Le marché de la sécurité de l’IA entre dans une nouvelle phase

Après une phase d’effervescence et d’exploration, le marché des solutions de sécurité de l’IA entre désormais dans une phase de consolidation. Le secteur voit émerger des dynamiques de maturité que nous avons captées à travers l’évolution de notre radar des solutions.

Depuis la publication de notre précédente édition,

(https://www.wavestone.com/fr/insight/radar-2024-des-solutions-de-securite-ia/),

5 acquisitions majeures ont eu lieu :

• Cisco a acquis Robust Intelligence en septembre 2024
• SAS a acquis Hazy en novembre 2024
• H Company a acquis Mithril Security fin 2024
• Nvidia a acquis Gretel en mars 2025
• Palo Alto a annoncé son intention d’acquérir ProtectAI en avril 2025

Ces mouvements traduisent une volonté claire des grands acteurs de sécuriser leurs positions en absorbant des startups technologiques clés.

En parallèle, notre nouvelle cartographie recense 94 solutions, contre 88 dans l’édition d’octobre 2024. Quinze nouvelles solutions font leur entrée dans le radar, tandis que huit ont été retirées. Ces sorties s’expliquent principalement par des abandons ou des pivots stratégiques : certaines startups n’ont pas réussi à trouver leur marché, tandis que d’autres choisissent de réorienter leur positionnement, en capitalisant sur leur expertise en intelligence artificielle pour adresser des enjeux dépassant le cadre strict de la cybersécurité.

Enfin, un changement de paradigme s’opère : les solutions ne se limitent plus à un empilement de briques techniques, mais convergent vers des architectures de défense intégrées, conçues pour répondre durablement aux exigences des grandes organisations. L’interopérabilité, la scalabilité et l’alignement avec les besoins des grandes entreprises deviennent les nouveaux standards. La cybersécurité de l’IA s’affirme désormais comme une stratégie globale, et non plus comme une somme de réponses ponctuelles.

Pour refléter cette évolution, nous avons fait évoluer notre propre grille de lecture en créant une nouvelle catégorie, AI Firewall & Response, qui résulte de la fusion de nos catégories Machine Learning Detection & Response et Secure Chat/LLM Firewall.

Le meilleur ou l’essentiel ? Le dilemme de l’intégration

Avec l’intégration croissante de briques de sécurité IA dans les offres des principaux fournisseurs Cloud (Microsoft Azure, AWS, Google Cloud), une question stratégique émerge :
Faut-il privilégier des solutions expertes ou s’appuyer sur les capacités natives des hyperscalers ?

• Les solutions spécialisées offrent une profondeur technique et une couverture ciblée, en complément d’une sécurité existante.
• Les briques intégrées sont plus faciles à déployer, interopérables avec l’infrastructure existante, et souvent suffisantes pour des usages standard.

Il ne s’agit pas ici de trancher, mais d’éclairer les possibilités. Voici un aperçu de certains leviers de sécurité activables via les offres des hyperscalers.

Filtrage

Les fournisseurs Cloud intègrent désormais des filtres de sécurité pour interagir avec les IA de manière plus sûre. Objectif : détecter ou bloquer les contenus indésirables ou dangereux. Mais ces dispositifs vont bien plus loin que la simple modération : ils jouent un rôle clé dans la défense contre les attaques adversariales, comme les prompt injections ou les jailbreaks, qui visent à détourner le comportement du modèle.

Evaluation de la robustesse

Il s’agit ici d’évaluer dans quelle mesure un modèle IA résiste à des perturbations, erreurs, ou attaques ciblées. Cela couvre :

• L’exposition aux attaques adversariales,
• La sensibilité aux données bruitées,
• La stabilité face à des prompts ambigus,
• La résilience aux tentatives d’extraction ou de manipulation.

Ces outils offrent une première évaluation automatisée, utile en amont des mises en production.

Confidential Computing

Cette approche va au-delà de la sécurité des données au repos ou en transit : elle vise à protéger les calculs en cours, grâce à l’utilisation d’enclaves sécurisées. Elle garantit un haut niveau de confidentialité tout au long du cycle de vie des modèles IA, des données sensibles ou des algorithmes propriétaires, en empêchant tout accès non autorisé.

IA agentique : un risque transversal, une sécurité distribuée

Parmi les tendances qui concentrent l’attention des experts en cybersécurité, l’IA agentique occupe une place croissante. Ces systèmes capables de prendre des décisions, de planifier des actions et d’interagir avec des environnements complexes cumulent en réalité deux types de vulnérabilités :

• Celles des systèmes informatiques traditionnels avec lesquels l’IA va interagir plus ou moins bien,
• Et celles propres aux modèles d’IA et aux orchestrateurs d’agents associés.

Résultat : une surface d’attaque élargie, et des conséquences potentiellement critiques. Mal configuré, un agent pourrait accéder à des fichiers sensibles, exécuter du code malveillant ou provoquer des effets de bord inattendus dans un environnement de production.

À cela s’ajoute un facteur nouveau majeur : l’émergence du Model Context Protocol (MCP), un standard en cours de diffusion qui permet aux LLM d’interagir de manière standardisée avec des outils et services tiers (mail, calendrier, drive…). S’il facilite la montée en puissance des agents, il introduit aussi de nouveaux vecteurs d’attaque :

• Exposition ou vol de jetons d’authentification,
• Absence de mécanismes d’authentification des outils,
• Possibilité d’attaques par injection de prompt dans des contenus apparemment anodins,
• Ou encore compromission d’un serveur MCP donnant accès à l’ensemble des services connectés.

Au-delà des failles techniques, l’imprévisibilité comportementale des agents pose un défi inédit. Parce que l’action découle directement d’une sortie de modèle IA, une erreur d’interprétation ou de planification peut entraîner une dérive majeure par rapport à l’intention initiale.

Dans ce contexte, la sécurisation de l’agentique ne relève pas d’une catégorie unique. Elle nécessite une couverture transversale, mobilisant toutes les briques de notre radar : évaluation de robustesse, monitoring, protection de la donnée, explicabilité, filtrage et gestion des risques.

Et c’est précisément ce que nous observons sur le marché : les premières réponses à la sécurisation de l’IA agentique ne viennent pas de nouveaux acteurs, mais de fonctionnalités additionnelles intégrées aux solutions existantes. Un enjeu émergent, certes, mais que les acteurs du marché commencent déjà à prendre en charge à travers des évolutions fonctionnelles intégrées aux solutions existantes.

Nos recommandations : quelles briques de sécurité IA implémenter en priorité ?

Au regard de l’évolution des menaces, de la complexité croissante des systèmes IA (notamment des agents) et de la diversité des solutions disponibles, nous recommandons de concentrer les efforts sur trois grandes catégories de sécurité, qui se complètent mutuellement.

AI Firewall & Response : une surveillance continue pour éviter la dérive

Le monitoring des systèmes IA est devenu incontournable. En effet, une IA peut évoluer de manière imprévisible, se dégrader dans le temps, ou commencer à générer des réponses problématiques sans que cela soit immédiatement détecté. Ce point devient particulièrement critique avec les IA agentiques, dont les décisions autonomes peuvent entraîner des répercussions opérationnelles majeures en cas de dérive non maîtrisée.

Face à cette volatilité, il est essentiel de pouvoir détecter les signaux faibles en temps réel (tentatives de prompt injection, dérives comportementales, biais émergents, etc). C’est pourquoi il est préférable de s’appuyer sur des solutions expertes dédiées à la détection et à la réponse, qui disposent d’analyses spécifiques et de mécanismes d’alerte adaptés à ces menaces.

Model Robustness & Vulnerability Assessment : tester pour prévenir

Avant de mettre en production un modèle, il est crucial d’évaluer sa robustesse et sa résistance aux attaques. Cela passe par du model testing classique, mais aussi par des approches plus offensives comme le AI Red Teaming, qui consiste à simuler des attaques réelles pour identifier les failles exploitables par un attaquant.

Là encore, les enjeux sont amplifiés dans le cas de l’IA agentique : les conséquences d’un comportement non anticipé peuvent être lourdes, tant en termes de sécurité que de conformité.

Les solutions du marché apportent ici une forte valeur ajoutée. Elles permettent d’automatiser les tests, de rester à jour sur les vulnérabilités les plus récentes, et parfois même de collecter des preuves utiles dans un cadre réglementaire (par exemple, dans la perspective de l’AI Act). Le coût et le temps nécessaires pour développer ces capacités en interne étant élevés, l’externalisation via des outils spécialisés est souvent plus efficace.

Ethics, Explainability & Fairness : prévenir les biais et les dérives algorithmiques

Enfin, les dimensions d’éthique, de transparence et de non-discrimination doivent être intégrées dès la conception des systèmes IA. Cela implique de tester régulièrement les modèles pour identifier des biais involontaires ou des décisions difficiles à expliquer.

Là encore, les agents IA posent des défis supplémentaires : ils prennent des décisions de manière autonome, dans des environnements changeants, avec un raisonnement parfois opaque. Comprendre pourquoi un agent a agi d’une certaine façon devient alors crucial pour prévenir les erreurs ou les injustices.

Des outils spécialisés permettent d’auditer les modèles, de mesurer leur équité et leur explicabilité, et d’aligner les systèmes sur des référentiels éthiques reconnus. Ces solutions offrent aussi des cadres de test actualisés, difficilement maintenables en interne, et permettent ainsi de garantir une IA à la fois performante et responsable.

Conclusion : construire une stratégie de sécurité adaptée à l’IA

À mesure que l’intelligence artificielle s’intègre profondément dans les opérations des grandes entreprises, sa sécurisation ne relève plus du choix — c’est désormais un impératif stratégique. L’évolution rapide des menaces, l’émergence de l’IA agentique et la complexité croissante des modèles imposent un changement de posture : il faut passer de mesures réactives à des stratégies de sécurité intégrées et proactives.

Les organisations doivent dépasser les approches fragmentées et adopter un cadre global combinant tests de robustesse, surveillance continue et garanties éthiques. L’apparition d’architectures de défense intégrées et la convergence des catégories de sécurité de l’IA témoignent d’un marché en pleine maturité, prêt à soutenir des déploiements à l’échelle entreprise.

L’enjeu est clair : identifier le bon équilibre entre outils spécialisés et capacités natives des hyperscalers, prioriser une couverture transversale, et garantir que les systèmes IA restent fiables, résilients et alignés avec les objectifs métiers.

Nous remercions Anthony APRUZZESE pour sa précieuse contribution à la rédaction de cet article. 

Cet article Radar des solutions de sécurité de l’IA 2025 est apparu en premier sur RiskInsight.

Cependant, bien que les entreprises reconnaissent l’importance des contenus de sensibilisation, très peu réussissent à déployer efficacement des solutions adaptées à leurs spécificités. En effet, si la sensibilisation constitue une priorité, choisir l’outil le mieux adapté reste un défi. Les entreprises font face à une offre variée, allant de formations en ligne standardisées à des outils interactifs et personnalisés.

Un radar de +100 solutions de sensibilisation à la cybersécurité

Dans un environnement où la sensibilisation à la cybersécurité devient une priorité, le radar des solutions de sensibilisation se révèle être un allié stratégique pour les entreprises. Cet outil offre une vision claire et structurée des solutions disponibles, aidant les organisations à identifier les solutions les plus adaptées à leurs besoins.

Un outil d’aide à la décision

Le radar permet de prendre du recul sur l’ensemble des options disponibles et de mesurer l’ampleur du choix. Grâce au radar, les entreprises peuvent repérer rapidement certaines solutions performantes et innovantes, tout en distinguant des incontournables. Pour cela, les solutions ont été regroupées en 7 catégories :

1. Evaluation de la maturité : Solutions proposant un véritable outil d’évaluation de la maturité cybersécurité, des risques humains allant au-delà de rapports ou questionnaires
2. E-learning : Solutions offrant des modules d’apprentissage structurés variés
3. Sensibilisations techniques : Solutions proposant des contenus spécifiquement conçus pour les populations techniques (équipes cyber, IT, développeurs, etc.)
4. IA : Solutions se reposant sur un outil basé sur l’intelligence artificielle
5. Chatbot : Solutions intégrant un agent conversationnel interactif
6. Phishing : Solutions spécialisées dans la simulation d’attaques de phishing, à distinguer des modules e-learning abordant le sujet
7. Jeux : Solutions spécialisées dans la gamification et proposant des activités ludiques de sensibilisation à la cybersécurité

Ce radar a pour vocation de proposer une vision condensée de notre benchmark et ne constitue aucunement un classement. Il s’agit d’une sélection réfléchie, fondée sur plusieurs critères, entre autres :  la taille de l’entreprise, sa présence sur le marché (français principalement), et notre évaluation experte. Nous avons souhaité limiter le nombre de solutions représentées pour garantir une lecture claire et stratégique.

