lui créant une identité « invité » au sein de l’Azure Active Directory (AAD) de l’entreprise.

Le tenant « client » fait alors totalement ou en partie confiance au tenant « externe » pour l’authentification via un mécanisme d’échange de jeton.

Il existe trois possibilités natives pour créer une identité « invité » :

• Directement depuis le portail Azure ;
• Via un partage de document sur OneDrive/SharePoint/Teams ;
• Via l’utilisation de la graph API.

Au niveau du tenant d’accueil, le propriétaire peut autoriser ou non le partage de données à des externes et également administrer les comptes invités (création, désactivation, suppression…).

Cette solution de collaboration présente un avantage direct : la facilité d’utilisation pour les utilisateurs habitués aux environnement Microsoft.

Le deuxième avantage à prendre en compte, est bien évidemment le coût de la solution. En effet, une identité « invité » présente une économie de licence : jusqu’à un plafond de 50 000 identités « invité », leur licence est gratuite. Au-delà et selon les souscriptions de l’entreprise, une licence pourra coûter entre 0,003€ et 0,015€ / mois / utilisateur, auxquels viennent se rajouter des frais fixes d’un montant de 0,029 € pour chaque tentative d’authentification multi facteur. Cette politique tarifaire est en décalage avec le tarif habituel d’une licence M365 : entre 10€ et 50€ / mois / utilisateur selon le plan de licence.

Cependant Azure AD B2B présente une configuration par défaut trop ouverte, qui engendre des risques pour l’entreprise

Azure AD B2B introduit plusieurs facteurs qui peuvent induire des risques :

• La création des identités invités est très simple et non contrôlée (pas de responsable pour l’identité, pas de traçabilité, pas de restrictions…) ;
• Le nombre d’identité invité peut augmenter de façon non contrôlée et il est compliqué de gérer simplement leur cycle de vie ;
• L’entreprise ne maitrise pas la sécurité du tenant initial de l’identité « invité » ;
• Aucune règle d’accès conditionnel n’est mise en place par défaut (pas d’authentification forte, pas de restriction d’accès au portail Azure AD, etc.) ;
• L’identité « invité » à accès aux attributs Azure AD des autres utilisateurs.

Ces facteurs engendrent des risques pour les données de l’entreprise, étant donné qu’une identité « invité » peut avoir des droits sur un nombre important de documents et des informations sur son tenant d’accueil.

On peut considérer deux évènements déclencheurs pour les différents scénarios de menaces :

• Une identité « invité » malveillante ;
• Une identité « invité » compromise par un attaquant.

Ensuite, et selon le niveau de configuration et les droits de l’identité « invité », cette dernière aurait l’opportunité de :

• Récupérer de la donnée confidentielle, à laquelle l’identité a accès ;
• Détruire l’ensemble des données accessibles par cette identité ;
• Compromettre l’AD via attribution de rôles à cette identité ;
• Réaliser de l’ingénierie sociale via l’accès à l’ensemble des données des utilisateurs.

En fonction du niveau de maturité de l’entreprise et de la volonté de couvrir le risque, il est nécessaire de mettre en œuvre un certain nombre de mesures

Pour bien commencer : durcir la configuration par défaut

Maitriser les moyens d’ajouter des identités « invité » sur le tenant

Un des premiers points à traiter est de couper l’accès au portail Azure aux collaborateurs non-administrateur de l’entreprise, pour qu’il ne soit plus un vecteur de création d’identités « invité ».

Il faut noter qu’il est également possible de restreindre la population pouvant inviter des externes à collaborer, mais dans les faits cela ne sera pas applicable à toutes les entreprises, et notamment celles qui souhaitent décentraliser la gestion de cette population. En effet le fait de restreindre cette population oblige à créer un service dédié à la création de ces identités, ce qui va à l’encontre du principe même de ce service, qui est de laisser la main aux utilisateurs.

Enfin, il existe une fonctionnalité permettant de positionner des contraintes sur l’adresse mail des identités « invité », via white-list ou black-list de nom de domaine. Cependant avant de se lancer dans ce chantier, il est nécessaire de tenir compte de la complexité de sa mise en œuvre (notamment pour une entreprise qui ne maitrise pas les partenaires avec qui elle collabore), et de la faible réduction du risque associé.

Restreindre ce à quoi peuvent avoir accès ces identités

Il est possible de restreindre les attributs qui peuvent être consultés par les identités invités, afin que ces dernières soient dans l’incapacité de récupérer un gros volume d’information sur le tenant d’accueil.

Renforcer l’authentification et le contrôle d’accès des identités « invité »

Le mécanisme d’authentification multi facteur (MFA) pour une identité « invité » est quasi natif et permet de diminuer le risque d’usurpation par un attaquant. En effet il suffit de mettre en place une politique d’accès conditionnel qui cible spécifiquement ces identités « invité », et qui applique le contrôle relatif au MFA.

Plusieurs défis viennent néanmoins complexifier cette opération, et sont à prendre en compte

• La gestion de la conduite du changement sur ces populations « invité » reste complexe à effectuer, même si les opérations d’onboarding des utilisateurs sont simples et guidées ;
• La gestion des processus de réinitialisation de second facteur en cas de perte ou de vol peut être coûteuse et complexe si elle n’est pas maitrisée.

Sensibiliser les utilisateurs aux risques et aux bonnes pratiques de collaboration

La complexité majeure de la solution Azure AD B2B est l’absence de mécanisme de gestion des identités « invités ». Les utilisateurs sont donc les principaux acteurs de la stratégie de gestion, et doivent être sensibilisés au bon niveau, en insistant sur :

• Les bonnes pratiques de collaboration : dans quel cas doivent-ils utiliser la solution, comment créer un invité, etc ;
• La bonne gestion de leurs accès : ils doivent être supprimés dès que possible afin d’éviter un accès illégitime ultérieur ;
• La désactivation des identités lorsqu’elles ne sont plus utilisées, en particulier pour les prestataires / partenaires, en insistant sur le fait que les documents produits ne sont pas perdus.

Protéger la donnée à laquelle peut avoir accès les invités

Il ne faut pas non plus oublier de protéger la donnée à laquelle peut avoir accès un invité légitime, ce qui donne lieu à plusieurs mesures :

• Il est possible de mettre en place des contraintes pour les identités « invité » via des règles d’accès conditionnels : utilisation obligatoire des clients légers (clients web), ayant pour effet d’empêcher la synchronisation des données et prérequis à des mesures avancées que nous verrons ensuite, l’interdiction du téléchargement des données, contraintes sur les terminaux à utiliser ;
• Si l’entreprise a déployé l’outil de classification AIP (Azure Identity Protection), une autre solution peut être la création d’une étiquette de confidentialité chiffrant la donnée pour les identités « invité ». Cette étiquette pourra également servir à restreindre certaines actions pour cette population : restriction des modifications (via les permissions associées), restriction du téléchargement (via une règle DLP), etc.

Pour aller plus loin, un Cloud Access Security Broker (comme Microsoft Defender for Cloud Apps de Microsoft) peut permettre la mise en place de règles avancées et ciblées comme par exemple : empêcher le téléchargement sur des espaces Sharepoint spécifiques.

Bien gérer le cycle de vie des identités « invité » : 3 Scénarios à considérer

Comme évoqué précédemment, le sujet clé reste la maitrise du cycle de vie des identités « invités » : Création, suppression, et revue des accès. 3 scénarios peuvent être envisagés, en fonction de la couverture du risque souhaitée, du niveau de maturité de la gestion des identités et des accès, et du coût de mise en œuvre du scénario.

Scénario 1 – Rester pragmatique avec un petit budget : utiliser les outils et configurations natives

Dans ce scénario, l’entreprise dédie une certaine typologie de groupe au partage à l’externe, et donc à la création d’invités. La distinction peut se faire par la nomenclature du groupe par exemple : tous les groupes externes doivent commencer par « X_ », ce qui nécessite de contrôler la création des groupes au préalables.

Elle peut ainsi réaliser des contrôles plus facilement sur ce périmètre restreint de groupes.

Le prérequis principal est de bloquer les ajouts d’identités « invités » aux groupes de type « Internes », et il est possible de le faire de deux façons :

• Si l’entreprise a déployé l’outil de classification AIP sur les espaces SharePoint et Teams : utilisation d’une étiquette dédiée pour empêcher le partage aux externes sur ces espaces. Exemple : création d’un label « Interne » qui bloque le partage avec les identités « invité » ; – LIEN
• Via un script PowerShell, bloquer le partage avec les identités « invité » pour les groupes « Internes », en les identifiant via leur nomenclature. – LIEN

Création d’une identité « invité »

La seule possibilité pour créer une identité « invité » est de les ajouter des utilisateurs externes dans des groupes de type « Externes ».

Si l’entreprise a besoin de donner accès à son tenant à une filiale ou une entité entière, il est possible de synchroniser régulièrement leur AD ou Azure AD, et ainsi créer leurs identités en « invité » dans le tenant de l’entreprise.

Suppression d’une identités « invité »

Le processus de suppression des identités reste basique, avec à minima la suppression des identités « invités » inactif, en utilisant par exemple un script PowerShell s’appuyant sur la notion de « Sign In Activity ». Il pourra également être intéressant de supprimer les identités « invité » n’ayant accès à aucun groupe via un script PowerShell.

Revue des accès « invité »

Pour couvrir le risque lié à la revue des accès dans ce scénario, il est possible de faire expirer les accès des identités « invité » sur les groupes SharePoint ou les OneDrive au bout de 60 jours. Il est à noter que le propriétaire des groupes SharePoint ou OneDrive sera notifié de l’expiration 21 jours avant échéance.

Enfin, il est envisageable d’utiliser la fonctionnalité « Guest Access Review » pour les groupes externes où le partage à des invités est possible. Il faut cependant noter qu’elle nécessite des licences avancées (AAD P2) attribuées aux utilisateurs devant effectuer les revues, donc tous les propriétaires des groupes en question (normalement en nombre limité).

Ce scénario est un bon moyen de réduire le risque lié aux invités, en gardant une solution quasi native, et sans trop investir dans la solution.

Scénario 2 – Pour aller plus loin dans le niveau de sécurité : développer une application de gestion des invités

Dans ce second scénario, l’entreprise souhaite avoir complètement la main sur la gestion du cycle de vie des identités « invité », et sortir du mécanisme natif trop permissif de Microsoft. Pour ce faire, l’entreprise crée une application (par exemple en utilisant Power App) pour gérer ce cycle de vie, en en faisant le point unique de création et suppression.

Une fois ce cycle de vie mis en place, il est nécessaire de positionner le paramètre de partage SharePoint sur le mode « Existing guest only », permettant uniquement de partager du contenu avec des identités « invité » déjà existante dans le tenant Azure AD. Ceci permet d’empêcher la création de nouvelles identités via ce vecteur.

 Création d’une identité « invité »

Dans ce scénario les utilisateurs utilisent l’application dédiée pour créer les identités « invité », en renseignant une date de fin. L’utilisateur désigne alors le propriétaire de l’identité créée.

Suppression d’une identité « invité »

Pour supprimer les identités, il est possible de déclencher un workflow automatique en amont de la date de fin, pour demander au propriétaire de l’identité en question s’il faut effectivement la supprimer ou prolonger sa date de fin. Il est à noter que si le propriétaire a quitté l’entreprise sans faire le changement de propriétaire, on peut envisager de réaffecter l’invité à son supérieur hiérarchique.

Revue des accès « invité »

Avec ce type d’application « maison », il est compliqué d’aller beaucoup plus loin dans la gestion du cycle de vie, et notamment quand il s’agit de revue des accès.

Il est toujours possible comme pour le scénario 1 de faire expirer les accès des invités ou d’utiliser la fonctionnalité « Guest Access review » (avec les mêmes contraintes qu’énoncé précédemment).

Pour aller plus loin, on peut également envisager l’utilisation d’outils tiers type IDECSI ou Sharegate qui permettent notamment de gérer ces revues d’accès de façon automatique et intuitive.

Ce scénario change le comportement natif et permet de mieux maitriser le cycle de vie, mais à un coup important au regard du déploiement et de la conduite du changement à mettre en œuvre.

Scénario 2’ – Intégrer les identités « invité » dans les processus IAM classiques

Le dernier scénario à considérer est une variante du scénario précédent, où l’entreprise souhaite toujours avoir la main sur la gestion du cycle de vie des identités « invité ». L’entreprise peut dans ce cas intégrer la gestion des identités « invités » dans ses outils de gestion des identités et des accès (IAM), au même titre que les identités « externe ».

L’outil IAM devient alors la source autoritaire pour ce type de population, et sa gestion s’y fait directement.

Dans ce scénario comme dans le précédent il faut également positionner le paramètre de partage SharePoint sur le mode « Existing guest only ».

Création d’une identité « invité »

La création des identités se fait via les formulaires de création d’externes depuis les outils IAM, en choisissant le type « invité » pour l’identité. L’identité « invité » pourra ensuite être provisionnée automatiquement dans l’Azure AD par les outils IAM.

Suppression d’une identité « invité »

La suppression de l’identité est également faite par l’outil IAM en fonction de la date de fin positionnée, et selon les workflows déjà définis.

Revues des accès « invité »

Dans le cas où les outils IAM de l’entreprise sont utilisés pour gérer les droits sur les espaces Sharepoint, il est possible d’utiliser les capacités de revue d’accès de ces outils pour faire la revue des accès aux ressources sensibles auxquelles ont accès les identités « invité ».

Une deuxième option peut également être d’utiliser les fonctionnalités de gouvernance des accès via les solutions IAM type Sailpoint, OneIdentity ou via des solutions dédiées d’Identity and Access Governance type Brainwave ou Varonis. On peut imaginer récupérer les droits attribués directement dans l’Azure AD, et les faire vérifier aux propriétaires des ressources à travers ces outils.

Ce scénario est une variante du scénario 2, qui permet aux entreprises les plus matures sur la gestion des identités et des accès de capitaliser sur les outils et processus existant.

Enfin, ne pas négliger la surveillance de cette population exposée

En premier lieu il est pertinent de construire un reporting adapté à l’aide de KPI et tableaux de bord. Beaucoup d’informations sont disponibles nativement dans l’Azure AD (date de dernière connexion, activité sur le tenant ainsi que sur Office 365 via les « unified audit logs »). Ces informations peuvent assez simplement être exploités par exemple via Power bi pour la génération de tableaux de bord.

Ensuite, il est important de surveiller les activités de ces populations particulièrement exposées. Deux niveaux de détection peuvent être mis en place en fonction des capacités de surveillance :

• Implémenter des règles de DLP natives ou des scénarios d’alertes classiques dans la console Microsoft : certains scénarios d’alertes sont préconfigurés comme la suppression massive de documents, une élévation de privilège etc.
• Mettre en place des règles DLP avancées et des scénarios de détection ou des seuils spécifiques pour les invités avec l’appui du SOC de l’entreprise. Par exemple, le seuil de téléchargement de données autorisé pour un invité peut être inférieur à celui autorisé pour un interne.

Pour aller plus loin on peut imaginer l’utilisation du module Azure AD Identity Protection, afin de déclencher des alertes pour les invités ayant un niveau de risque élevés.

En conclusion, AAD B2B facilite grandement la collaboration, mais sa configuration nécessite d’être durcie pour réduire le niveau de risque induit par la solution

AAD B2B simplifie grandement la collaboration avec des utilisateurs externes à l’entreprise, mais induit des risques liés à l’ouverture par défaut de la solution. Pour maitriser ces risques, il est nécessaire de réduire l’ouverture, et de contrôler le cycle de vie de ces identités de façon plus ou moins avancé, en fonction de l’investissement possible sur le sujet. Enfin il faut également mettre l’accent sur leur surveillance via les outils natifs ou les outils utilisés par l’entreprise, étant donné la forte exposition de ces populations.

Cet article Bien gérer les identités « Invités » Azure AD B2B est apparu en premier sur RiskInsight.

La crise sanitaire : un ralentissement de l’activité mais pas un coup d’arrêt

Malgré une crise sanitaire d’envergure qui les a impactées de plein fouet, les startups restent en grande majorité confiantes pour leur avenir (plus de 80% des startups interrogées).  Certaines entreprises clientes ont même priorisé leurs activités de cybersécurité pour se renforcer dans ce contexte inédit.

Ainsi, 34% des startups interrogées déclarent être à l’équilibre en termes d’opportunité commerciales, celles décrochées depuis mi-Mars ayant pu compenser celles perdues, 21% d’entre elles ont même constaté une progression !

Un chiffre rassurant, à relativiser car elles sont plus d’un tiers (37%) à avoir subi des pertes de parts de marché, notamment du fait d’arrêts d’investissements chez certains clients. Certaines ayant encore du mal à se prononcer du fait d’un manque de visibilité commerciale (8%).

Sur ce dernier point, la pertinence du secteur d’activité de ces startups vis-à-vis des nouveaux enjeux amenés par la crise sanitaire est probablement en lien. La majorité de celles qui résistent adressent en effet des sujets portés par la généralisation forcée du nomadisme et de l’accès à distance des SI : protection des données et sécurisation des échanges, surveillance et protection des actifs, gestion des accès. La réorientation de leurs efforts commerciaux vers les secteurs résilients, celui du médical par exemple, est probablement un autre facteur de ces résultats.

75% des startups interrogées ont également profité de la période pour se recentrer sur la R&D ou le marketing de leurs produits.

Des chiffres qui nous démontrent la capacité des startups à faire face à la crise, malgré le lot d’adversités et d’incertitudes qu’elle apporte, par leur grande souplesse et réactivité. Ils mettent également en avant la résilience du secteur de la cybersécurité. Elle reste en effet un enjeu principal des entreprises. Même en cette période de crise économique, elles continuent à chercher des solutions toujours plus pertinentes et efficaces pour garantir leur sécurité.

Un ralentissement particulièrement visible sur les levées de fonds

Nous comparons ici deux périodes de levées de fonds sur l’écosystème complet (startups et scale-ups cybersécurité) : période 2019-2020 (de Juillet 2019 à Juin 2020) et période 2018-2019 (de Juillet 2018 à Juin 2019).

La résilience qualitative de l’écosystème constaté précédemment masque une situation plus négative sur les levées de fonds. Les 100 millions d’euros levés en cybersécurité sur la période 2019-2020 font pâle figure face aux plus de 260 de la dernière, 2018-2019.

La période 2018-2019 avait cependant été exceptionnelle : 7 startups du radar avaient levé autour de 10 millions d’euros, 2 avoisinaient les 200 millions d’euros à elles seuls. Les levées de fonds des années précédentes n’avaient jamais atteint de tels niveaux.

2019-2020 a été exceptionnelle aussi, mais d’une manière bien différente. De belles levées ont eu lieu jusqu’en février : le top 4 a été réalisé sur cette période. Malheureusement l’activité a rapidement été impactées par la crise sanitaire. Un certain nombre de levées prévues entre Février et Avril ont été reportées.

Toutefois, un redémarrage a été constaté dès Avril (Stamus Networks) et des levées intéressantes ont suivi sur Juin (e.g. Didomi, Quarkslab). Ces résultats laissent présager une fin d’année plus fructueuse.

Comme le pressent également ACE-Management (entretien à retrouver ici), un effet de décalage de quelques mois des investissements semble se profiler et non une diminution, mettant une nouvel fois en avant le dynamisme du marché de la cybersécurité.