La sélection privilégie les solutions françaises, toujours en cohérence avec notre base client, tout en intégrant quelques acteurs internationaux pertinents. Par ailleurs, seules les solutions dont l’activité de conseil ne représente pas le cœur de leur offre ont été retenues, afin de garantir une approche orientée produit.

Un benchmark pour une solution adaptée

Ce radar repose sur un benchmark de plus de +100 solutions disponibles sur le marché. Il offre ainsi un panorama complet de l’écosystème des solutions de sensibilisation.

Le benchmark est conçu pour guider votre choix vers la solution la plus adéquate. Les entreprises peuvent y rentrer leurs critères pour obtenir une liste réduite d’options : types de contenus (phishing, mots de passe, ingénierie sociale, etc.), types de formats (vidéos, quizz, chatbot, e-learning, etc.), disponibilité et modularité de la solution, publics visés, prix, langues, etc. Cela permet d’éviter un choix arbitraire et d’opter pour une solution véritablement alignée avec les enjeux et les objectifs de sensibilisation.

Ainsi, sans chercher à être exhaustif, le radar propose ainsi un large éventail d’options pour répondre au mieux aux besoins de votre organisation.

Les critères d’intégration au benchmark

Le processus d’intégration au benchmark d’une solution a pour volonté d’être simple. Une fois une solution identifiée, celle-ci est analysée et triée selon des critères précis auxquels s’ajoutent les retours de nos consultants Wavestone. En complément de cela, des rencontres avec les équipes des éditeurs de solution nous permettent d’affiner notre analyse avec des démonstrations et collecte d’informations complémentaires.

Ainsi, une solution avec une interface claire et intuitive, proposant des transcriptions en plusieurs langues, couvrant une large gamme de sujets (phishing, cloud, chatbot, etc.) de manière innovante, sera particulièrement intéressante. Si elle reçoit en plus de cela des retours positifs de nos consultants, elle aura de fortes chances d’être intégrée au radar.

Le benchmark et son radar s’accompagnent également de fiches détaillées pour certaines solutions. Grâce à notre expertise et nos convictions en sensibilisation, les solutions jugées comme plus pertinentes ont des fiches détaillées qui incluent un aperçu plus précis de l’interface, un avis de nos experts sur la solution, et sont alimentées par des rencontres avec les éditeurs. Ces fiches permettent non seulement de choisir l’outil le plus adapté, mais aussi de découvrir des alternatives souvent plus performantes, bien que moins connues.

Processus d’intégration d’une solution au benchmark et radar

Notes

Veuillez noter que le radar est une vision réduite du benchmark associé. Si vous remarquez qu’un acteur de la sensibilisation cyber que vous connaissez est absent de ce radar, contactez-nous pour que nous puissions l’évaluer et l’ajouter.

Nous remercions Guillaume MASSEBOEUF pour son aide dans la création de ce radar.

Cet article Radar des solutions de sensibilisation à la cybersécurité 2025 : comment trouver la solution adaptée à mes besoins ? est apparu en premier sur RiskInsight.

Dans cet article, nous vous proposons notre vision du marché et de la maturité de la cybersécurité des Systèmes d’Information (SI) industriels, ainsi que nos convictions et analyses sur le sujet.

Quelle menace pour les SI Industriels ?

En 2011, la cybersécurité des SI industriels, alors balbutiante, était arrivée d’un coup sur le devant de la scène avec l’attaque Stuxnet et la découverte de la menace étatique dans ce domaine. Pendant une décennie, les Advanced Persistant Threats (APT) ont été considérées comme étant les plus grandes menaces pour la sûreté des systèmes industriels, au travers d’attaques impressionnantes et complexes, comme la série d’attaques « Black Energy » contre le réseau électrique Ukrainien entre 2007 et 2014, ou l’attaque « Triton » contre les systèmes de sûreté d’une usine chimique en Arabie Saoudite en 2017.

Cependant, l’affaire Snake/EKANS en 2020 permet de mettre le doigt sur une tendance en constante augmentation depuis quelques années qui est l’apparition des ransomwares dans les SI Industriels. Ces ransomwares résultent d’attaques opportunistes sur des systèmes vulnérables ou sont des « dégâts collatéraux » d’attaques visant le SI de gestion, comme dans le cas de Colonial Pipeline, en mai 2021.

Avec la pérennisation du modèle économique des ransomwares d’un côté et l’apparition de SI industriels toujours plus connectés, il est réaliste d’attendre une hausse des attaques opportunistes et d’effet de bords de ransomwares sur des SI Industriels.

Devant une menace de plus en plus présente, les entreprises doivent mettre en place des mesures de cybersécurité sur les systèmes industriels et définir des caps stratégiques cohérents, mais cela demande un véritable investissement. C’est pourquoi nous avons travaillé sur cette synthèse des domaines et des solutions existantes pour sécuriser les SI industriels. Ce radar n’est pas exhaustif, mais il a pour but d’éclaircir le sujet en donnant une vision plus globale du sujet.

Méthodologie

Pendant cinq mois, ce radar a été conçu avec cinq experts en cybersécurité des SI Industriels, en plus de la centaine de consultants de l’offre de cybersécurité industrielle de Wavestone.

Ce radar dispose de deux cadrans : un cadran présentant des produits de cybersécurité spécialisés dans les SI industriels et un cadran présentant les différents domaines de la cybersécurité des SI industriels, classés par niveau de maturité

Les produits de cybersécurité industriels sont identifiés comme tels selon les critères suivants :

• Ils répondent à un besoin dans le processus de sécurisation des SI Industriels ;
• Ils sont adaptés à un environnement industriel sur les plans hardware et/ou software :
  • Le matériel est renforcé pour résister à des conditions difficiles et/ou présente une longévité importante ;
  • Les produits de sécurité réseau prennent en compte des protocoles industriels ;
  • Les produits de sécurité des terminaux sont compatibles avec des systèmes plus ou moins obsolètes.

Les domaines de cybersécurité sont également sélectionnés et évalués en se basant sur les observations de nos consultants sur le terrain, auprès de clients variés présents dans des domaines industriels tout aussi variés, mais largement ancrés dans le contexte français.

La suite de cet article revient sur certains domaines, des plus matures au plus émergents. Cette analyse fait écho à et permet de mettre à jour notre publication de 2019 sur les problématiques du maintien en conditions de sécurité des SI Industriels. En effet, si les grands sujets restent les mêmes (e.g. séparation IT/OT), les acteurs et leurs maturités évoluent très vite, amenant de nouvelles problématiques et faisant évoluer les anciennes.

Sur quels piliers s’appuyer pour sécuriser un réseau industriel ?

Ressources humaines, procédures et résilience

Les forces et les faiblesses dans les SI industriels et dans les SI de gestions sont différents. Pour mettre en place des mesures de cybersécurité efficaces dans un SI industriel, il faut d’abord comprendre les leviers déjà présents dans les SI Industriels qui peuvent être utiles dans une démarche de sécurisation cyber.

Tout d’abord, les opérateurs dans les réseaux de production industriels connaissent très bien les procédés et le fonctionnement habituel du système de production. De plus, les procédures en cas d’incident sont beaucoup plus développées que dans le cas des SI de gestion. L’un dans l’autre, ces éléments permettent de détecter efficacement les dysfonctionnements et de réagir de manière appropriée. Une mesure intéressante à mettre en place est donc de développer cette capacité de résilience en ajoutant des procédures de détection d’incidents cyber en se basant sur les connaissances actuelles des équipes.

Connaissance du réseau

Connaitre son réseau facilite la sécurisation du SI, permet le maintien en conditions de sécurité en permettant l’analyse des risques, la segmentation du réseau, la gestion des vulnérabilités et des patchs, la conformité règlementaire, etc.

Il est possible de réaliser cet inventaire exhaustif à la main sur un base régulière, notamment en se basant sur les outils de maintenance industrielle. Pour aller plus loin, il est possible d’automatiser la tâche grâce à des outils de cartographie gratuits (Dragos CyberLens, GrassMarlin). Enfin, des sondes (Nozomi, Claroty, Dragos, etc.) permettent d’aller beaucoup plus loin en automatisant la détection d’anomalies sur le réseau voire en aidant à la réponse à incident.

Sauvegarde et restauration

La meilleur arme de résilience contre les ransomwares est la sauvegarde systématique et si possible hors ligne des données critiques pour le système de production. C’est d’ailleurs une pratique de plus en plus courante dans les SI Industriels.

Toutefois, des conditions supplémentaires sont nécessaires pour que les sauvegardes soient vraiment utiles. Premièrement, il faut cerner toutes les données nécessaires au fonctionnement du système. Ces données peuvent être des données techniques (configuration des machines par exemple) ou des données métier et peuvent être identifiées avec le métier notamment lors d’une analyse de risques. Enfin, il faut s’assurer de sa capacité à restaurer un système fonctionnel à partir des sauvegardes effectuées, notamment pour les systèmes certifiés.

Quelles sont les opportunités en 2021 ?

Notre étude nous a permis de mettre en évidence des mesures efficaces pour augmenter le niveau de sécurité d’un SI industriel.

Segmenter son réseau

Bien que ce sujet soit présent depuis plusieurs années, la segmentation réseau est une étape importante à passer pour sécuriser un réseau industriel. Elle permet de prévenir très efficacement la propagation d’une attaque et donc son impact.

Outre l’utilisation de pare-feu adaptés, un projet de segmentation du réseau repose sur des équipes d’architecture et d’intégration compétentes et disposant de temps et de moyens suffisants. La segmentation d’un réseau est un équilibre à trouver entre la sécurité et les besoins métiers. L’utilisation des nouvelles technologies réseau « Software Defined » peut permettre la mise en œuvre de cette segmentation de manière plus agile.

Séparer le réseau de gestion et le réseau industriel

L’ouverture des SI industriels aux SI de gestion est aujourd’hui nécessaire mais est également un vecteur de risques.

Les solutions à mettre en œuvre dépendent de la criticité du réseau industriel et des flux nécessaires entre les deux réseaux. Il faut privilégier un unique point de passage entre les deux réseaux afin de pouvoir garder le contrôle sur cette interface particulièrement critique.

Un éventail complet de produits existe, du pare-feu à la diode de données. Le mieux étant d’assembler plusieurs de ces solutions au sein d’une DMZ, pour bien maitriser les services qui peuvent communiquer entre les deux réseaux.

La séparation IT/OT va bien au-delà de la question du réseau, abordée ci-dessus. Sur le plan de l’identité, il faut également aborder la séparation de l’Active Directory (AD) entre le réseau de gestion et le réseau industriel. D’un point de vue sécurité, le mieux est de séparer ces deux AD pour éviter la propagation des attaques si les ressources sont disponibles. Toutefois, les AD peuvent également être reliés en contrôlant de très près les flux autorisés et/ou en prévoyant des solutions de remédiation en cas de compromission d’un des deux AD.

Identifier les utilisateurs du réseau

Une particularité de la gestion de l’identité dans un SI industriel est la présence marquée de postes partagés. Dans cette situation, une solution adaptée doit permettre à plusieurs utilisateurs de travailler sur la même machine de manière authentifiée permettant ainsi d’identifier les actions de chacun.

Dans ce cas, le modèle où chaque utilisateur dispose de sa propre session Windows n’est pas adapté. Une solution possible est de mettre en place une session Windows générique sur laquelle l’utilisateur s’authentifie de manière simple et rapide grâce à un badge et un logiciel de Fast Switching.

Quels sont les prochains grand chantiers de la cybersécurité des SI industriels ?