Autre aspect intéressant de la période 2019-2020 : les levées plus faibles sont en hausse. 7 startups ont levé entre 2,5 et 5 millions d’euros contre 3 seulement sur la période précédente. Est-ce là un indicateur potentiel de la volonté croissante des startups de réaliser des levées au plut tôt pour accélérer leur développement ? Ou peut-être assistons-nous à la préparation des prochaines générations de scale-ups ? C’est en tous cas un signe très positif pour le dynamisme de l’écosystème.

Compte tenu des caractères exceptionnels des deux périodes, il est toutefois difficile de tirer une analyse définitive. Rendez-vous l’année prochaine pour une prise de recul qui s’avérera nécessaire.

Des évolutions nécessaires dans toutes les facettes de l’écosystème pour en assurer sa réussite

Clients : prenez le risque d’aller au-delà des POCs

Les clients ont également un rôle clé à jouer dans le développement des startups françaises.

A ce titre, nous constatons que les entreprises font de plus en plus confiance aux startups françaises et les soutiennent tout en les testant : 70% d’entre elles réalisent des « Proof Of Concepts » financés par leurs clients contre 67% l’an dernier. Une augmentation que nous ne pouvons que saluer, ces investissements permettant aux pépites françaises de se développer plus rapidement.

Mais pour continuer à soutenir le développement de cet écosystème, il est également nécessaire d’accepter le risque de transformer l’essai en contractualisant avec les pépites testées. Les entreprises ont cette année davantage de mal à le faire rapidement : 30% d’entre elles peuvent mettre plus de 6 mois à signer un contrat après un POC contre 25% en 2019. La crise sanitaire peut expliquer en partie cette situation.

Travailler avec une startup peut certes représenter un risque, mais c’est également un pari sur l’avenir. Elles peuvent apporter des solutions à des problématiques auxquelles le marché « traditionnel » n’apporte pas de réponses satisfaisantes depuis des années, permettre de rester à la pointe, ou encore d’accompagner davantage l’innovation des métiers (e.g. en sécurisant de nouveaux usages), et in fine apporter des différenciants majeurs. Certains pays ont dans leurs gênes de prendre ce type de risque, c’est moins le cas en France mais rien ne nous empêche de nous transformer.

Startups : sachez identifier les prochaines pépites chez vos clients !

Même si cela semble être trivial, il est important de rappeler à quel point il est crucial de se positionner sur des problématiques ayant peu ou pas de réponse satisfaisante sur le marché « classique ».

Pour ce faire, il est essentiel pour les startups d’être à l’écoute des besoins de leurs futurs clients et de se positionner sur leurs problématiques cruciales.

L’identification ne doit pas être que technologique, mais aussi prendre en compte des critères tels que la difficulté d’intégration de la technologie dans le système d’information des clients, l’existence d’une concurrence établie ou la volonté des principaux donneurs d’ordres d’investir dans une nouvelle technologie. C’est la combinaison de ces critères qui permet d’identifier les sujets qui auront le plus de succès sur le marché !

Les produits qui nécessitent d’installer des éléments sur de très nombreux équipements du SI (e.g. un nouvel agent de sécurité sur les postes de travail) sont particulièrement difficiles à “vendre” à des grandes entreprises déjà équipées. Des approches plus passives les séduisent davantage. Cela peut se faire d’autant plus facilement pour les thèmes encore en forte évolution comme la surveillance ou l’analyse de journaux du SI.

Une concurrence d’acteurs d’envergure bien implantés peut être complexe à dépasser pour une jeune pousse. C’est le cas sur le marché des EDR par exemple, de forts arguments différenciateurs seront alors nécessaires pour percer face à des acteurs majeurs déjà reconnus. A l’inverse, des thèmes comme la cyber-résilience et la cryptographie, par exemple, restent sous-adressés par rapport aux attentes du marché, et seraient donc plus faciles à percer de ce point de vue.

Enfin, la volonté d’investissement des donneurs d’ordres est également cruciale à prendre en compte. Si on reprend le sujet de la cryptographie, l’arrivée des ordinateurs quantiques est encore trop lointaine pour qu’il fasse partie de leurs préoccupations imminentes, l’horizon dans le secteur privé se situe certainement vers 2023/2024. Ceux de l’anonymisation des données tout en gardant la cohérence des bases anonymisées (synthetic data), du Data Leakage Prevention ou du Passwordless sont également des préoccupations majeures des entreprises qui n’ont toujours pas de réponses satisfaisantes sur le marché. La rationalisation des outils des RSSI, qui sont plus en recherche d’optimisation actuellement que d’investissement dans des nièmes solutions de sécurité, est un sujet qui sera bien plus présent à court terme.

Startups : n’oubliez pas de saisir les opportunités de financement et d’accompagnement !

Cette année, encore 32% des startups interrogées n’envisagent pas de lever des fonds, et plus de la moitié d’entre elles n’a jamais été accompagné dans leur développement.

Financement et accompagnement sont pourtant des accélérateurs intéressants, d’autant plus dans le marché extrêmement rapide de la cybersécurité, où la rapidité de conquête du marché est un atout crucial (retours d’ACE-Management sur le sujet à retrouver ici).

Cette absence de volonté de faire appel à des accélérateurs, constaté depuis plusieurs années, peut en partie s’expliquer par un manque historique de structures spécialisées en cybersécurité en France, complexifiant les échanges et la valorisation des startups auprès de ces dernières.

La situation a pourtant bien évolué et la considération au niveau national de la cybersécurité s’accélère particulièrement cette année :

• L’état mobilise des fonds pour l’innovation, en particulier dans le secteur de la cybersécurité pour lequel le plan de relance économique prévoit à minima 136 millions d’euros ;
• Un grand défi dédié à la cybersécurité a été lancé, la publication de sa feuille de route en Juillet de cette année a été suivie par un appel à projets de BPI France avec des investissements de plusieurs dizaines de millions d’euros ;
• Le fond français Brienne III, lancé officiellement en Juin 2019 par un premier tour de table à 80 millions d’euros et géré par ACE-Management, est spécialisé en cybersécurité. D’autres investisseurs n’hésitent pas aujourd’hui à financer des initiatives dans ce domaine.

Autant d’opportunités à saisir pour les startups de l’écosystème, dont il serait aujourd’hui dommage de se passer ! L’actualité met d’autant plus en lumière le fait que c’est le bon moment de se tourner vers ces accélérateurs, la cybersécurité apparaissant comme un élément essentiel du « nouveau monde », où le télétravail restera inscrit dans la durée.

Ecosystème : catalysons et amplifions ces initiatives prometteuses !

Nous l’avons vu, les initiatives pour le développement de la cybersécurité fusent : l’état se mobilise (cyberdefense factory, grand défi, contrat de filière, campus cyber…), les investisseurs et incubateurs lancent également des initiatives privées.

L’état s’ouvre largement grâce à ces initiatives et adopte une posture de plus en plus tournée vers l’innovation. Espérons que ces mouvements incitent des collaborateurs des entités concernées à se lancer dans l’aventure entrepreneuriale. En effet, nos acteurs cyber étatiques disposent d’une visibilité sans pareille de la menace et utilisent des outils ou des approches qu’il serait bénéfique d’offrir au secteur privé à court ou moyen terme. La création de spin-off est encore trop timide en France comparé à d’autres pays, par exemple évidemment Israël mais aussi les Etats-Unis, où les entités étatiques sont parmi les premières pourvoyeuses de startuppers.

L’enjeu maintenant va être d’exploiter au mieux cette multiplicité de dynamiseurs potentiels de l’écosystème cyber français. Le risque serait que ces moyens d’accompagnement du marché se fassent concurrence et se dispersent, fonctionnent en silo, au point d’amener de la confusion et de « brouiller » les messages auprès des acteurs de l’écosystème.

Et cela serait vraiment dommageable. Nous sommes à l’aube d’une année charnière pour notre écosystème : toutes les composantes semblent réunies pour réaliser sa transformation et lui permettre de passer à l’échelle. La question nous semble maintenant être : réussirons-nous collectivement à concrétiser ce mouvement ? Car pour se faire, il nous semble essentiel de joindre les forces en présence, de les catalyser vers ce but commun. Un rôle que le campus cyber pourrait jouer ?

2021 : l’année de la concrétisation ?

Malgré l’effet sur 2020 des impacts de la crise sanitaire mondiale, la cybersécurité reste un secteur résilient, l’écosystème des startups françaises dans ce domaine l’a également démontré. Leurs projets de développements sont parfois décalés mais elles restent confiantes pour leur avenir malgré les challenges qu’elles ont eu et auront encore à relever.

Dans ce contexte, il reste primordial de continuer à soutenir le développement de l’écosystème. De plus en plus d’accompagnements spécialisés dans le secteur voient le jour, à ce titre 2021 sera une année charnière pour concrétiser la transformation de notre écosystème et le hisser à un niveau international.

Cet article Radar 2020 des startups cybersécurité françaises: notre analyse (2/2) est apparu en premier sur RiskInsight.

L’année dernière montrait l’amorçage de la transformation de l’écosystème des startups en cybersécurité françaises. Cette année, de nombreuses questions se posent : la dynamique a-t-elle continué en dépit de la crise sanitaire ? Comment l’écosystème y-a-t-il répondu ? Quelles actions permettraient de l’accompagner vers un passage à l’échelle ?

Un secteur toujours dynamique où certaines startups arrivent à maturité

Un panorama des startups en évolution constante

Notre radar recense désormais 152 startups en cybersécurité, ce qui représente 18 startups de plus qu’en juin 2019, soit une croissance de 13%. Concernant leur taille, on constate une forte augmentation (73%) du nombre de « moyennes entreprises », alors que celui des « très petites entreprises » et « petites entreprises » reste stable, ce qui est un signe d’un début de solidification du marché. Au total, les startups représentent plus de 1400 salariés soit 17% de plus que l’an dernier, un chiffre en augmentation pour la 4ème année consécutive.