SOC

Les Security Operation Centers (SOC) spécialisés dans les SI industriels sont en train d’émerger chez plusieurs Managed Security Services Providers (MSSP). Toutefois, il ne faut pas considérer ces SOC comme des solutions miracles : c’est avant tout en connaissant votre métier et toutes ses particularités que le SOC pourra être efficace.

Un aspect capital lors de la mise en place d’un SOC industriel est de bien cerner un périmètre à la mesure de la maturité cyber du SI. Dans un SOC cyber industriel, seuls les incidents cyber doivent être traités, sans considération pour les événements purement opérationnels classiques, qui sont déjà pris en charge par le système de supervision métier.

Sécurité des tiers

La gestion de la Supply Chain, en IT comme en OT, est en train de devenir un des sujets cyber les plus importants. L’attaque de REvil contre Kayesa et ses clients en juillet 2021 donne une idée des possibilités offertes par une attaque de la Supply Chain : l’attaque change d’échelle et peut toucher des centaines voire des milliers d’organisations d’un coup. Evidemment, les SI industriels font également appel à des tiers et ne sont donc pas à l’abri. On pourrait imaginer la compromission d’un fournisseur d’automate par exemple.

Les attaques sur les tiers peuvent prendre différentes formes, dont voici quelques exemples :

• Accès au SI suite à la mise à jour d’un logiciel ;
• Pillage des données stockées chez un tiers ;
• Accès au SI via un accès distant, par exemple utilisé par le tiers pour faire de la maintenance

Afin de se protéger de ces attaques, il convient de connaitre ses fournisseurs et le risque lié à chacun d’entre eux. Les tiers à risques peuvent ensuite faire l’objet de mesures pour réduire les chances de compromission comme un Plan Assurance Sécurité (PAS) ou des audits réguliers.

Les accès distants au SI peuvent être contrôlés par des solutions de bastion ou de gestion des accès privilégiés (PAM), qui permettent de surveiller toutes les actions faites par le tiers et de gérer finement ses droits. Toutefois, cette solution peut être contraignante et il convient de prendre en compte le besoin de l’utilisateur pour proposer la solution la plus pertinente.

Cloud

Encore principalement cantonné à des fonctions annexes telles que la gestion des stocks et de l’approvisionnement, le cloud fait petit à petit son arrivée dans les SI industriels avec le développement de l’industrie 4.0, en permettant par exemple d’avoir une gestion plus globale des terminaux IoT dans les sites de production ou d’optimiser le dimensionnement des serveurs.

Mais cette arrivée pose aussi des problèmes de sécurité. Certaines de ces problématiques ont déjà été traitées avec la démocratisation du cloud dans les SI de gestion, mais d’autres sont encore à résoudre. Comment gérer la sécurité des terminaux IoT ? Comment intégrer des systèmes cloud dans des environnements critiques, très réglementés ? A qui sont confiées les données et quelle règlementation s’applique ?

Cet article Quelles sont les tendances et les enjeux en cybersécurité industrielle en 2021 ? est apparu en premier sur RiskInsight.

Un axe fondamental ne changera pas, c’est celui de la menace, par lequel toute démarche de réflexion stratégique doit commencer. De notre point de vue, sans surprise, le Ransomware restera la menace majeure à laquelle feront face les entreprises. Depuis la fin de l’année 2019 et les nombreux faits d’arme de Maze, Sodinokibi ou plus récemment Egregor, ces attaques destructrices sont combinées à des exfiltrations massives de données, ajoutant une nouvelle dimension au chantage opéré par les criminels. Tout le monde est touché : collectivités, PME et grands groupes internationaux, que ce soit en France ou ailleurs.

De plus, comme nous l’évoquions dernièrement auprès du journal Le Monde, les opérations des cybercriminels se sont fortement professionnalisées et leur assurent un retour sur investissement élevé. Ces financements leur permettront demain d’augmenter la profondeur et la technicité de leurs attaques et ils n’hésiteront plus demain à cibler les activités cœur des métiers des entreprises (réseau industriel, systèmes de paiements…). En 2021, le bras de fer pour le paiement des rançons devrait encore s’accentuer avec un réel penchant des groupes criminels à rendre leurs attaques largement visibles. Des prémices ont été observées cette année avec l’aide d’astucieux procédés : annonce d’une attaque via des publicités sur Facebook, négociation directe avec les patients de la cible, jusqu’à l’impression de la demande de rançon via les caisses enregistreuses en magasin… Il s’agira d’anticiper au maximum ces situations, que ce soit en les jouant durant des exercices de crise ou en préparant des réponses adaptées et réfléchies en amont.  

Outre l’hydre du rançongiciel, nos équipes sur le terrain envisagent pour 2021 une croissance forte de deux autres menaces. D’une part, les attaques indirectes, utilisant les services de tiers : les cybercriminels n’hésitent pas à contourner les mécanismes de sécurité des grands donneurs d’ordre en compromettant des partenaires moins protégés, ou en visant des fournisseurs de services informatiques. D’autre part, les attaques visant les systèmes Cloud devraient s’accélérer avec de nouvelles natures de compromission. L’exploitation des vulnérabilités liées à la gestion des identités et des accès (IAM), en particulier sur les API des fournisseurs, pour compromettre des périmètres chaque jour plus critiques pour les entreprises sera au cœur des incidents de 2021. Ce sujet représente aujourd’hui un réel challenge pour les équipes IT, encore trop peu familières  aux spécificités très fortement évolutives de ces plateformes.

Face à ces différentes menaces, le RSSI devra faire preuve d’agilité et de solidité, notamment dans sa maîtrise des fondamentaux sécurité (en particulier sur l’Active Directory, application des correctifs et l’authentification multi facteurs) et dans la démonstration concrète de ses capacités de cyber-résilience (avec des engagements de plus en plus exigés sur des délais de reconstruction et sur la capacité de résilience métiers sans IT). 

En parallèle, certains sujets seront au cœur des évolutions de la DSI et le RSSI pourra les transformer en opportunité pour la cybersécurité de son organisation. Nous pensons en particulier aux projets “Digital Workplace” mais aux travaux d’optimisation des moyens à disposition, qui seront forcément lancé dans ce contexte de réduction budgétaire. Les investissements des années précédentes en cybersécurité recèlent souvent de nouvelles fonctionnalités peu connues ou utilisés, en particulier dans le cloud, et en faire l’inventaire peut être un moyen de faire progresser la cybersécurité à coût réduit.  

Sur l’angle réglementaire, 2021 verra de nouveau s’accentuer les sujets liés aux frontières numériques (“Cyber borders”), voire au protectionnisme cyber. Il va ainsi nécessiter de prendre en compte de fortes exigences d’isolation et de protection des données mais aussi l’interconnexion à des systèmes nouveaux, voir inconnus (Alibaba en Chine, Yandex en Russie…) des réseaux des organisations.

Parmi les évolutions futures à garder à l’esprit, nous identifions trois tendances : le Zero-trust, le Confidential Computing, et l’Informatique Quantique dont vous trouverez les détails ci-dessous et sur lesquelles des actions de veille devraient a minima être prévues. 

La menace se complexifie, les moyens se restreignent… Le RSSI devra montrer son agilité en 2021 et composer avec de nombreux sujets tout en maintenant un cap stratégique clair : protéger son organisation contre les cybercriminels et accompagner, voire développer de nouveaux usages numériques ! 

La transformation numérique à marche forcée

Quels sujets émergeants anticiper en 2021 et au-delà ?

Une nouvelle approche entièrement dans le Cloud avec le Zero Trust

Promu par Forrester à la fin des années 2000, le modèle de sécurité Zero Trust a le vent en poupe ces dernières années. Pour rappel, ce système est à l’opposé de l’approche château-fort traditionnelle, qui visait à défendre le périmètre à l’aide de grands remparts (i.e. des pare-feu), mais est peu à peu devenue impuissante face aux nouvelles menaces.

En effet, la transformation numérique a eu des impacts en profondeur sur l’architecture des systèmes et les interconnexions avec des tiers. Dès lors, il n’est plus suffisant de se protéger uniquement de l’extérieur, la menace pouvant plus facilement utiliser l’écosystème de sa cible pour s’introduire dans ses systèmes et la compromettre. Gestion des accès, des identités, des comptes à privilèges sont des sujets particulièrement centraux dans le Zero Trust et qui répondent à de nombreuses problématiques d’aujourd’hui. En 2021, les entreprises continueront leur mouvement vers le cloud. C’est donc une vraie opportunité pour orienter progressivement les architectures et les systèmes sur le principe du Zero-Trust, ou, pour les retardataires, de commencer à défricher le sujet.

Une révolution dans la protection des données avec le confidential computing

Un des défis majeurs du Cloud reste la confiance avec ses différents partenaires, notamment pour les données les plus sensibles des organisations ou institutions. Pour répondre à cette problématique, des concepts comme le Confidential Computing et le data privacy by-design ont peu à peu émergé ces dernières années, ainsi que des solutions plus concrètes.

Parmi ces solutions, le chiffrement homomorphe permet à des algorithmes de chiffrer des données tout en laissant la possibilité d’effectuer des traitements sur celles-ci, réduisant donc fortement les risques de divulgation et fuite de données. IBM a un coup d’avance sur ce sujet et a partagé dès l’été 2020 une bibliothèque open source, HElib. Les jeunes pousses françaises Cosmian et Zama sont également actives sur cette thématique.

Enfin, une réponse originale à ces enjeux peut également être apportée par les données synthétiques. A l’aide d’algorithmes renforcés par de l’intelligence artificielle, les générateurs de données synthétiques comme celui proposé par la startup britannique Hazy permettent de créer des jeux de données gardant les caractéristiques et la logique de données réelles mais n’en étant pourtant aucunement. Un autre moyen pour éviter tout risque de fuite de données sur le Cloud !

La menace fantôme de l’ordinateur quantique

8 heures : c’est le temps qu’il faudra à un ordinateur quantique suffisamment puissant et fiable pour mettre à mal la sécurité de nos communications. Une course technologique internationale a déjà démarré et les entreprises et institutions doivent se préparer dès aujourd’hui, car les investissements seront lourds pour permettre les migrations techniques nécessaires. Quelles données doivent être protégées en priorité ? Quelles clauses inclure dans mes contrats dès aujourd’hui ? Quels acteurs peuvent accompagner dans ces migrations ?

De nombreuses questions se posent et doivent être répondues dès que possible. Une chose est certaine : le RSSI aura un rôle majeur dans cette révolution, s’il est un des premiers à sonner l’alarme et à anticiper les nombreux travaux qui seront nécessaires.

En France, des acteurs ont déjà pris en main comme la spin-off d’INRIA et Sorbonne CryptoNext-Security, déjà lauréate de plusieurs concours d’innovation et proposant une solution de cryptographie Quantum-safe, déjà testée par l’armée française pour une application de messagerie instantanée sur mobile.

Cet article RSSI, entre nouveau monde et menaces persistantes, quelles sont les priorités pour 2021 ? est apparu en premier sur RiskInsight.

L’année dernière montrait l’amorçage de la transformation de l’écosystème des startups en cybersécurité françaises. Cette année, de nombreuses questions se posent : la dynamique a-t-elle continué en dépit de la crise sanitaire ? Comment l’écosystème y-a-t-il répondu ? Quelles actions permettraient de l’accompagner vers un passage à l’échelle ?

Un secteur toujours dynamique où certaines startups arrivent à maturité

Un panorama des startups en évolution constante

Notre radar recense désormais 152 startups en cybersécurité, ce qui représente 18 startups de plus qu’en juin 2019, soit une croissance de 13%. Concernant leur taille, on constate une forte augmentation (73%) du nombre de « moyennes entreprises », alors que celui des « très petites entreprises » et « petites entreprises » reste stable, ce qui est un signe d’un début de solidification du marché. Au total, les startups représentent plus de 1400 salariés soit 17% de plus que l’an dernier, un chiffre en augmentation pour la 4ème année consécutive.

Au niveau de leur répartition géographique, le constat est assez similaire à 2019 : le bassin parisien reste le pôle principal (on y compte plus de 60% des sièges sociaux des startups du radar). Le pôle rennais arrive en seconde position et continue à gagner en volume pour atteindre 10% de représentativité. A noter que la région de Bordeaux arrive en troisième position avec 4% de startups.

Des créations de startups toujours prometteuses

Le radar compte 16 jeunes startups créées entre début 2019 et août 2020. Parmi ces startups, on peut observer que :

• Plus d’un quart se concentre sur des sujets de protection des données: Olvid, Protected, Pineapple Technology, BusterAI
• Près d’un autre quart sur l’aide à la gestion de vulnérabilités et des activités de sécurité opérationnelle: Patrowl, V6Protect, Purplemet.
• La protection des endpoints (Nucleon Security, Glimps) complète le podium des principales thématiques adressées par ces nouvelles startups.

A noter, l’apparition de la startup Malizen qui se positionne sur le threat hunting et l’aide aux investigations des équipes de réponse à incidents, sujet encore peu représenté dans l’écosystème. Le positionnement de Moabi sur l’aide à l’audit de sécurité des firmware (logiciel embarqué), est également intéressant en regard des enjeux autours de la sécurité des objets connectés.

Ces nouvelles startups tirent le plus souvent leur origine de l’identification d’un manque sur le marché par l’un des fondateurs lors d’une précédente expérience professionnelle. Toutefois, cette année deux structures, Malizen et CryptoNext sont issues de projets de recherche. Un chiffre, certes faible, mais intéressant en comparaison aux années précédentes, d’autant plus dans un contexte français où le monde de la recherche et celui de la cybersécurité restent encore trop dissociés.

Seulement 38% des startups françaises se positionnent sur des thématiques émergentes

Le rapport des startups à l’innovation reste stable par rapport aux années précédentes. 30% des startups sont disruptives et créent de nouvelles solutions de sécurité, 8% sécurisent des nouveaux usages (IoT, Cloud, etc.). Cependant la majorité (62%) de startups réinventent des solutions existantes en proposant des améliorations. Malgré l’absence d’innovation directe, ces startups peuvent connaitre un franc succès si elles font preuves d’agilité commerciale. L’exemple parfait est Egerie Software, qui a attaqué rapidement la question de la digitalisation de la méthode d’analyse des risques Ebios Risk Manager développée par l’ANSSI.

En termes d’innovation, nous pouvons particulièrement noter le domaine de la cryptographie, où les méthodes de chiffrement actuelles sont menacées par l’arrivée des ordinateurs quantiques. C’est justement le thème de la startup Cryptonext, qui s’engage à fournir des solutions de chiffrement robustes face à ces nouvelles menaces, et s’oriente dans la cryptographie post-quantique. De son côté, la startup Cosmian se concentre sur la tendance du « confidential computing », qui permet de chiffrer les données stockées dans le cloud grâce à un algorithme de chiffrement homomorphe, et ainsi utiliser des données chiffrées dans le cloud sans devoir confier la clé au fournisseur du service. La startup Scille, également, qui a introduit le concept CYOK (Create and Control Your Own Key) via sa solution Parsec, fait du poste utilisateur la seule entité de confiance qui génère automatiquement des clés de chiffrement.

Toujours au centre des préoccupations du RSSI, l’utilisateur se voit proposer de nouveaux moyens innovants de sensibilisation, la réalité augmentée chez Cyberzen par exemple, ou de nouvelles méthodes d’authentification, comme celle d’HIA Secure, qui est un concept d’authentification utilisant « l’intelligence humaine ». Plus précisément, l’utilisateur génère lui-même des codes à usage unique après avoir résolu des challenges consistant en une suite de symboles et de caractères.

Avec la généralisation du travail à distance pour tous les salariés, la crise sanitaire de la Covid-19 a également renforcé la nécessité de sécuriser les terminaux. De nouveaux clients de sécurité avancé (EDR) Français continuent d’émerger, comme celui de la startup Nucléon. Néanmoins, certains vont plus loin dans l’innovation et c’est le cas de la startup Glimps, créée par 4 anciens salariés de la DGA, qui essaye de révolutionner la détection et l’analyse des malwares en conceptualisant le code compilé, ce qui leur permet de s’affranchir des modifications induites par la compilation, l’architecture cible et ainsi détecter des menaces inconnues sur des systèmes non standards.

La majorité des entreprises souhaitent démocratiser l’utilisation des méthodologies agiles, alors que l’intégration de la sécurité dans ces processus reste un réel défi dans la plupart des cas. Intuitem essaye d’y remédier en fournissant l’outillage nécessaire pour suivre leur Agile Security Framewok.

Enfin, avec l’émergence des objets connectés, le besoin d’une plateforme IoT sécurisée est plus important que jamais, c’est ce que Tarides propose à travers sa solution OSMOSE.

Une évolution des startups qui montre une arrivée à maturité des  premières « scale-ups »

20 startups quittent le radar cette année, soit 6 de moins que l’an dernier. Parmi ces sortantes, 5 sont à croissance très rapide (dépassant les 35 employés en moins de 7 ans d’existence), 1 est due à un rachat. Cette continuité par rapport à l’année dernière démontre une capacité croissante de l’écosystème français à sortir des premiers niveaux de “scale-ups” dans le domaine de la cybersécurité, qui peuvent réussir à attirer les plus gros acquéreurs ou des fonds de taille plus importante. A ce titre nous lançons, en commun avec BPI France, un premier suivi non exhaustif de cette catégorie. Il s’agira de continuer à enrichir la liste des scale-ups par les prochaines startups qui quitteront le radar du fait d’une croissance très rapide.

Une proportion moindre de startups sort du fait de son ancienneté uniquement (20% cette année contre 37% en 2019). Nous constatons cette année de premières mises en pause de projets (20%, sans rapport avec la crise sanitaire) et pivots hors cybersécurité (20%).

Un écosystème en plein renouveau

L’international : de plus en plus une réalité pour les startups

La crise sanitaire ne semble pas avoir ébranlé la volonté d’internationalisation des startups : cette année, près de 63% du radar déclare avoir des clients à l’étranger contre la moitié l’an dernier. Également, 13% des startups réfléchissent à s’y lancer. La cybersécurité est effectivement un enjeu mondial et se tourner vers l’international peut s’avérer une opportunité pour les startups, avec des pays où leur marché est plus mature ou important qu’en France.

Concernant les cibles d’expansion des startups, 55% souhaitent s’étendre au-delà des marchés européens. Le marché américain est la cible privilégiée par un tiers des startups désirant s’internationaliser, et certaines pépites françaises comme Sqreen ou Alsid ont déjà pris cette direction.

Toutefois, il ne faut pas négliger le marché asiatique qui, même s’il a moins le vent en poupe (seulement 18% de startups intéressées), peut s’avérer prometteur. C’est un vaste marché, où il est nécessaire d’adopter une approche ciblée. En effet, il peut être intéressant de commencer par cibler les centres économiques de Hong-Kong et Singapour, réputées de bonnes passerelles entre l’Europe et l’Asie. Singapour est particulièrement dynamique sur le sujet de la cybersécurité avec un investisseur historique (SingTel) et des structures d’incubation largement mobilisées sur le sujet, telles que ICE71 ou l’antenne de l’incubateur anglais CylonLab. Mais Hong Kong n’est pas en reste, avec un nombre important de programmes d’accélération tels que Cyberport ou le DIP (Design Incubation Programme).

2019-2020 : l’année des initiatives à l’échelle nationale

L’écosystème français en cybersécurité est en plein renouveau. De nombreuses initiatives ont vu le jour entre 2019 et 2020.

Le Ministère des Armées a ainsi inauguré en octobre 2019 la « Cyberdéfense Factory ». Il s’agit d’un lieu d’innovation croisée entre le monde civil et le monde militaire. Basé à Rennes, ce lieu permet aux startups, aux PME et aux universitaires de travailler au contact des experts de la DGA et des opérationnels des armées sur les sujets de cybersécurité. Il permettra également l’accès pour les structures sélectionnées à certaines données issues du Ministère.

D’autre part, le Comité Stratégique de filière « Industries de sécurité » a vu son contrat stratégique signé avec l’état. Ce dernier comprendre une section dédiée à la cybersécurité dont l’objectif est de faire émerger le potentiel de la France en matière de cybersécurité en alignant et mobilisant les différents acteurs sur des politiques d’éducation, d’innovation et de développement technologique. Concrètement, il favorisera les relations entre le secteur privé et l’état, mais aussi des initiatives sur le volet de l’innovation. Des premiers résultats majeurs sont attendus sur 2021.

L’initiative des Grands Défis, issus des travaux de Cédric Villani sur l’intelligence artificielle, a vu la publication de sa feuille de route cybersécurité en Juillet de cette année. Disposant d’un budget de 30 millions d’euros, elle met en avant des thèmes clés comme l’automatisation de la cybersécurité, la sécurité des PME/ETI et de l’IoT. Un appel à candidature a été ouvert via BPI France, il clôture en 2021 également. La feuille de route met aussi en avant l’importance de l’amorçage en cybersécurité, poussant à la création d’une structure dédiée pour aider les entrepreneurs à se lancer et les accompagner au plus tôt.

Enfin, le projet de Campus Cyber a été validé au plus haut niveau de l’Etat. La création de ce lieu emblématique a pour ambition de réunir les forces vives de la cybersécurité française, évidemment pour mieux protéger notre pays et ses actifs stratégiques, mais aussi pour développer son économie et faire rayonner la France à l’étranger sur ce thème. Le sujet de l’innovation devrait y être largement représenté avec la présence de startups, d’espace de démonstration ou encore potentiellement d’initiatives d’accélération ou d’incubation en cybersécurité. L’ouverture est prévue dans le courant de l’année 2021.

Ici s’achève la première partie de notre analyse sur la dynamique de l’écosystème des startups cybersécurité en France. Le panorama des startups demeure constant, avec des startups nouvellement créées montrant déjà de belles promesses. D’autres, avec déjà plusieurs années d’activité à leur actif, n’ont cessé de croître, à tel point qu’il nous a été nécessaire de créer une nouvelle catégorie: les scale-ups. Cependant, cet écosystème fait face à deux nombreuses adversités, telles que la crise sanitaire actuelle et le ralentissement des échanges internationaux qui en découle. Nous verrons donc dans une seconde partie, quelles sont les évolutions nécessaires à cet écosystème startups.

Cet article Radar 2020 des startups cybersécurité françaises : notre analyse (1/2) est apparu en premier sur RiskInsight.

L’analyse de risque orientée sur la menace

Historiquement centrée sur l’identification et la protection des actifs les plus critiques des organisations, l’analyse de risque est en train de connaître une évolution importante en se recentrant sur la prise en compte des attaquants, de leurs moyens et de leurs motivations. Cette évolution permet une meilleure appropriation des résultats et une concrétisation plus claire des risques pour les métiers. En France, cette évolution se caractérise par la publication de la méthodologie EBIOS RM. Elle va requérir de mettre à jour les processus et de changer les habitudes pour en tirer pleinement partie.

La sécurisation des produits

Ce sera en particulier le cas dans le secteur manufacturier, du fait de la connexion d’objets existants (voitures, trains, électroménager, équipements industriels…) ou de la création de nouveaux objets connectés. Après l’apparition des filières dédiées à la sécurité des SI industriels pour protéger l’outil de production, les sentent le besoin de sécuriser les produits vendus à leurs clients.

Parfois car elles ont connu des attaques visant leurs produits, souvent car leurs clients exigent dans le cadre des appels d’offres un niveau de sécurité particulier voire une certification. L’initialisation d’une telle démarche passe par la création d’un nouveau poste, le « product security officer » dont le positionnement dans l’organigramme de l’organisation reste encore à stabiliser.

Le partage inter-communautés autour de la création de lieux Totem

Des projets sont en cours et devraient voir le jour en 2020 ou 2021, en France avec le CyberCampus, à New-York avec le projet CyberNYC ou encore au Royaume-Uni avec CyNam. Toutes ces initiatives visent à structurer l’écosystème public, privé, académique, et innovation afin de le faire foisonner et d’en tirer le meilleur parti.