Au niveau de leur répartition géographique, le constat est assez similaire à 2019 : le bassin parisien reste le pôle principal (on y compte plus de 60% des sièges sociaux des startups du radar). Le pôle rennais arrive en seconde position et continue à gagner en volume pour atteindre 10% de représentativité. A noter que la région de Bordeaux arrive en troisième position avec 4% de startups.

Des créations de startups toujours prometteuses

Le radar compte 16 jeunes startups créées entre début 2019 et août 2020. Parmi ces startups, on peut observer que :

• Plus d’un quart se concentre sur des sujets de protection des données: Olvid, Protected, Pineapple Technology, BusterAI
• Près d’un autre quart sur l’aide à la gestion de vulnérabilités et des activités de sécurité opérationnelle: Patrowl, V6Protect, Purplemet.
• La protection des endpoints (Nucleon Security, Glimps) complète le podium des principales thématiques adressées par ces nouvelles startups.

A noter, l’apparition de la startup Malizen qui se positionne sur le threat hunting et l’aide aux investigations des équipes de réponse à incidents, sujet encore peu représenté dans l’écosystème. Le positionnement de Moabi sur l’aide à l’audit de sécurité des firmware (logiciel embarqué), est également intéressant en regard des enjeux autours de la sécurité des objets connectés.

Ces nouvelles startups tirent le plus souvent leur origine de l’identification d’un manque sur le marché par l’un des fondateurs lors d’une précédente expérience professionnelle. Toutefois, cette année deux structures, Malizen et CryptoNext sont issues de projets de recherche. Un chiffre, certes faible, mais intéressant en comparaison aux années précédentes, d’autant plus dans un contexte français où le monde de la recherche et celui de la cybersécurité restent encore trop dissociés.

Seulement 38% des startups françaises se positionnent sur des thématiques émergentes

Le rapport des startups à l’innovation reste stable par rapport aux années précédentes. 30% des startups sont disruptives et créent de nouvelles solutions de sécurité, 8% sécurisent des nouveaux usages (IoT, Cloud, etc.). Cependant la majorité (62%) de startups réinventent des solutions existantes en proposant des améliorations. Malgré l’absence d’innovation directe, ces startups peuvent connaitre un franc succès si elles font preuves d’agilité commerciale. L’exemple parfait est Egerie Software, qui a attaqué rapidement la question de la digitalisation de la méthode d’analyse des risques Ebios Risk Manager développée par l’ANSSI.

En termes d’innovation, nous pouvons particulièrement noter le domaine de la cryptographie, où les méthodes de chiffrement actuelles sont menacées par l’arrivée des ordinateurs quantiques. C’est justement le thème de la startup Cryptonext, qui s’engage à fournir des solutions de chiffrement robustes face à ces nouvelles menaces, et s’oriente dans la cryptographie post-quantique. De son côté, la startup Cosmian se concentre sur la tendance du « confidential computing », qui permet de chiffrer les données stockées dans le cloud grâce à un algorithme de chiffrement homomorphe, et ainsi utiliser des données chiffrées dans le cloud sans devoir confier la clé au fournisseur du service. La startup Scille, également, qui a introduit le concept CYOK (Create and Control Your Own Key) via sa solution Parsec, fait du poste utilisateur la seule entité de confiance qui génère automatiquement des clés de chiffrement.

Toujours au centre des préoccupations du RSSI, l’utilisateur se voit proposer de nouveaux moyens innovants de sensibilisation, la réalité augmentée chez Cyberzen par exemple, ou de nouvelles méthodes d’authentification, comme celle d’HIA Secure, qui est un concept d’authentification utilisant « l’intelligence humaine ». Plus précisément, l’utilisateur génère lui-même des codes à usage unique après avoir résolu des challenges consistant en une suite de symboles et de caractères.

Avec la généralisation du travail à distance pour tous les salariés, la crise sanitaire de la Covid-19 a également renforcé la nécessité de sécuriser les terminaux. De nouveaux clients de sécurité avancé (EDR) Français continuent d’émerger, comme celui de la startup Nucléon. Néanmoins, certains vont plus loin dans l’innovation et c’est le cas de la startup Glimps, créée par 4 anciens salariés de la DGA, qui essaye de révolutionner la détection et l’analyse des malwares en conceptualisant le code compilé, ce qui leur permet de s’affranchir des modifications induites par la compilation, l’architecture cible et ainsi détecter des menaces inconnues sur des systèmes non standards.

La majorité des entreprises souhaitent démocratiser l’utilisation des méthodologies agiles, alors que l’intégration de la sécurité dans ces processus reste un réel défi dans la plupart des cas. Intuitem essaye d’y remédier en fournissant l’outillage nécessaire pour suivre leur Agile Security Framewok.

Enfin, avec l’émergence des objets connectés, le besoin d’une plateforme IoT sécurisée est plus important que jamais, c’est ce que Tarides propose à travers sa solution OSMOSE.

Une évolution des startups qui montre une arrivée à maturité des  premières « scale-ups »

20 startups quittent le radar cette année, soit 6 de moins que l’an dernier. Parmi ces sortantes, 5 sont à croissance très rapide (dépassant les 35 employés en moins de 7 ans d’existence), 1 est due à un rachat. Cette continuité par rapport à l’année dernière démontre une capacité croissante de l’écosystème français à sortir des premiers niveaux de “scale-ups” dans le domaine de la cybersécurité, qui peuvent réussir à attirer les plus gros acquéreurs ou des fonds de taille plus importante. A ce titre nous lançons, en commun avec BPI France, un premier suivi non exhaustif de cette catégorie. Il s’agira de continuer à enrichir la liste des scale-ups par les prochaines startups qui quitteront le radar du fait d’une croissance très rapide.

Une proportion moindre de startups sort du fait de son ancienneté uniquement (20% cette année contre 37% en 2019). Nous constatons cette année de premières mises en pause de projets (20%, sans rapport avec la crise sanitaire) et pivots hors cybersécurité (20%).

Un écosystème en plein renouveau

L’international : de plus en plus une réalité pour les startups

La crise sanitaire ne semble pas avoir ébranlé la volonté d’internationalisation des startups : cette année, près de 63% du radar déclare avoir des clients à l’étranger contre la moitié l’an dernier. Également, 13% des startups réfléchissent à s’y lancer. La cybersécurité est effectivement un enjeu mondial et se tourner vers l’international peut s’avérer une opportunité pour les startups, avec des pays où leur marché est plus mature ou important qu’en France.

Concernant les cibles d’expansion des startups, 55% souhaitent s’étendre au-delà des marchés européens. Le marché américain est la cible privilégiée par un tiers des startups désirant s’internationaliser, et certaines pépites françaises comme Sqreen ou Alsid ont déjà pris cette direction.

Toutefois, il ne faut pas négliger le marché asiatique qui, même s’il a moins le vent en poupe (seulement 18% de startups intéressées), peut s’avérer prometteur. C’est un vaste marché, où il est nécessaire d’adopter une approche ciblée. En effet, il peut être intéressant de commencer par cibler les centres économiques de Hong-Kong et Singapour, réputées de bonnes passerelles entre l’Europe et l’Asie. Singapour est particulièrement dynamique sur le sujet de la cybersécurité avec un investisseur historique (SingTel) et des structures d’incubation largement mobilisées sur le sujet, telles que ICE71 ou l’antenne de l’incubateur anglais CylonLab. Mais Hong Kong n’est pas en reste, avec un nombre important de programmes d’accélération tels que Cyberport ou le DIP (Design Incubation Programme).

2019-2020 : l’année des initiatives à l’échelle nationale

L’écosystème français en cybersécurité est en plein renouveau. De nombreuses initiatives ont vu le jour entre 2019 et 2020.

Le Ministère des Armées a ainsi inauguré en octobre 2019 la « Cyberdéfense Factory ». Il s’agit d’un lieu d’innovation croisée entre le monde civil et le monde militaire. Basé à Rennes, ce lieu permet aux startups, aux PME et aux universitaires de travailler au contact des experts de la DGA et des opérationnels des armées sur les sujets de cybersécurité. Il permettra également l’accès pour les structures sélectionnées à certaines données issues du Ministère.

D’autre part, le Comité Stratégique de filière « Industries de sécurité » a vu son contrat stratégique signé avec l’état. Ce dernier comprendre une section dédiée à la cybersécurité dont l’objectif est de faire émerger le potentiel de la France en matière de cybersécurité en alignant et mobilisant les différents acteurs sur des politiques d’éducation, d’innovation et de développement technologique. Concrètement, il favorisera les relations entre le secteur privé et l’état, mais aussi des initiatives sur le volet de l’innovation. Des premiers résultats majeurs sont attendus sur 2021.

L’initiative des Grands Défis, issus des travaux de Cédric Villani sur l’intelligence artificielle, a vu la publication de sa feuille de route cybersécurité en Juillet de cette année. Disposant d’un budget de 30 millions d’euros, elle met en avant des thèmes clés comme l’automatisation de la cybersécurité, la sécurité des PME/ETI et de l’IoT. Un appel à candidature a été ouvert via BPI France, il clôture en 2021 également. La feuille de route met aussi en avant l’importance de l’amorçage en cybersécurité, poussant à la création d’une structure dédiée pour aider les entrepreneurs à se lancer et les accompagner au plus tôt.

Enfin, le projet de Campus Cyber a été validé au plus haut niveau de l’Etat. La création de ce lieu emblématique a pour ambition de réunir les forces vives de la cybersécurité française, évidemment pour mieux protéger notre pays et ses actifs stratégiques, mais aussi pour développer son économie et faire rayonner la France à l’étranger sur ce thème. Le sujet de l’innovation devrait y être largement représenté avec la présence de startups, d’espace de démonstration ou encore potentiellement d’initiatives d’accélération ou d’incubation en cybersécurité. L’ouverture est prévue dans le courant de l’année 2021.