Cloud, API, Gestion des identités : premières bases d’un modèle zero trust

Bien que la théorie ne soit pas nouvelle, le « Zéro-Trust » a le vent en poupe. Il vise à construire un modèle de sécurité permettant une approche de la sécurité sans frontière, s’appliquant à la fois sur les infrastructures de l’organisation mais aussi sur celles de ses fournisseurs et partenaires. Celle-ci s’appuie sur des standards permettant l’évaluation en temps-réel du niveau de sécurité et l’application de mesures adaptées au niveau de risque.

S’il ne pourra être mis en place avant plusieurs années, 2020 sera marqué par les premières études techniques sur le sujet. En effet, le modèle, théorisé depuis des années, peut maintenant être mis en œuvre grâce à des nouvelles solutions techniques. Même si tout n’est pas parfait, des renforcements peuvent être notamment envisagés sur les trois pans suivants :

• Utilisation des fonctions de sécurité dans le cloud : aujourd’hui par faute de compétences et de connaissance, les accès cloud bénéficient rarement des fonctions de sécurité avancées, pourtant proposées par les offreurs majeurs du cloud.
• Sécurisation des API : l’API-fication du SI nécessite d’embarquer by design les fonctions de sécurité dans les services exposés.
• Montée en maturité de la gestion des identités : condition sine qua non de la mise en place d’un tel modèle, les organisations doivent franchir un niveau de maturité dans la maîtrise des identités, notamment celles de leurs clients.

L’enjeu société grandissant

Devant la crainte de plus en plus forte du grand public, l’évolution des postures offensives des états, la multiplication des actes cybercriminels, l’attention des régulateurs et des organismes de notation financière, la cybersécurité devient véritablement un critère d’évaluation de la performance sociétale de l’organisation.

Toutes ces évolutions poussent à une prise en compte à haut niveau de la cybersécurité dans la stratégie de l’organisation !

Le RSSI peut être un acteur déterminant dans ce domaine et valoriser les efforts réalisés, pas uniquement pour protéger son organisation mais la valoriser auprès de ses clients et de la société au sens large. Cela peut se concrétiser par la réalisation de séances de sensibilisation auprès des clients, par un appui opérationnel auprès de ses fournisseurs TPE/PME, par la participation à des initiatives nationales comme le mois de la sécurité. Toutes ces initiatives pourront ensuite être valorisées positivement dans la communication de l’organisation, en particulier pourquoi pas dans son rapport annuel.

L’analyse menée sur 260 rapports annuels à l’échelle internationale en 2019 [4] montre que les efforts de communication ont commencé mais qu’ils peuvent être encore améliorés.

La sécurité de l’intelligence artificielle

Les projets métiers se multiplient mais la mise en place de mesures de sécurité spécifiques au machine learning reste encore confidentielle. Les premières vulnérabilités sont pourtant clairement démontrées, que ce soit pour empoisonner une IA, lui soutirer des informations ou encore lui faire reconnaître certaines choses pour d’autres.

Pour éviter de construire un futur trop risqué, il va être important pour les filières SSI d’aller à la rencontre des équipes innovation, data science ou encore fraude, pour évoquer avec elles comment elles envisagent la résistance de leurs systèmes à une attaque cyber. Des solutions existent pour contrer ces vulnérabilités, des plus simples (liste blanche, liste noire…) aux plus complexes, en passant par l’utilisation de moteur d’IA détectant les tentatives de déviation des modèles.

Le confidential computing

Véritable graal de la cybersécurité, derrière ce terme se cache l’ensemble des technologies permettant d’exécuter des traitements dans des environnements non maîtrisés mais de manière sécurisée. La technologie la plus prometteuse restant le chiffrement homomorphique qui permet la réalisation de traitements directement sur des données chiffrées, sans avoir à les déchiffrer !

Moins ambitieux mais fonctionnant déjà aujourd’hui, l’utilisation d’enclaves sécurisées permet de réduire certains risques de fuite. De manière générale, ces solutions permettront de lever de nombreux freins dans les migrations vers le cloud. Le marché se structure avec la création récente du « Confidential Computing Consortium », des annonces récentes de Microsoft dans Azure ou encore l’arrivée de la startup française Cosmian.

Cet article Radar du RSSI (3/3) – Quelles tendances anticiper en 2020 et au-delà ? est apparu en premier sur RiskInsight.

Repenser sa gouvernance pour la rationaliser

Certes, le RSSI se doit de définir une stratégie cybersécurité claire et lisible lui permettant de cibler ses priorités voire de présenter une évaluation de leur efficacité. Le modèle de gouvernance actuel est-il performant ? Est-il adapté au contexte actuel et à venir ? Après plusieurs années d’investissements majeurs, comment optimiser les activités du quotidien (le run) SSI ?

Aujourd’hui, bon nombre de RSSI, ou leur hiérarchie, remettent en question les organisations cybersécurité en place. De nombreuses questions se posent notamment au sein des grands groupes où les rôles et responsabilités sont répartis entre plusieurs entités :

Comment gérer l’ensemble des entités et s’assurer que les actions sont déployées sur le terrain ? Quelle hiérarchie, quelle entité de rattachement (DSI, sureté, risque…) et quel reporting direct pour la cybersécurité au niveau du groupe ? Quelle démarche de contrôle instaurer en fonction des différents rattachements des équipes sécurité (en particulier dans le monde de la finance avec le concept de lignes de défense) ? Quel système d’information créer dans la filière cybersécurité pour rendre les actions lisibles et correctement suivies ?

Autant de questions qui militent pour une refonte de la gouvernance, parfois totale.

Par ailleurs, en 2020, l’agence nationale de cybersécurité française devrait publier une mise à jour de son référentiel de métier et de nombreuses organisations commencent à réfléchir à la structuration de filières RH spécifiques. Ceci permet d’organiser clairement les rôles et responsabilités, d’identifier les profils à recruter mais surtout à créer des parcours professionnels diversifiés et ainsi à attirer et retenir les meilleurs profils au sein de l’organisation.

Démontrer l’efficacité des actions

Aujourd’hui, démontrer l’efficacité des actions menées et des mesures de sécurité mises en place au travers d’indicateurs concrets de couverture des risques, impactants et compréhensibles par tous reste un défi pour le RSSI. Et pourtant, ces indicateurs sont cruciaux pour négocier les budgets !

La justification des engagements budgétaires réalisés (notamment dans certains secteurs comme la finance ou 2020 sera une année de rationalisation) est de plus en plus nécessaire.

Traiter le risque cyber sous le prisme financier, comme tous les autres risques de l’organisation, permettra de le rendre parlant pour les décideurs. Ainsi, la quantification des risques, même si elle est encore au stade embryonnaire, se développe au travers de nouvelles pistes. C’est notamment le cas avec la méthodologie développée par Christine Lagarde qui s’applique au secteur bancaire, la méthodologie FAIR.

Sur le marché, la startup Citalid propose une solution maillant méthodologie FAIR et threat intelligence, dans le but, à terme, d’industrialiser la quantification des risques au niveau de l’organisation. Plusieurs prérequis sont nécessaires à son utilisation (une cartographie des risques, un référentiel des mesures en place, des abaques de coûts, la mobilisation des métiers…) mais les résultats sont parlants pour mobiliser à haut niveau.

Industrialiser l’approche des sujets agiles

Sujet déjà mentionné dans notre radar du RSSI pour 2019 : les grandes organisations ont démarré, certaines à marche forcée, des migrations vers un fonctionnement agile à grande échelle.

Une première étape a été remplie pour beaucoup : l’intégration de la sécurité dans les projets agiles par le biais d’Evil User Stories, de formation des équipes à la sécurité, de mise en œuvre d’outils d’intégration continue et d’intégration de tests d’intrusion dans le cycle de développement.

Pour autant, très peu d’organisations ont véritablement pris le parti d’intégrer la cybersécurité au nouveau modèle opérationnel agile. Afin de franchir le pas, les équipes cybersécurité doivent revoir en profondeur leur modèle de fonctionnement pour s’adapter aux nouvelles méthodes de delivery et garantir un bon niveau de sécurité dans les produits. Cela implique de restructurer leur approche d’intégration de la sécurité en adoptant une démarche de réduction incrémentale du risque. L’objectif étant que les squad soient suffisamment matures et compétentes en matière de cybersécurité pour être autonomes dans leur gestion des risques.

Mais dans une période intermédiaire, la présence d’experts sécurité dans une posture de service et d’accompagnement est un facteur de réussite pour faciliter la prise en compte de la sécurité dans les cycles de développement agile et assurer une montée en compétences. Pour initier le modèle, il est judicieux de le tester sur quelques pilotes afin de l’adapter, si nécessaire, avant de le généraliser au sein de l’organisation.

Internationaliser et rationaliser son approche sur la réglementation

Les règlementations (RGPD / CCPA, les règlementations sectorielles, mais aussi en particulier la directive NIS en 2020) s’appliquent de manière hétérogène entre les différentes entités d’un groupe. Avoir une vision unifiée de ses obligations reste un graal notamment pour les groupes internationaux.

Un travail important de prise de recul, de comparaison et de coordination doit être mené afin d’optimiser et réduire les coûts de mise en conformité, et afin de la rendre pérenne sans trop d’efforts.

Pour faciliter ce travail, il est préconisé de créer un poste de coordinateur régulation : il viendra cartographier les différentes règlementations qui s’appliquent à son organisation et à ses filiales à l’échelle globale (pour NIS, il anticipera une potentielle future nomination en fonction de l’approche de chaque pays), il définira une stratégie de mise en conformité en fonction du niveau d’imbrication et de maillage du SI global de l’organisation avec celui de ses entités internationales (mise en conformité par SI / par état ou mise en conformité globale), il viendra ensuite assister dans la construction d’une roadmap globale de mise en conformité (synthèse des écarts vis-à-vis des règlementations, définition d’une cible d’applicabilité, structuration des travaux et mise en cohérence).

Et surtout, il jouera le rôle d’expert dans les échanges avec les régulateurs lors des contrôles et sa pertinence pourra également lui permettre d’entrer en discussion avec eux pour faire évoluer les exigences de manière rationnelle et efficace.

Mobilier sur la cyber-résilience, au-delà de la filière cybersécurité

La démultiplication des attaques cyber en 2019 a continué à assoir la prise de conscience des directions générales sur le sujet de la cybersécurité. Cette prise de conscience salutaire a initié une vague de projets de cyber-résilience en 2019 qui sera amenée à se prolonger en 2020.

Cependant, viser à être cyber-résilient dans l’absolu n’est pas nécessairement efficace. Il est important de cibler les chaînes métiers critiques et d’évaluer leur sécurisation au regard d’attaques bien identifiées. Pour ce faire, la mobilisation devra être plus large que les équipes cybersécurité : les fonctions liées à la continuité d’activité, les métiers ou encore la direction générale de l’organisation sont des acteurs essentiels au succès de cette démarche.

Le RSSI devra intervenir sur des sujets clés comme la sélection des attaquants qui seraient le plus probablement amenés à cibler l’organisation (sur la base des secteurs dans lesquels ils sévissent, de leurs motivations, de leur niveau de technicité, etc. – par exemple FIN6 pour les ransomwares, Cobalt group’s pour la fraude, DeepPanda pour le vol de données, etc.) et l’adaptation concrète de la stratégie de protection et de détection.

Cette approche peut s’appuyer de manière efficace sur le référentiel MITRE ATT&CK qui permet de cartographier les chemins d’attaques utilisés par les attaquants sélectionnés, challenger les mesures de sécurisation en place, et identifier des potentiels trous dans la raquette.

Deux point clés que tout le marché prendra en compte l’an prochain :

• La sauvegarde des sauvegardes : quasiment toutes les organisations victimes d’attaque cyber ont été confrontées au même problème : les systèmes de sauvegardes étaient touchés et leur remise en état a entraîné de nombreux jours de cessation d’activité. La sauvegarde du système de sauvegarde a été oubliée.
• Le durcissement de l’Active Directory : cible majeure des attaques que nous avons traitées sur 2019, l’active directory doit voir ses fondamentaux repensés et de nombreux projets de reconstruction dans les règles de l’art et de surveillance ad-hoc sont planifiés ou devront l’être en 2020.

Parallèlement à cela, l’entraînement des équipes est plus que jamais nécessaire. Les exercices de crise vont continuer de se complexifier afin d’exercer les équipes au plus proche de la réalité.