Ici s’achève la première partie de notre analyse sur la dynamique de l’écosystème des startups cybersécurité en France. Le panorama des startups demeure constant, avec des startups nouvellement créées montrant déjà de belles promesses. D’autres, avec déjà plusieurs années d’activité à leur actif, n’ont cessé de croître, à tel point qu’il nous a été nécessaire de créer une nouvelle catégorie: les scale-ups. Cependant, cet écosystème fait face à deux nombreuses adversités, telles que la crise sanitaire actuelle et le ralentissement des échanges internationaux qui en découle. Nous verrons donc dans une seconde partie, quelles sont les évolutions nécessaires à cet écosystème startups.

Cet article Radar 2020 des startups cybersécurité françaises : notre analyse (1/2) est apparu en premier sur RiskInsight.

Les levées de fonds cybersécurité semblent plus poussives sur l’exercice 2019-2020 (de Juin 2019 à Juin 2020), comment l’expliquer ? 

On constate effectivement une baisse très nette des montants levés par les start-ups « tech » en France en mars/avril 2020. Ceci est d’autant plus flagrant en comparaison avec l’exercice précédent, 2018-2019, qui avait été particulièrement exceptionnel pour l’écosystème de la cybersécurité (autour de 300 millions d’euros levés, en comptant les levées de Vade Secure et Dashlane). 

2019-2020 est à notre sens une année extraordinaire à bien des égards :  

• D’importantes levées ont été réalisées sur la fin d’année 2019 et début 2020 : 33 millions d’euros pour CybelAngel, de belles levées également pour Trust–in–Soft, Egerie, Dust Mobile et Quarkslab que nous avons pu accompagner ; 
• Celles planifiées sur le premier semestre 2020 ont rapidement été impactées par la crise sanitaire : plusieurs prévues sur la période Février-Avril ont été reportées. 

Pour autant, un redémarrage des levées a été initié dès mi-avril à un rythme soutenu, et nous avons pris la décision en début d’année d’investir dans quatre nouvelles sociétés (trois en France, une en Europe). Ainsi, même si la crise sanitaire a conduit à un ralentissement à court terme, la fin de l’année 2020 devrait apporter de nouvelles levées, et potentiellement inverser la tendance, en particulier dans le domaine de la cybersécurité qui reste en croissance malgré la crise Covid-19.

Certaines start-ups décident de ne pas lever de fonds. Qu’en pensez-vous ? 

Il est possible de créer une entreprise de manière « organique » en autofinancement en particulier dans les activités de service, mais son développement sera beaucoup plus lent.  

Cependant sur le marché de la cybersécurité la vélocité nous semble primordiale pour une start-up : une idée innovante à un instant T peut très rapidement devenir obsolète et passer à côté de son marché.  Nous pensons qu’une levée de fonds est une étape incontournable pour une entreprise avec une offre logiciel/SaaS en cybersécurité voulant atteindre la taille critique pour être un leader dans un marché par nature très international. 

De notre point de vue le sujet particulièrement technique de la cybersécurité, nécessite un fonds spécialisé avec une équipe « sachante » et donc capable de comprendre les enjeux, la technologie, le marché, de faire les bons choix d’investissement et d’être pertinente dans l’accompagnement des sociétés. Ceci rend le positionnement d’Ace encore plus pertinent (pour les entrepreneurs) et différenciant sur le marché (pour les investisseurs dans nos fonds). 

Sur ce sujet, il est également important de noter que si Brienne III est aujourd’hui le seul fonds spécialisé en cybersécurité en France, il existe des fonds similaires dans d’autres pays européens (Allemagne, Pays-Bas …) qui sont des partenaires naturels pour nous. 

Les investisseurs ont tous leur recette magique pour identifier les pépites sur lesquelles investir, nous partageriez-vous quelques ingrédients de la vôtre ? 

Concernant le fond Brienne, nous ciblons des start-ups qui ont déjà une certaine maturité et cherchent à faire des levées conséquentes (au moins 5 millions d’euros, plutôt des séries A ou B). 

Sans dévoiler toute la recette, voici quelques éléments clefs que nous recherchons : 

• Un management ambitieux, sachant s’entourer des compétences adéquates pour le développement de leur structure ; 
• Une proposition de valeur solide techniquement, potentiellement issue de financement de R&D de grands groupes ou laboratoires de recherches ; 
• En adéquation avec les besoins du marché, répondant par exemple à une problématique récurrente non adressée ou à des enjeux de protection mis en lumière par de récentes attaques. 

En parlant des besoins du marché, quelles sont pour vous les prochaines tendances en cybersécurité ? 

Nos échanges avec différents RSSI pendant la crise sanitaire, nos analyses du marché et de l’actualité nous amènent à identifier les suivantes : 

• La sécurité des postes de travail revient sur le devant de la scène, notamment avec la généralisation des accès distants ; 
• La gestion des tiers de manière plus fluide tout en restant en sécurité et en limitant leurs accès ; 
• Les questions de souveraineté se posent davantage mais, sauf contraintes réglementaires, ne devraient pas rester le principal critère de sélection ; 

• Il nous semble également que le cap de l’utilisation du modèle en SaaS (Software As A Service) pour des solutions de sécurité est passé pour un certain nombre de structures, qui sont plus matures sur les modèles Cloud et les appréhendent bien moins. Un élément à garder en tête pour nos start-ups ! 

A propos de Brienne III et ACE Management : 

En juin 2019, avec un premier closing de 80 millions d’euros, Ace Management a lancé le fonds Brienne III, le premier fonds d’investissement français dédié au financement d’entreprises innovantes en cybersécurité et le plus important d’Europe continentale dans ce domaine. Les premiers souscripteurs de ce fonds sont Tikehau Capital (actionnaire d’Ace Management), Bpifrance, EDF, Naval Group, Sopra Steria et la région Nouvelle Aquitaine. D’autres investisseurs stratégiques et institutions, qui souhaitent soutenir l’émergence de solutions cyberdéfense de confiance, sont en discussions avancées avec Ace pour participer au second closing. 

Ace Management, filiale de Tikehau Capital, est une société de capital-investissement spécialisée dans les secteurs industriels et technologiques, avec un milliard d’euros d’actifs sous gestion. Fondé en 2000, Ace Management investit via des stratégies sectorielles, comme les industries stratégiques, la cybersécurité et les technologies de confiance. Ace Management a construit son modèle sur des partenariats avec de grands groupes investisseurs dans ses fonds (notamment Airbus, Safran, EDF). 

Cet article Entretien avec ACE Management – Radar 2020 des startups cybersécurité est apparu en premier sur RiskInsight.

Des challenges qui freinent la progression des start-ups

Les échanges réalisés avec les équipes de startups présentes dans le radar permettent d’identifier des challenges concrets qui pour certains sont ambitieux à relever.

Les startups ont du mal à recruter des profils adéquats

A l’instar de l’ensemble du marché, les startups cyber sont confrontées à une pénurie de main d’œuvre spécialisée. Les jeunes diplômés ne sont pas suffisamment formés à la cybersécurité dans les écoles françaises pour alimenter les effectifs ou être à l’initiative de création de startups. Cet état de fait, partagé par l’intégralité du marché en cybersécurité, est encore plus prégnant pour les startups qui ne peuvent pas souvent suivre la course salariale qui s’en suit.

Des fondateurs de startups peu enclins à la prise de risque

66% des fondateurs ont déjà expérimenté une création d’entreprise, mais rarement plusieurs alors que la moyenne d’âge de ces entrepreneurs dépasse les 40 ans. Le profil des fondateurs révèle plutôt des experts que des serial entrepreneurs audacieux. Si on peut saluer la ténacité de certaines startups, il faut souligner la peur de l’échec qui est un problème récurrent en France et qui n’a pas lieu d’être à l’échelle international. Par exemple, un entrepreneur de la Silicon Valley ou israélien ne sera vraiment considéré qu’après plusieurs échecs de création d’entreprise.

Une stratégie marketing carencée…

Les équipes des startups sont davantage composées de profils techniques et spécialisés sécurité que commerciaux. Il en résulte une difficulté des startuppers à rendre leur offre commerciale attirante auprès des prospects. Des efforts sont à faire sur le volet marketing, aussi bien au niveau du produit que du discours. A titre d’exemple, les incubateurs anglo-saxons déploient des programmes d’accélération business élaborés, comme l’incubateur londonien Cylon dédié à la cybersécurité qui forme à « pitcher » efficacement sa startup auprès de potentiels investisseurs, clients et partenaires. Les startups en récoltent les fruits et sont réputées pour leur force commerciale outre-Manche et outre-Atlantique.

…qui se répercute sur les ventes

Les startups françaises ne rencontrent pas de problèmes liés à leur phase de création, mais ont en revanche du mal à faire connaître leurs solutions et à vendre à court et moyen terme. Seul 15% des startups contactées nous a confirmé faire plus de 500 000 euros de chiffre d’affaires. Parmi ces startups, deux tiers ont déjà entre 4 et 7 années d’existence sur le marché de la cybersécurité.

Comment concrétiser cette transformation

Pour les startups, apprendre à se vendre

Les startups doivent proposer des solutions sur étagère et ainsi atteindre un plus grand nombre de clients avec des coûts optimums. Pour ce faire, il est nécessaire que les fondateurs identifient et valorisent une proposition unique de vente plutôt qu’un segment de marché.

Un axe clé pour eux serait de se positionner sur des problématiques non résolues par les solutions traditionnelles. En effet, les grands groupes sont plus enclins à collaborer avec les startups lorsqu’elles adressent des problèmes pour lesquels aucune solution n’existe sur le marché. La startup Alsid, qui se distingue par son premier rang dans notre classement des levées de fonds, est un bel exemple puisqu’elle traite une problématique pour laquelle aucune solution n’existait auparavant : le monitoring de la sécurité d’Active Directory.

Savoir présenter un pitch clair et attirant se concentrant sur les différentiateurs est un axe d’amélioration clé du développement des start-ups. En effet, c’est une étape cruciale dans la relation avec les investisseurs, les partenaires et les clients afin de les convaincre de la valeur ajoutée de la solution.

Un autre élément à envisager est de penser au design et à l’expérience utilisateur dès la création de la solution. Dans un marché où ces critères ne sont pas forcément pris en compte par les concurrents, cela peut représenter un vrai atout. Exemple singulier sur le marché, la startup israélienne Cybereason l’a bien compris et a engagé un VP Créative & Head of Design pour imaginer le design de ses produits parallèlement à la construction des fonctionnalités.

Pour finir, les startups ne doivent pas hésiter à réfléchir international dès leur lancement (langue de travail, documentation des codes sources, rédaction des documents produits…) afin de ne pas alourdir inutilement l’effort, déjà conséquent à fournir sur le plan commercial, pour accéder à des marchés plus matures et pouvoir ainsi accélérer le passage à l’échelle.

Pour le marché

Les avantages liés à l’incubation sont nombreux pour les startups (regard extérieur, service à prix réduit, proximité avec d’autres…), mais en même temps la cybersécurité est un domaine avec des besoins spécifiques (confidentialité, expertise scientifique, protection physique…). Ces raisons font que peu de startups en cyber trouvent leur place efficacement dans un incubateur standard. Cela exacerbe le besoin d’un incubateur spécialisé cybersécurité. De plus cet incubateur pourrait devenir un totem de l’innovation cyber « à la française » et un lieu d’accueil des investisseurs et des grands clients. La France réfléchit à se doter d’un hub dédié à la cybersécurité et les premières propositions seront remises à Matignon d’ici la fin du mois de novembre. Il faut espérer que ce lieu proposera réellement un environnement propice au développement des startups, ainsi que des services d’accompagnement qui ne soient pas seulement liés à de l’aide à la recherche.

Enfin, il serait pertinent de favoriser la création de startups par d’anciens membres de la cyberdéfense des Armées ou de l’ANSSI. En effet, leur réseau et leur expertise professionnelle acquis en début de carrière sont des facteurs de succès dans l’écosystème cyber, comme l’ont prouvé les ex-collaborateurs de l’ANSSI et désormais fondateurs des startups Alsid et Citalid.

Pour les clients

Afin de permettre le développement de l’écosystème, les clients doivent accepter la prise de risque. Ils ont pour l’instant des difficultés à faire confiance et à contractualiser rapidement avec de jeunes structures innovantes. Pour un quart des startups interrogées, le temps de signature du contrat après la réalisation du POC est supérieur à 6 mois, et cette observation est particulièrement prégnante chez les grands groupes. Ces derniers peuvent s’inspirer des grandes entreprises israéliennes qui se tournent très vite vers les startups lorsqu’elles identifient des problèmes pour lesquels le marché traditionnel n’offre pas de solutions en acceptant les risques mais en négociant également des tarifs très attractifs pour le futur.

On pourrait également envisager la création d’un accompagnement à la prise de risque de la part de l’Etat afin d’encourager la collaboration des grands groupes avec les startups. En restant sur l’exemple israélien, l’Etat a créé une agence indépendante qui sélectionne des projets innovants pour lesquels à chaque Shekel investi par le secteur privé, l’Etat investit un Shekel sans contrepartie.

2019 a montré une vraie embellie dans l’innovation cybersécurité en France. Pour que l’écosystème continue sur sa lancée et concrétise son passage à l’échelle, les axes d’améliorations évoqués se doivent d’être accompagnés par un changement d’état d’esprit de l’écosystème, qui demeure pour l’instant trop fermé. Avec la collaboration des différents acteurs, il n’y a nul doute que la dynamique amorcée se confirmera. Les grands projets entamés à l’échelle de l’état, en particulier le Campus cyber, sont une opportunité unique pour transformer notre écosystème. Mobilisons-nous tous pour que cela devienne une réalité !

Cet article Radar des startups 2019 : Quels leviers de développement ? est apparu en premier sur RiskInsight.

+18% de croissance en nombre de startups depuis janvier 2018

Notre radar recense désormais 134 startups cybersécurité, ce qui représente 25 startups de plus qu’en janvier 2018. Il est intéressant de remarquer que leur taille évolue également de manière positive : si les « très petites entreprises » restent majoritaires, le nombre de « petites entreprises » a augmenté de près de 56%. Au total, les startups représentent plus de 1200 emplois, soit 9% de plus que l’année précédente, et ce pour la 3^ème année consécutive !

Concernant les sorties, 27 startups ont quitté notre radar, soit seulement 4 de plus que l’année dernière. Parmi ces dernières, 37% sortent du radar à cause de leur ancienneté (>7ans d’existence) et sans pour autant dépasser le critère de la taille limite (<35 employés), ce qui est un signe de difficultés de croissance ou bien simplement d’un manque de volonté de croissance et de prise de risque par les fondateurs. Ce manque de prise de risque est appuyé par un faible taux de liquidation (30%). Cependant nous constatons cette année que les cas de croissance rapide (dépassant les 35 employés avant d’atteindre les 7 ans d’existence) sont plus nombreux (18%) et observons même les premiers rachats (15%), ce qui témoigne d’une attractivité plus forte des ces acteurs.

Au niveau géographique, peu de surprises par rapport aux années précédentes, avec un centre névralgique positionné sur le bassin parisien. L’écosystème reste néanmoins bien réparti avec des présences régionales issues des différents incubateurs. En particulier le pôle Rennais gagne en importance avec les nombreux investissements réalisés par le ministère des armées qui souhaite y créer un véritable deuxième pôle d’expertise en France sur les sujets cybersécurité, comme le montre la présence de l’activité cybersécurité de la DGA sur son campus de Bruz.

Des signes particulièrement positifs pour la transformation de l’écosystème qui s’observent chez les clients …

Identifié l’année dernière comme un axe essentiel au développement de l’écosystème, le financement des POC par les entreprises devient une pratique de plus en plus répandue puisqu’elle concerne 67% des startups que nous avons interrogées. Cette démocratisation est un signe particulièrement positif pour l’écosystème, car en plus de supprimer cet investissement initial pour les startups, cela montre que les grands groupes évoluent et font confiance à nos pépites françaises.

… du marché …

On ne peut que saluer l’ampleur prise par les levées de fonds cette année. Au niveau de notre radar, le total est 4 fois supérieur à celui de 2017 et pas moins de 6 startups ont levé des montants supérieurs à 10 millions d’euros. Il est également intéressant de mentionner la structure française Vade Secure qui a levé 70 millions d’euros via le fond américain General Catalyst, et la startup franco-américaine Dashlane qui a levé 110 millions de dollars. Cette ampleur est le résultat d’un début de démystification de l’écosystème qui permet aux investisseurs d’être moins frileux sur le sujet. Une autre preuve de cette confiance est la création d’un fonds d’investissement dédié, Brienne III. Cette structure qui a déjà réalisé un premier closing de 80 millions va permettre de continuer à rassurer les investisseurs et contribuer à l’évangélisation de l’écosystème.

Nous observons aussi les premiers « exits » des startups françaises. Ils concernent 4 startups de notre radar cette année, dont notamment Trustelem acquise en juillet par Wallix, Sentryo qui est en négociation avancée avec Cisco pour une intégration d’ici le premier trimestre 2020, et Madumbo qui a été rachetée par l’éditeur franco-américain Datadog. Ils sont une preuve que ces startups françaises sont de plus en plus différenciantes, ce qui les rend plus attractives. En revanche, ces exits sont très souvent portés par des structures étrangères et dans la majorité des cas, ils entraînent la délocalisation des centres de décisions et de R&D de ces startups, ce qui reste dommageable pour l’entretien du dynamisme de l’écosystème et la souveraineté technologique en France.

Autre signe positif de l’évolution du marché, on observe également l’ouverture de la Défense, notamment avec la fondation de l’« Innovation Défense Lab » qui sera accueilli au sein du « Starbust Accelerator » et qui favorisera la collaboration des startups avec la DGA. En parallèle, l’Etat a lancé un projet de campus de la cybersécurité. Cette entité aura pour vocation de créer des synergies entre les différents acteurs de l’écosystème en réunissant notamment des acteurs industriels, des startups, des universitaires, ainsi que certaines agences et ministères.

… et des startups

L’internationalisation des startups reste un gros levier de croissance, et les startups cybersécurité françaises l’ont compris. La moitié de celles que nous avons interrogées ont déjà des clients à l’étranger, et 15% sont en recherche d’opportunités à l’international : elles se donnent ainsi les moyens d’accéder à des marchés plus importants, plus stratégiques et potentiellement plus matures… et donc de trouver les leviers de croissances nécessaires à leur développement.

De plus, le positionnement de l’innovation change pour l’année 2019 grâce à une augmentation de la proportion de startup innovantes parmi les nouvelles créations. En effet, 44% des startups créées cette année proposent des solutions disruptives n’existant pas auparavant sur le marché.

Cela porte à 31% le nombre total de startup de notre radar appartenant à cette catégorie alors qu’il n’était que de 19% l’année dernière.

Les entrepreneurs cybersécurité innovent dans les domaines matures de la cybersécurité

On pourrait s’attendre à ce que ces domaines bien établis où la concurrence est rude soient moins attractifs. Cependant les entrepreneurs n’hésitent pas à les aborder sous un angle nouveau afin de gagner des parts de marché.