Certains réfléchissent à les combiner avec une approche cyber range, permettant de simuler réellement une crise technique sur une infrastructure temporaire dupliquant les systèmes et les données de l’organisation en vase clos pour y jouer des attaques et s’entrainer à les défendre.

Gestion des vulnérabilités : industrialiser pour démultiplier

Le décalage entre le volume de vulnérabilités identifiées (via des scanners automatisés, audits, pentests, etc.) et leur traitement (pour la plupart artisanal) est devenu un point de souffrance majeur et présente ainsi de risque pour la filière. Les rapports s’empilent mais la situation ne s’améliore pas : encore 57% des 250 sites webs audités par Wavestone en 2019 présentent une faille majeure, un chiffre stable sur les 3 dernières années.

Pour en sortir, il y aura un véritable besoin en 2020 d’uniformiser et d’apporter de la cohérence entre ces différentes sources de vulnérabilités, les agréger entre elles pour consolider une liste d’actions claire à mener et ainsi les prioriser, identifier les porteurs, traiter les actions puis les retester. Pour passer à l’échelle, un outillage sera nécessaire, les plateformes de GRC classiques peuvent y répondre mais des solutions plus adaptées sont en passe de voir le jour, comme par exemple celle de la startup Hackuity

SOC & Fusion Center : intégrer davantage l’étude de la menace

Sur les 40 incidents majeurs gérés par le CERT-Wavestone l’année dernière, seulement 26% des incidents de sécurité ont été identifiés par le service de détection cyber de l’organisation (le SOC dans la plupart des cas).

Dans 44% des cas, ce sont les collaborateurs qui ont alerté directement, souvent trop tard. Ces chiffres et les différents retours marché que nous observons témoignent du besoin de montée en maturité des SOC. Ainsi, plus qu’une tendance forte pour 2020, élever le niveau de jeu des SOC en intégrant davantage l’étude de la menace et une meilleure automatisation est absolument nécessaire.

Pour les plus matures, il conviendra de prendre du recul sur la chaîne cybersécurité pour apporter du liant entre la détection et les autres maillons de la chaîne : l’évaluation (via une red team par exemple), l’exercice de crise et la réponse à incident. Par exemple, monter une « purple team », combinant des équipes d’attaque (red) et de défense (blue), permettra de stimuler un SOC et de le faire progresser sur des cas très concrets en exercice de crise.

Le SOC pourra également muter pour devenir un lieu unique de surveillance sécurité de l’organisation : le Fusion Center, que les plus en avance commencent à construire, en y intégrant les logiques de lutte contre la fraude, de sécurité physique ou encore d’analyse de la menace.

Extended Company & Third Party Management

La grande majorité des autorités cyber dans le monde considère les attaques indirectes comme l’une des grandes tendances en matière de menace. Aussi, parce que la compromission d’un seul intermédiaire peut parfois suffire à pénétrer le SI de plusieurs organisations, le retour sur investissement pour l’attaquant est démultiplié, et ainsi, ce type d’attaque sera certainement encore en hausse pour l’année à venir.

Du côté des organisations, la gestion de son écosystème reste sujet complexe à traiter à la vue du nombre de tiers, de leur maillage, et du manque de visibilité sur le SI au global. Jusqu’à aujourd’hui, la gestion des tiers se fait souvent via l’envoi de PAS (Plan d’Assurance Sécurité) et la mise à jour des contrats mais cela consomme beaucoup de ressources au sein des organisations et est trop souvent inefficace (65% des organisations déclarent que leur processus ne sont pas efficaces d’après une étude Ponemon de 2019).

Le grand enjeu pour l’année 2020 sera de professionnaliser l’approche. Ainsi, les solutions de gestion de tiers comme celle de CyberGRX, Risk Ledger ou encore CyberVadis proposent d’industrialiser l’approche. Si elles ne vont certainement pas assez loin pour les tiers les plus critiques, leur approche est pertinente pour une grande majorité d’entre eux. En complément, des solutions émergent afin de vérifier le niveau de sécurité des logiciels fournis par des tiers.

C’est notamment le cas de la solution de la startup Moabi qui propose de vérifier le niveau de sécurité réellement implémenté dans les solutions des logiciels embarqués, les véhicules connectés et l’IoT. Enfin, même s’il est imparfait (car basé sur l’analyse de paramètres externes : sécurité du DNS, configuration du site web, etc.), l’usage d’agence de notation cyber va continuer à se renforcer. Il convient pour le RSSI de mettre de la cohérence dans l’ensemble de ce dispositif pour avoir une vision consolidée de son niveau de risque, et ensuite de pouvoir travailler main dans la main avec les principaux acteurs. Et pour les plus faibles, probablement les accompagner dans la montée en compétences.

A noter que même les fournisseurs de services et de solution sécurité sont concernés par ces mouvements. Le dynamisme du marché (création de nombreuses start-ups dans le domaine, de nombreux rachats ou partenariats, notamment par des entreprises Américaines ou Israéliennes…) peut remettre en cause rapidement certaines orientations et décisions.

Le dernier article de la série sera l’occasion de présenter les tendances d’avenir de la filière cybersécurité.

Cet article Radar du RSSI (2/3) – Quels chantiers majeurs lancer en 2020 ? est apparu en premier sur RiskInsight.

Présentation du radar du RSSI – édition 2020

Tout d’abord, les cybercriminels apparaissent plus que jamais en position de force : le nombre et l’impact des cyberattaques se sont encore accrus. Pour autant, le retour terrain du CERT-Wavestone démontre que la majorité des cyber-attaquants sont opportunistes (65%): ils ne visent aucune organisation en particulier, ne déploient pas d’attaques d’un haut niveau de technicité, mais cherchent et abusent de systèmes peu protégés et ainsi facilement attaquables. Ainsi une large majorité des attaques pourrait donc être évitée si les fondamentaux en matière de cybersécurité étaient respectés. 2020 sera d’autant plus complexe qu’elle verra l’émergence ou l’arrivée à maturité de nouvelles technologies et donc de nouveaux risques comme le cloud, l’IoT ou la 5G.

Enfin, plus challengeant encore, la sécurisation de la transformation devra s’accentuer dans un contexte de réduction des coûts. L’année 2019 a été marquée par la fin d’un cycle de forts investissements initié en 2017 après les attaques Wannacry et NotPetya. Dans un contexte de réduction des coûts IT dans de nombreux secteurs, il sera demandé au RSSI en 2020 de défendre l’efficacité de ses actions et de rationaliser le fonctionnement de sa filière.

Face à ce paradoxe d’une rationalisation à marche forcée dans un contexte d’augmentation de la menace, le RSSI doit faire évoluer sa posture et une des clés pour y arriver sera d’adopter une stratégie basée sur l’attaquant. L’objectif ? Placer son énergie aux bons endroits, ceux les plus ciblés par les cybercriminels dans son organisation ! Cette approche permet de prioriser efficacement l’ensemble des chantiers clés : hygiène de base, cyber-résilience, analyses de risque, détection, etc. Cette approche orientée attaquant, concrète et efficace, est également la clé pour convaincre la direction générale d’agir.

Méthodologie

Le radar du RSSI est un outil développé par le cabinet Wavestone depuis 2011. Plus de 40 experts se réunissent 3 fois par an pour discuter des actualités et des sujets clés, basés sur ce que nous avons observé chez les clients que nous accompagnons.

Le radar du RSSI présente chaque année une large sélection de sujets qu’un RSSI est amené à manipuler dans son activité. Il est constitué de plus de 120 sujets explorés et décortiqués par nos experts.

Il est organisé en cadrans délimitant des thématiques clés (identité, protection, détection, gestion des risques, conformité, continuité) sur 3 niveaux : mature, actualité et émergent. Le niveau « mature » correspond aux sujets que chaque RSSI peut et doit maîtriser. Le niveau « actualité » contient les sujets qui commencent à être adressés : il s’agit de sujets nouveaux où les premiers retours d’expérience peuvent être partagés. Le niveau « émergent » contient les sujets à venir, encore peu connus ou pour lesquels il n’existe pas de solutions évidentes. Ces sujets sont identifiés pour anticiper au mieux les évolutions futures et se préparer à leur arrivée dans les organisations.

Les deux prochains articles de la série seront l’occasion de présenter à la fois les chantiers majeurs à lancer durant l’année et les tendances pour l’avenir de la filière cybersécurité.

Cet article Radar du RSSI (1/3) – RSSI, changez de posture, pensez attaquant ! est apparu en premier sur RiskInsight.

L’intelligence artificielle est un sujet à la mode et la cybersécurité fait partie des cas d’usages phare de développement. Est-ce aussi le cas pour les startups françaises en cybersécurité ? Qu’en est-il de son utilisation ? Quelles sont les tendances du marché concernant cette technologie ?

« Intelligence Artificielle », « Machine Learning », « Deep Learning » : trois termes trop souvent confondus

Avant de rentrer dans le vif du sujet, commençons par clarifier le vocabulaire qui sera employé dans la suite de l’article :

• Intelligence Artificielle: ensemble des techniques mises en œuvre pour que des machines simulent l’intelligence ;
• Machine Learning: technique reposant sur des modèles statistiques qui permettent à l’ordinateur « d’apprendre » à partir d’un grand nombre de données ;
• Deep Learning: méthode de Machine Learning basée sur un réseau de neurones profonds. D’autres méthodes existent : Support Vector Machines, Random Forests, K-Nearest Neighbors, …

La confusion entre ces trois termes est fréquente. Bien souvent l’utilisation du terme « Intelligence Artificielle » en cybersécurité désigne l’utilisation du Machine Learning, sous toutes ses formes.

La cybersécurité, un terreau fertile pour les technologies de Machine Learning

Sur les 134 startups recensées dans notre radar 2019 des startups françaises en cybersécurité, 19% proposent des solutions basées sur du Machine Learning. Interrogées, 70% de ces startups déclarent que développer ce type de technologie dans leurs solutions fait partie de leur stratégie.

De plus, l’utilisation du Machine Learning dans certains domaines de la cybersécurité devient quasi incontournable et la majorité des startups de ces domaines envisagent de baser les futures évolutions de leur solution sur cette technologie.

Le Machine Learning en cybersécurité est en pleine progression et son utilisation, déjà implanté dans l’écosystème des startups françaises, démontre une forte volonté d’innovation du marché. On pressent que ce rythme d’adoption va continuer à s’accélérer dans les années à venir, la même « photo » de l’état des lieux dans un an devrait le prouver.

Le Machine Learning utilisé dans un but d’amélioration de performances

Les startups qui ont choisi d’utiliser le Machine Learning le font principalement afin de :

• Obtenir des temps de réponses courts: réduire le temps de réponse de la prise de décision en utilisation nominale. En effet, dans certains cas où le nombre de données est particulièrement important, il faudrait des mois à un algorithme n’utilisant pas de Machine Learning pour fournir un résultat ;
• Améliorer la fiabilité des détections: réduire le nombre d’erreurs, c’est-à-dire diminuer le taux de faux positif et faux négatifs. Les solutions anti-phishing sont une bonne illustration car celles reposant sur du Machine Learning filtrent avec moins d’erreur qu’une solution dite « classique ».

Une adoption hétérogène selon le thème du radar…

L’adoption du Machine Learning varie de manière importante d’une thématique du radar à l’autre. Les thématiques où l’utilisation du Machine Learning est la plus répandue sont : « Application Security », « Endpoint », « Industrial Security » et « Web Security ». On note également quelques cas d’usages particuliers dans d’autres thèmes du radar tel DPO Consulting utilisant du Machine Learning pour aider à la prise de décisions dans le cas d’une évaluation des risques.

…expliqué par la nature même du Machine Learning.