La sécurité de la donnée comporte ainsi son lot d’innovations. Les startups Binex et Ugloo ont par exemple conçu des solutions de stockage « décentralisé » en faisant la promesse aux entreprises de pouvoir récupérer le contrôle de leurs données aujourd’hui sauvegardées dans des Cloud de fournisseurs différents.

La gestion des identités et des accès, éternel casse-tête des entreprises, est un terrain où l’innovation est possible, comme le prouve ArmadAI qui optimise les habilitations des utilisateurs via l’utilisation de l’intelligence artificielle. La start-up Reachfive se positionne elle sur le CIAM (Customer Identity and Access Management) en fournissant une plateforme d’identité client répondant aux enjeux de sécurité et d’expérience utilisateur. Enfin des acteurs comme RubycatLabs n’hésitent pas à bousculer les segments où les parts de marché sont rares, ici la gestion des comptes à privilèges, en se différenciant non pas par la technologie mais par une simplicité d’utilisation et des modèles tarifaires attractifs.

Dans la même optique, la start-up Sqreen propose de révolutionner le domaine de la sécurité applicative en déployant son micro-agent au sein des applications, permettant ainsi de les monitorer et protéger. D’autres startups ont choisi des problématiques de niche dans ce domaine, comme Datadome avec sa solution qui empêche les « mauvais » robots (Scraping, DDoS, vol de compte …) de nuire aux applications des entreprises, tout en autorisant les robots légitimes (Googlebot…) à y accéder.

Que dire de la gestion des vulnérabilités où les quelques leaders du marché se partagent les parts du gâteau. Le constat est simple aujourd’hui : les entreprises sont très compétentes quand il s’agit de trouver des vulnérabilités, mais beaucoup moins quand il s’agit de les corriger, à cause des problèmes de criticité (d’un point de vue disponibilité) des ressources concernées. On observe ainsi deux approches intéressantes visant à modifier ce constat : celle de Cyberwatch qui propose d’évaluer les vulnérabilités dans un contexte métier afin de prioriser celles qu’il faut corriger ; et l’approche d’Hackuity qui suggère de centraliser et de normaliser les résultats des différents tests d’intrusion sur une même plateforme et d’implémenter une fonctionnalité de « rejeu » de la vulnérabilité afin de pouvoir suivre la résolution de cette dernière de façon automatique.

Les entreprises françaises, en particulier celle ayant le statut d’opérateur d’importance vitale (OIV), sont toujours à la recherche de souveraineté, et cela s’applique également à la sécurité réseau, où les entreprises étrangères comme Darktrace ou Vectra sont les leaders du marché. C’est ce qui explique, entre autres, la réussite de la startup Gatewatcher dont les sondes de détection d’intrusions ont été récemment qualifiées par l’ANSSI. C’est également le cas de la sécurité endpoint, où des EDR à la française voient le jour comme la jeune pousse Harfanglab et son EDR Hurukai.

Pour finir, la connaissance de la menace est devenue un atout stratégique pour les entreprises, faisant la part belle au domaine de la Threat Intelligence. Dans ce domaine, l’acteur français Citalid innove en commercialisant une plateforme d’anticipation des cybermenaces et de quantification des risques reposant sur l’utilisation de la méthodologie FAIR.

Les startups comprennent les enjeux du marché et se positionnent sur les sujets « porteurs ».

Le domaine de la vie privée a fait parler de lui ces derniers mois en raison de la multiplication des fuites de données à caractère personnel et des premières sanctions vis-à-vis du RGPD. Les entrepreneurs cybersécurité l’ont bien en tête car c’est aujourd’hui une petite quinzaine de startups qui adressent ce sujet, comme la startup Smart Global Privacy dont la solution smart GDPR optimise la gestion des traitements de données à caractère personnel en automatisant certaines actions et en fournissant des templates préconstruit en fonction des métiers de l’entreprise.

Dans le même temps, le besoin de pouvoir collaborer de façon sécurisée est plus présent que jamais. Cependant, les solutions actuelles pâtissent d’un manque de simplicité de déploiement et d’ergonomie d’utilisation. C’est ce qui explique la multitude de solutions qui apparaissent sur le marché, et qui promettent à la fois un niveau de sécurité élevé et une expérience utilisateur acceptable. La messagerie mobile élaborée par la startup Olvid est un parfait alliage entre un modèle de sécurité cryptographique extrêmement robuste et les fonctionnalités standards d’une messagerie. Shadline et Twinlife proposent également des outils collaboratifs sécurisés. Mais il sera dur de se faire une place sur un marché déjà très concurrentiel.

La thématique de la gestion de crise fait son apparition sur le radar 2019. La startup Easylience a notamment conçu une solution permettant d’assister les entreprises dans la gestion des crises de grande ampleur.

Avec l’avènement de la digitalisation des parcours client, le besoin de pouvoir identifier et authentifier ces derniers sans avoir besoin de les rencontrer physiquement a émergé. Ubble et Serendptech adressent cette problématique, d’ailleurs encadrée par le règlement européen eIDAS, en distribuant une technologie de vérification d’identité basée sur des algorithmes de reconnaissance vidéo pour les premiers, et une application mobile qui aide à garantir l’authenticité d’un titre d’identité pour les seconds.

Enfin, le domaine de la sécurité de l’IoT n’a rien à envier à ceux mentionnés précédemment quand on considère l’avènement des objets connectés, pour les particuliers mais également pour les entreprises. La startup Acklio contribue à sécuriser les objets connectés en rendant compatibles les réseaux LPWAN (réseaux à longue portée et basse consommation comme Lora ou Sigfox) nécessaires au bon fonctionnement de ces objets et le protocole IP. Sa solution permet de comprimer les messages internet et d’ainsi assurer la communication native entre l’objet et les applications métier. La startup Moabi elle se positionne sur l’évaluation de la sécurité des firmwares intégrés dans ces objets, en utilisant notamment les technologies d’exécution symbolique.

En revanche, la sécurité par déception est encore trop peu adressée par les startups, bien qu’elle ait fait son apparition avec des startups comme SesameIT et Anozrway qui commencent à implémenter des fonctionnalités de ce type.

Retrouvez dans ce deuxième article, une analyse des actions concrètes qui permettraient aux acteurs d’intensifier le développement de leurs startups, d’acquérir une nouvelle envergure et, d’ainsi, confirmer le changement d’échelle amorcé.

Cet article Radar des startups 2019 : Un écosystème de plus en plus dynamique est apparu en premier sur RiskInsight.

Les grands comptes : des cibles existentielles mais complexes

Le tissu économique français repose beaucoup sur des grands groupes disposant de capacités d’investissement important. Pour les startups cherchant à commercialiser leur offre en cybersécurité, ce sont des clients de choix.  Cependant, les processus rigides et complexes de ces grandes entreprises constituent un obstacle majeur pour les startups.

Après les embûches liées à l’identification des multiples donneurs d’ordre dans la structure (RSSI, architecte, expert, DSI, achats…), il reste très difficile de signer son premier contrat. La durée du processus d’achat allant de 3 à 6 mois et sa complexité ne correspondent pas au fonctionnement des startups, qui se voient demander des preuves de rentabilité, un nombre important d’années d’existence ou des références d’autres clients, ce qui est impossible lors des premiers contrats.

Cette situation est exacerbée pour la cybersécurité car les startups ne peuvent pas souvent compter sur les pôles Innovation créés par les grands-comptes pour faciliter les échanges avec l’écosystème de l’innovation. D’une part car les startups ont du mal à convaincre les apports métiers des solutions proposées et d’autre part car les équipes Innovation ont du mal à comprendre les apports concrets vu les spécificités des sujets abordés. Les retours d’expérience réussis montrent que la filière cybersécurité des grands-comptes doit souvent donner l’impulsion, voir porter elle-même les relations avec les startups cyber.

Des habitudes à faire évoluer dans les grandes entreprises

Une fois la mise en relation réalisée, il reste une étape : la réalisation de tests en conditions réelles (Proof of Concept). C’est un exemple de la difficulté pour les startups de rivaliser avec les éditeurs cybersécurité classiques dans le monde des grands comptes. Ces tests sont demandés pour évaluer l’efficacité d’une nouvelle solution. Les grands éditeurs, aux moyens financiers importants, offrent ces « PoCs » à leurs clients, qui en retour se sont habitués à ces tests « gratuits » à leur profit.

Pour les startups cependant la situation est différente car leur besoin en fonds de roulement est très court et réaliser de tels tests gratuitement peut mettre en péril la structure toute entière !

Il est donc nécessaire que les grands groupes prévoient des budgets adaptés, souvent de l’ordre de quelques milliers d’euros seulement, pour tester les solutions innovantes proposées par les startups.

En France, des retours positifs dans les interactions startup/grands comptes

Cependant des collaborations réussies entre startup et grands comptes montrent que ces deux mondes peuvent travailler ensemble. Et l’effort consenti apporte ensuite énormément. Des startups comme Alsid ou Idecsi bénéficient ainsi de témoignages de clients d’ampleurs à même de rassurer d’autres sociétés et les investisseurs.

Un écosystème cybersécurité français valorisant l’innovation

En France, la présence d’un écosystème qui fait la promotion régulière de l’innovation en associant grands comptes et startups est notable : Assises de la Sécurité avec le Prix de l’Innovation, le FIC avec le prix de la PME Innovante ou encore le concours dédié à la cybersécurité dans le milieu bancaire coorganisé par la Société Générale et Wavestone. Ces initiatives permettent une mise en lumière de l’innovation en cybersécurité, ainsi que la mise en relation directe de différents acteurs. Elles participent ainsi à la création de la relation de confiance nécessaire pour que les grands comptes investissent dans les solutions proposées par des startups.