Le Machine Learning nécessite un certain nombre de prérequis et de conditions pour fonctionner efficacement. Toute la performance des modèles de Machine Learning repose sur la phase d’entrainement où le modèle « apprend » grâce aux données qu’on lui fournit. Ces données, que nous allons illustrer par le cas d’une solution anti-phishing pour boite mail, doivent être :

• Pertinentes: c’est-à-dire porteuses d’informations utiles. Dans notre exemple de solution anti-phishing, une information utile est par exemple la présence de certains mots souvent utilisés dans des mails de phishing ; une image ou la taille du fichier mail sont moins utiles ;
• En nombre suffisant: ce nombre varie selon le cas d’usage et le niveau de précision souhaité. Dans notre exemple de solution anti-phishing, il faudrait probablement entrainer l’algorithme avec quelques dizaines de milliers de mails ;
• Variées: si possible de sources différentes pour plus de résilience de l’algorithme. Dans notre exemple de solution anti-phishing, il serait bon que la base de données d’entrainement contienne des mails issus de différentes campagnes de phishing, reçus par différents entreprises/particuliers, des mails ciblés ou non…, et qu’elle puisse traiter à la fois le contenu du mail mais également les headers, etc. ;
• Représentatives : c’est-à-dire ne pas introduire de biais et être à jour. Dans notre exemple de solution anti-phishing, il convient par exemple de ré-entrainer régulièrement le modèle afin de prendre en compte les dernières tendances en matière de phishing.

Schéma de fonctionnement d’une solution basée sur du Machine Learning

Dans les domaines où le Machine Learning est le plus utilisé, il s’avère que ces conditions sont plus facilement réunies. En effet, les données nécessaires à l’entrainement sont souvent déjà disponibles dans les équipements en place (log applicatifs, log système, log réseau, alerte anti-virus, …), voire déjà consolidées dans des équipements de sécurité centraux (SIEM, Data Lake…).

« Intelligence Artificielle » : Gare à l’effet de mode !

Si le Machine Learning offre de nouvelles possibilités permettant de grandement améliorer les capacités cybersécurité des entreprises, cette technologie n’est pas en soi une solution miracle. Il est important de bien comprendre ces algorithmes et de garder certains points d’attention en tête avant de se lancer dans l’acquisition d’une telle solution.

Tout d’abord, comme la phase d’entrainement est clé pour la performance du Machine Learning, il faut s’interroger sur sa capacité à fournir à la solution les données nécessaires et suffisantes pour l’apprentissage. Le principal frein remonté par les startups proposant des solutions entrainées avec des données clients est d’ailleurs la difficulté d’obtenir des données en qualité et quantité suffisante pour faire tourner leur solution.

Il est également important de réussir à lire au-delà du discours commercial pour comprendre l’apport réel du Machine Learning à la solution, au risque de payer plus cher un outil qui ne serait pas forcément justifié. Et surtout, il faut être conscient que le Machine Learning ne signifie pas ne plus avoir de risques. Ces solutions, comme toute solution de sécurité, répondent à un cas d’usage précis et viennent compléter un ensemble de mesures de sécurité.

Cette mise en garde nous semble nécessaire même si nous avons constaté une utilisation pertinente et justifiée de ces technologies par les startups françaises en cybersécurité dans le cadre de notre analyse.

Cet article L’utilisation du Machine Learning par les startups françaises dans le domaine de la cybersécurité est apparu en premier sur RiskInsight.

Des challenges qui freinent la progression des start-ups

Les échanges réalisés avec les équipes de startups présentes dans le radar permettent d’identifier des challenges concrets qui pour certains sont ambitieux à relever.

Les startups ont du mal à recruter des profils adéquats

A l’instar de l’ensemble du marché, les startups cyber sont confrontées à une pénurie de main d’œuvre spécialisée. Les jeunes diplômés ne sont pas suffisamment formés à la cybersécurité dans les écoles françaises pour alimenter les effectifs ou être à l’initiative de création de startups. Cet état de fait, partagé par l’intégralité du marché en cybersécurité, est encore plus prégnant pour les startups qui ne peuvent pas souvent suivre la course salariale qui s’en suit.

Des fondateurs de startups peu enclins à la prise de risque

66% des fondateurs ont déjà expérimenté une création d’entreprise, mais rarement plusieurs alors que la moyenne d’âge de ces entrepreneurs dépasse les 40 ans. Le profil des fondateurs révèle plutôt des experts que des serial entrepreneurs audacieux. Si on peut saluer la ténacité de certaines startups, il faut souligner la peur de l’échec qui est un problème récurrent en France et qui n’a pas lieu d’être à l’échelle international. Par exemple, un entrepreneur de la Silicon Valley ou israélien ne sera vraiment considéré qu’après plusieurs échecs de création d’entreprise.

Une stratégie marketing carencée…

Les équipes des startups sont davantage composées de profils techniques et spécialisés sécurité que commerciaux. Il en résulte une difficulté des startuppers à rendre leur offre commerciale attirante auprès des prospects. Des efforts sont à faire sur le volet marketing, aussi bien au niveau du produit que du discours. A titre d’exemple, les incubateurs anglo-saxons déploient des programmes d’accélération business élaborés, comme l’incubateur londonien Cylon dédié à la cybersécurité qui forme à « pitcher » efficacement sa startup auprès de potentiels investisseurs, clients et partenaires. Les startups en récoltent les fruits et sont réputées pour leur force commerciale outre-Manche et outre-Atlantique.

…qui se répercute sur les ventes

Les startups françaises ne rencontrent pas de problèmes liés à leur phase de création, mais ont en revanche du mal à faire connaître leurs solutions et à vendre à court et moyen terme. Seul 15% des startups contactées nous a confirmé faire plus de 500 000 euros de chiffre d’affaires. Parmi ces startups, deux tiers ont déjà entre 4 et 7 années d’existence sur le marché de la cybersécurité.

Comment concrétiser cette transformation

Pour les startups, apprendre à se vendre

Les startups doivent proposer des solutions sur étagère et ainsi atteindre un plus grand nombre de clients avec des coûts optimums. Pour ce faire, il est nécessaire que les fondateurs identifient et valorisent une proposition unique de vente plutôt qu’un segment de marché.

Un axe clé pour eux serait de se positionner sur des problématiques non résolues par les solutions traditionnelles. En effet, les grands groupes sont plus enclins à collaborer avec les startups lorsqu’elles adressent des problèmes pour lesquels aucune solution n’existe sur le marché. La startup Alsid, qui se distingue par son premier rang dans notre classement des levées de fonds, est un bel exemple puisqu’elle traite une problématique pour laquelle aucune solution n’existait auparavant : le monitoring de la sécurité d’Active Directory.

Savoir présenter un pitch clair et attirant se concentrant sur les différentiateurs est un axe d’amélioration clé du développement des start-ups. En effet, c’est une étape cruciale dans la relation avec les investisseurs, les partenaires et les clients afin de les convaincre de la valeur ajoutée de la solution.

Un autre élément à envisager est de penser au design et à l’expérience utilisateur dès la création de la solution. Dans un marché où ces critères ne sont pas forcément pris en compte par les concurrents, cela peut représenter un vrai atout. Exemple singulier sur le marché, la startup israélienne Cybereason l’a bien compris et a engagé un VP Créative & Head of Design pour imaginer le design de ses produits parallèlement à la construction des fonctionnalités.

Pour finir, les startups ne doivent pas hésiter à réfléchir international dès leur lancement (langue de travail, documentation des codes sources, rédaction des documents produits…) afin de ne pas alourdir inutilement l’effort, déjà conséquent à fournir sur le plan commercial, pour accéder à des marchés plus matures et pouvoir ainsi accélérer le passage à l’échelle.

Pour le marché

Les avantages liés à l’incubation sont nombreux pour les startups (regard extérieur, service à prix réduit, proximité avec d’autres…), mais en même temps la cybersécurité est un domaine avec des besoins spécifiques (confidentialité, expertise scientifique, protection physique…). Ces raisons font que peu de startups en cyber trouvent leur place efficacement dans un incubateur standard. Cela exacerbe le besoin d’un incubateur spécialisé cybersécurité. De plus cet incubateur pourrait devenir un totem de l’innovation cyber « à la française » et un lieu d’accueil des investisseurs et des grands clients. La France réfléchit à se doter d’un hub dédié à la cybersécurité et les premières propositions seront remises à Matignon d’ici la fin du mois de novembre. Il faut espérer que ce lieu proposera réellement un environnement propice au développement des startups, ainsi que des services d’accompagnement qui ne soient pas seulement liés à de l’aide à la recherche.

Enfin, il serait pertinent de favoriser la création de startups par d’anciens membres de la cyberdéfense des Armées ou de l’ANSSI. En effet, leur réseau et leur expertise professionnelle acquis en début de carrière sont des facteurs de succès dans l’écosystème cyber, comme l’ont prouvé les ex-collaborateurs de l’ANSSI et désormais fondateurs des startups Alsid et Citalid.

Pour les clients

Afin de permettre le développement de l’écosystème, les clients doivent accepter la prise de risque. Ils ont pour l’instant des difficultés à faire confiance et à contractualiser rapidement avec de jeunes structures innovantes. Pour un quart des startups interrogées, le temps de signature du contrat après la réalisation du POC est supérieur à 6 mois, et cette observation est particulièrement prégnante chez les grands groupes. Ces derniers peuvent s’inspirer des grandes entreprises israéliennes qui se tournent très vite vers les startups lorsqu’elles identifient des problèmes pour lesquels le marché traditionnel n’offre pas de solutions en acceptant les risques mais en négociant également des tarifs très attractifs pour le futur.

On pourrait également envisager la création d’un accompagnement à la prise de risque de la part de l’Etat afin d’encourager la collaboration des grands groupes avec les startups. En restant sur l’exemple israélien, l’Etat a créé une agence indépendante qui sélectionne des projets innovants pour lesquels à chaque Shekel investi par le secteur privé, l’Etat investit un Shekel sans contrepartie.

2019 a montré une vraie embellie dans l’innovation cybersécurité en France. Pour que l’écosystème continue sur sa lancée et concrétise son passage à l’échelle, les axes d’améliorations évoqués se doivent d’être accompagnés par un changement d’état d’esprit de l’écosystème, qui demeure pour l’instant trop fermé. Avec la collaboration des différents acteurs, il n’y a nul doute que la dynamique amorcée se confirmera. Les grands projets entamés à l’échelle de l’état, en particulier le Campus cyber, sont une opportunité unique pour transformer notre écosystème. Mobilisons-nous tous pour que cela devienne une réalité !

Cet article Radar des startups 2019 : Quels leviers de développement ? est apparu en premier sur RiskInsight.

+18% de croissance en nombre de startups depuis janvier 2018

Notre radar recense désormais 134 startups cybersécurité, ce qui représente 25 startups de plus qu’en janvier 2018. Il est intéressant de remarquer que leur taille évolue également de manière positive : si les « très petites entreprises » restent majoritaires, le nombre de « petites entreprises » a augmenté de près de 56%. Au total, les startups représentent plus de 1200 emplois, soit 9% de plus que l’année précédente, et ce pour la 3^ème année consécutive !

Concernant les sorties, 27 startups ont quitté notre radar, soit seulement 4 de plus que l’année dernière. Parmi ces dernières, 37% sortent du radar à cause de leur ancienneté (>7ans d’existence) et sans pour autant dépasser le critère de la taille limite (<35 employés), ce qui est un signe de difficultés de croissance ou bien simplement d’un manque de volonté de croissance et de prise de risque par les fondateurs. Ce manque de prise de risque est appuyé par un faible taux de liquidation (30%). Cependant nous constatons cette année que les cas de croissance rapide (dépassant les 35 employés avant d’atteindre les 7 ans d’existence) sont plus nombreux (18%) et observons même les premiers rachats (15%), ce qui témoigne d’une attractivité plus forte des ces acteurs.

Au niveau géographique, peu de surprises par rapport aux années précédentes, avec un centre névralgique positionné sur le bassin parisien. L’écosystème reste néanmoins bien réparti avec des présences régionales issues des différents incubateurs. En particulier le pôle Rennais gagne en importance avec les nombreux investissements réalisés par le ministère des armées qui souhaite y créer un véritable deuxième pôle d’expertise en France sur les sujets cybersécurité, comme le montre la présence de l’activité cybersécurité de la DGA sur son campus de Bruz.

Des signes particulièrement positifs pour la transformation de l’écosystème qui s’observent chez les clients …

Identifié l’année dernière comme un axe essentiel au développement de l’écosystème, le financement des POC par les entreprises devient une pratique de plus en plus répandue puisqu’elle concerne 67% des startups que nous avons interrogées. Cette démocratisation est un signe particulièrement positif pour l’écosystème, car en plus de supprimer cet investissement initial pour les startups, cela montre que les grands groupes évoluent et font confiance à nos pépites françaises.