L’importance de l’existence d’une offre française pour la souveraineté numérique

La cybersécurité est une problématique mondiale mais relève aussi de la sécurité nationale. L’intérêt d’avoir des produits de confiance dans ce domaine est évident.

Même si beaucoup reste à faire pour garantir une souveraineté numérique, les initiatives de certaines startups françaises ont permis l’importation de concepts n’existant initialement qu’à l’étranger. C’est par exemple le cas des plateformes de Bug Bounty (en français, « chasse aux failles »). En France, trois startups, Bug Bounty Factory, Bug Bounty Zone et Yogosha proposent des services dans ce domaine. Ceci pourra permettre à terme de garder la connaissance de vulnérabilités sensibles sur le territoire Européen ou national.

Il est important de noter que le marché hexagonal de la cybersécurité est largement animé par des acteurs du secteur de la défense, publics ou privés, qui investissent et aident aux développements de startups. Mais ces opportunités de développement sont en même temps un frein à l’exportation et rendent plus difficile la communication de références.

Demain, arriver à sortir des frontières

Le secteur de la recherche se structure

La recherche en cybersécurité est aussi très active en France avec de nombreux laboratoires mobilisés et des initiatives de premier plan. Le collectif Allistene, regroupant l’INRIA, le CEA, le CNRS et plusieurs grandes écoles, en est un exemple. De premières chaires sont dédiées aux sujets de la cybersécurité et de ses applications concrètes, par exemple pour les véhicules autonomes. Conjointement avec les initiatives des grandes entreprises, tout concourt à créer un terreau positif pour l’éclosion et la croissance de nombreuses startups.

Dépasser le cadre franco-français pour croître à l’international

La France possède de nombreux talents en cybersécurité, un terreau facilitant l’émergence des startups et un marché permettant de faire vivre ces structures. Mais ce bilan très positif ne doit cependant pas masquer la principale difficulté actuelle de nos startups : connaître le succès et la croissance à l’international.

Hormis quelques success story, comme historiquement Qualys ou plus récemment Linkurious aux Etats-Unis, les startups françaises ont du mal à sortir des frontières hexagonales. Elle se heurtent à des barrières sur leur capacité à communiquer de manière percutante en anglais, sur la faiblesse de références clients françaises, sur des problèmes juridiques mais aussi psychologiques à s’expatrier. Alors que la qualité des profils français en cybersécurité est largement reconnue, la qualité des startups, est-elle encore inconnue.

Dépasser ce plafond de verre requiert des initiatives conjointes de l’Etat, des grandes entreprises et un esprit de conquête exacerbé chez les fondateurs de startups. Mobilisons-nous collectivement, chacun avec ses forces, pour que cela devienne une réalité dans les années à venir.

Cet article Startup cybersécurité en France, un écosystème en pleine explosion (2/2) est apparu en premier sur RiskInsight.

La cybersécurité en France

Un tissu dynamique de plus de 100 startups

Aujourd’hui, la France compte plus de 100 startups ou PME innovantes en matière de cybersécurité. Ce nombre, en constante augmentation, reflète le dynamisme du secteur et les atouts de la France dans ce domaine. Le secteur représente plus de 1000 emplois directs. Même si cela peut paraître faible, ce nombre devrait augmenter fortement dans les prochaines années.

Une majorité de startups choisissent de réinventer des solutions de sécurité déjà bien implementées

60% des startups entrent sur le marché avec la volonté de faire évoluer des solutions de sécurité ayant déjà fait leurs preuves (sécurité des terminaux, du réseaux, de la messagerie, gestion des identités…).

De manière générale, attaquer un marché déjà consolidé est complexe. Mais il reste des fenêtres d’opportunités, en particulier dans la sécurité applicative. De nombreux acteurs importants sont présents sur ce domaine sans pour autant parvenir à proposer de solutions vraiment satisfaisantes. Les approches innovantes de jeunes pousses comme Sqreen, Ingen ou encore Yagaan peuvent apporter un renouveau.

Sécurité industrielle, cryptographie, et reverse engineering : des domaines innovants sur lesquels la France est bien positionnée

En regard, de nombreuses startups françaises (40%) ont su se positionner sur des technologies où tout reste à construire. Sur les systèmes  industriels, par exemple, les acteurs français comme Sentryo ou Seclab sont particulièrement bien positionnés. C’est aussi le cas pour les technologies d’analyse de logiciels malveillants avec des produits ou des services comme ceux de Tetrane et Quarkslab. Leurs expertises sont reconnues internationalement, y compris par des grands groupes américains.

Côté cryptographie, l’école française de mathématiques permet aux startups d’avoir accès à des expertises pointues difficiles d’accès dans d’autres pays. Cela permet le développement d’outils innovants d’analyse de vulnérabilités comme Cryptosense.

En revanche, certains domaines sont encore négligés en France alors qu’ils ont un fort potentiel de développement, comme les techniques de « tromperie » (« deception » en anglais, qui vise à fournir des fausses informations à un attaquant pour le ralentir) dont l’essor est déjà amorcé en Israël et même au niveau Européen.

Des startups françaises avec des difficultés de communication et de valorisation de leur expertise

L’écosystème national de startups est très dynamique et les expertises, même très spécifiques, ne manquent pas pour concrétiser des idées ou lancer des premiers produits. Un point-clef est cependant requis sur le marché de la cybersécurité : la capacité à communiquer efficacement. Les contacts entretenus avec plusieurs incubateurs étrangers nous montrent une différence frappante en termes de communication entre des startups anglos-axonnes qui savent valoriser leurs produits grâce à des pitchs percutants et un marketing efficace.

Ce manque d’expertise commerciale est particulièrement pénalisant pour les startups françaises qui souhaitent internationaliser leurs offres.

La France, une terre propice pour les startups cyber

Depuis plusieurs années, de nombreuses initiatives se développent en France pour soutenir le secteur cyber. On peut citer la stratégie de Sécurité Numérique du gouvernement portée par l’ANSSI ou encore les investissements du Ministère de la Défense. Différents pôles économiques sont mobilisés, ce qui se traduit concrètement par une concentration géographique des startups. Paris est, comme souvent, en tête mais Lyon, Rennes ou le sud de la France sont aussi très présents.

Présentation du radar des startups

Depuis 2015, Wavestone réalise une veille active sur le domaine des startups dans le cadre de son programme ShakeUp. Fort de ses nombreux contacts et actions au sein de l’écosystème de l’innovation cybersécurité en France, le radar des startups compte aujourd’hui près de 400 structures répertoriées à l’échelle européenne et internationale avec un focus particulier sur la France. Les critères pour intégrer le radar français : siège social en France, moins de 35 salariés et moins de 7 ans d’existence de la structure juridique (hors pivot majeur).

Suite à ces actions de veille par les équipes de la practice cybersécurité et confiance numérique, les startups les plus innovantes sont rencontrées pour réaliser une évaluation de leur solution et certaines peuvent rejoindre ShakeUp, le programme d’accélération de Wavestone.

Des structures d’accompagnement nombreuses et actives mais peu spécialisées

La France est un des leaders mondiaux dans l’innovation avec pas moins de 228 incubateurs nationaux et une cinquantaine d’accélérateurs. Mais par rapport à Israël, à la Suisse ou au Royaume-Uni, nous ne disposons pas de structures d’incubation ou d’accélération spécifiquement dédiées à la cybersécurité. Certains incubateurs ont créé des clusters pour concentrer les savoir-faire mais sans pour autant spécialiser les accompagnements. Ainsi, il est rare de trouver dans ces structures des coachs ayant une forte connaissance du marché cyber, de ses acteurs et de ses spécificités notamment dans le processus d’achat et de qualification de produits. Axeleo ou Wavestone sont ce qui se rapprochent le plus des structures étrangères dédiées.

A suivre, une initiative régionale nommée Ocssimore va démarrer à la rentrée 2017 à Toulouse.  La FrenchTech, très présente et visible à l’international, se mobilise depuis peu sur le sujet de la cybersécurité avec la création du réseau thématique « Security & Privacy ».

Un écosystème de financement favorable mais perfectible

La France a de véritables atouts pour le financement de l’innovation, dont de nombreuses startups témoignent de l’efficacité.  Le « Programme Investissement Avenir » investit 22 milliards d’euros dans la recherche ; le « Crédit Impôt Recherche » et le statut de « Jeune Entreprise Innovante » permettent de réduire les coûts de R&D, les charges sociales et l’impôt sur les sociétés.

De son côté, BPI France multiplie les financements dédiés aux entrepreneurs et les actions d’accompagnement grâce à ses partenaires (banques, investisseurs, régions…) et, par le biais d’accélérateurs, elle propose des prêts participatifs et peut se porter caution auprès des banques.

De nombreuses aides régionales sont également disponibles. En parallèle, nous assistons à une nette augmentation du corporate venture ainsi que les Business Angels sont parfois même en concurrence pour investir dans les meilleures startups cyber.

Cependant, l’écosystème complexe, avec un grand nombre d’acteurs, rend souvent le parcours de financement compliqué. Les démarches pour lever des fonds s’apparentent à de véritables marathons où la bureaucratie est encore très présente. Il s’agit d’avoir un plan de bataille précis, pour solliciter chaque dispositif au bon moment avec le bon dossier… sans pour autant sacrifier le temps destiné au développement de la startup ! Enfin, peu de grands groupes français font l’acquisition des startups, qui peuvent alors être tentées d’accepter les offres d’entreprises étrangères.

La France possède donc un formidable écosystème de startup dans le domaine de la cybersécurité, plaçant le pays parmi les leaders mondiaux. En effet, la création de startup en France est soutenue par des structures d’accompagnement adaptées. Mais pour assurer leur pérennité, ces startups cherchent à attirer de nombreux clients, notamment parmi les grands groupes français.

Cet article Startup cybersécurité en France, un écosystème en pleine explosion (1/2) est apparu en premier sur RiskInsight.