… du marché …

On ne peut que saluer l’ampleur prise par les levées de fonds cette année. Au niveau de notre radar, le total est 4 fois supérieur à celui de 2017 et pas moins de 6 startups ont levé des montants supérieurs à 10 millions d’euros. Il est également intéressant de mentionner la structure française Vade Secure qui a levé 70 millions d’euros via le fond américain General Catalyst, et la startup franco-américaine Dashlane qui a levé 110 millions de dollars. Cette ampleur est le résultat d’un début de démystification de l’écosystème qui permet aux investisseurs d’être moins frileux sur le sujet. Une autre preuve de cette confiance est la création d’un fonds d’investissement dédié, Brienne III. Cette structure qui a déjà réalisé un premier closing de 80 millions va permettre de continuer à rassurer les investisseurs et contribuer à l’évangélisation de l’écosystème.

Nous observons aussi les premiers « exits » des startups françaises. Ils concernent 4 startups de notre radar cette année, dont notamment Trustelem acquise en juillet par Wallix, Sentryo qui est en négociation avancée avec Cisco pour une intégration d’ici le premier trimestre 2020, et Madumbo qui a été rachetée par l’éditeur franco-américain Datadog. Ils sont une preuve que ces startups françaises sont de plus en plus différenciantes, ce qui les rend plus attractives. En revanche, ces exits sont très souvent portés par des structures étrangères et dans la majorité des cas, ils entraînent la délocalisation des centres de décisions et de R&D de ces startups, ce qui reste dommageable pour l’entretien du dynamisme de l’écosystème et la souveraineté technologique en France.

Autre signe positif de l’évolution du marché, on observe également l’ouverture de la Défense, notamment avec la fondation de l’« Innovation Défense Lab » qui sera accueilli au sein du « Starbust Accelerator » et qui favorisera la collaboration des startups avec la DGA. En parallèle, l’Etat a lancé un projet de campus de la cybersécurité. Cette entité aura pour vocation de créer des synergies entre les différents acteurs de l’écosystème en réunissant notamment des acteurs industriels, des startups, des universitaires, ainsi que certaines agences et ministères.

… et des startups

L’internationalisation des startups reste un gros levier de croissance, et les startups cybersécurité françaises l’ont compris. La moitié de celles que nous avons interrogées ont déjà des clients à l’étranger, et 15% sont en recherche d’opportunités à l’international : elles se donnent ainsi les moyens d’accéder à des marchés plus importants, plus stratégiques et potentiellement plus matures… et donc de trouver les leviers de croissances nécessaires à leur développement.

De plus, le positionnement de l’innovation change pour l’année 2019 grâce à une augmentation de la proportion de startup innovantes parmi les nouvelles créations. En effet, 44% des startups créées cette année proposent des solutions disruptives n’existant pas auparavant sur le marché.

Cela porte à 31% le nombre total de startup de notre radar appartenant à cette catégorie alors qu’il n’était que de 19% l’année dernière.

Les entrepreneurs cybersécurité innovent dans les domaines matures de la cybersécurité

On pourrait s’attendre à ce que ces domaines bien établis où la concurrence est rude soient moins attractifs. Cependant les entrepreneurs n’hésitent pas à les aborder sous un angle nouveau afin de gagner des parts de marché.

La sécurité de la donnée comporte ainsi son lot d’innovations. Les startups Binex et Ugloo ont par exemple conçu des solutions de stockage « décentralisé » en faisant la promesse aux entreprises de pouvoir récupérer le contrôle de leurs données aujourd’hui sauvegardées dans des Cloud de fournisseurs différents.

La gestion des identités et des accès, éternel casse-tête des entreprises, est un terrain où l’innovation est possible, comme le prouve ArmadAI qui optimise les habilitations des utilisateurs via l’utilisation de l’intelligence artificielle. La start-up Reachfive se positionne elle sur le CIAM (Customer Identity and Access Management) en fournissant une plateforme d’identité client répondant aux enjeux de sécurité et d’expérience utilisateur. Enfin des acteurs comme RubycatLabs n’hésitent pas à bousculer les segments où les parts de marché sont rares, ici la gestion des comptes à privilèges, en se différenciant non pas par la technologie mais par une simplicité d’utilisation et des modèles tarifaires attractifs.

Dans la même optique, la start-up Sqreen propose de révolutionner le domaine de la sécurité applicative en déployant son micro-agent au sein des applications, permettant ainsi de les monitorer et protéger. D’autres startups ont choisi des problématiques de niche dans ce domaine, comme Datadome avec sa solution qui empêche les « mauvais » robots (Scraping, DDoS, vol de compte …) de nuire aux applications des entreprises, tout en autorisant les robots légitimes (Googlebot…) à y accéder.

Que dire de la gestion des vulnérabilités où les quelques leaders du marché se partagent les parts du gâteau. Le constat est simple aujourd’hui : les entreprises sont très compétentes quand il s’agit de trouver des vulnérabilités, mais beaucoup moins quand il s’agit de les corriger, à cause des problèmes de criticité (d’un point de vue disponibilité) des ressources concernées. On observe ainsi deux approches intéressantes visant à modifier ce constat : celle de Cyberwatch qui propose d’évaluer les vulnérabilités dans un contexte métier afin de prioriser celles qu’il faut corriger ; et l’approche d’Hackuity qui suggère de centraliser et de normaliser les résultats des différents tests d’intrusion sur une même plateforme et d’implémenter une fonctionnalité de « rejeu » de la vulnérabilité afin de pouvoir suivre la résolution de cette dernière de façon automatique.

Les entreprises françaises, en particulier celle ayant le statut d’opérateur d’importance vitale (OIV), sont toujours à la recherche de souveraineté, et cela s’applique également à la sécurité réseau, où les entreprises étrangères comme Darktrace ou Vectra sont les leaders du marché. C’est ce qui explique, entre autres, la réussite de la startup Gatewatcher dont les sondes de détection d’intrusions ont été récemment qualifiées par l’ANSSI. C’est également le cas de la sécurité endpoint, où des EDR à la française voient le jour comme la jeune pousse Harfanglab et son EDR Hurukai.

Pour finir, la connaissance de la menace est devenue un atout stratégique pour les entreprises, faisant la part belle au domaine de la Threat Intelligence. Dans ce domaine, l’acteur français Citalid innove en commercialisant une plateforme d’anticipation des cybermenaces et de quantification des risques reposant sur l’utilisation de la méthodologie FAIR.

Les startups comprennent les enjeux du marché et se positionnent sur les sujets « porteurs ».

Le domaine de la vie privée a fait parler de lui ces derniers mois en raison de la multiplication des fuites de données à caractère personnel et des premières sanctions vis-à-vis du RGPD. Les entrepreneurs cybersécurité l’ont bien en tête car c’est aujourd’hui une petite quinzaine de startups qui adressent ce sujet, comme la startup Smart Global Privacy dont la solution smart GDPR optimise la gestion des traitements de données à caractère personnel en automatisant certaines actions et en fournissant des templates préconstruit en fonction des métiers de l’entreprise.

Dans le même temps, le besoin de pouvoir collaborer de façon sécurisée est plus présent que jamais. Cependant, les solutions actuelles pâtissent d’un manque de simplicité de déploiement et d’ergonomie d’utilisation. C’est ce qui explique la multitude de solutions qui apparaissent sur le marché, et qui promettent à la fois un niveau de sécurité élevé et une expérience utilisateur acceptable. La messagerie mobile élaborée par la startup Olvid est un parfait alliage entre un modèle de sécurité cryptographique extrêmement robuste et les fonctionnalités standards d’une messagerie. Shadline et Twinlife proposent également des outils collaboratifs sécurisés. Mais il sera dur de se faire une place sur un marché déjà très concurrentiel.

La thématique de la gestion de crise fait son apparition sur le radar 2019. La startup Easylience a notamment conçu une solution permettant d’assister les entreprises dans la gestion des crises de grande ampleur.

Avec l’avènement de la digitalisation des parcours client, le besoin de pouvoir identifier et authentifier ces derniers sans avoir besoin de les rencontrer physiquement a émergé. Ubble et Serendptech adressent cette problématique, d’ailleurs encadrée par le règlement européen eIDAS, en distribuant une technologie de vérification d’identité basée sur des algorithmes de reconnaissance vidéo pour les premiers, et une application mobile qui aide à garantir l’authenticité d’un titre d’identité pour les seconds.

Enfin, le domaine de la sécurité de l’IoT n’a rien à envier à ceux mentionnés précédemment quand on considère l’avènement des objets connectés, pour les particuliers mais également pour les entreprises. La startup Acklio contribue à sécuriser les objets connectés en rendant compatibles les réseaux LPWAN (réseaux à longue portée et basse consommation comme Lora ou Sigfox) nécessaires au bon fonctionnement de ces objets et le protocole IP. Sa solution permet de comprimer les messages internet et d’ainsi assurer la communication native entre l’objet et les applications métier. La startup Moabi elle se positionne sur l’évaluation de la sécurité des firmwares intégrés dans ces objets, en utilisant notamment les technologies d’exécution symbolique.

En revanche, la sécurité par déception est encore trop peu adressée par les startups, bien qu’elle ait fait son apparition avec des startups comme SesameIT et Anozrway qui commencent à implémenter des fonctionnalités de ce type.

Retrouvez dans ce deuxième article, une analyse des actions concrètes qui permettraient aux acteurs d’intensifier le développement de leurs startups, d’acquérir une nouvelle envergure et, d’ainsi, confirmer le changement d’échelle amorcé.

Cet article Radar des startups 2019 : Un écosystème de plus en plus dynamique est apparu en premier sur RiskInsight.

Des start-ups qui aident les particuliers à protéger leur vie privée

Selon la CNIL, 9 Français sur 10 sont préoccupés par l’exploitation de leurs données personnelles. Des start-ups proposent aux individus des applications de contrôle des données personnelles disponibles sur Android ou IOS :

• Skeep permet de gérer l’accès aux données personnelles sur les réseaux sociaux et les newsletters.
• L’application mobile Fair&Smart est un « personal data store » au sein duquel le particulier peut effectuer ses requêtes auprès d’une entreprise au titre du RGPD.
• Les cookies publicitaires et analytiques auxquels sont rattachés des données personnelles sont soumis à une obligation d’information et de consentement de l’internaute par le RGPD. La start-up Audito l’a bien compris et a mis au point l’application Cookie Check où les particuliers peuvent consulter les caractéristiques des cookies des sites visités et sélectionner ceux qu’ils souhaitent garder ou supprimer.

Des start-ups qui assistent les entreprises dans leur mise en conformité RGPD

Depuis les débuts du RGPD, les grandes entreprises préparent leur mise en conformité au règlement.

Les grands comptes veulent disposer d’outils logiciels adaptés pour leur Data Protection Officer (DPO) et leurs employés. Le RGPD impose un Data Protection Officer aux administrations, aux grandes entreprises et aux PME collectant des données personnelles. Les PME et ETI inscrivent peu à peu la mise en conformité réglementaire sur leur liste des priorités. Les logiciels d’accompagnement réglementaire de start-ups comme Didomi, Visions ou encore Smart GDPR arment les entreprises face aux exigences du RGPD.

Leurs logiciels SaaS de gouvernance de données incluent des fonctionnalités incontournables :

• Le registre des traitements de données personnelles de l’entreprise
• La collecte des consentements des individus
• Le suivi des violations de données 
• L’accès à la documentation légale relative à la mise en conformité au RGPD

La plupart des start-ups détectées vont au-delà de ces fonctionnalités pour se faire une place sur le marché. Elles proposent des modules subsidiaires : des outils de calcul et de modélisation des risques, des simulations d’audit, des MOOCs pour DPO par exemple. Qualitadd, Datae et Smart GDPR rentrent dans cette catégorie de start-ups qui ont su enrichir leur offre.

Des solutions de sécurité standards mais des démarches de création novatrices

Les grandes entreprises veulent avant tout maîtriser leur risque de conformité. Les start-ups françaises répondent à cette attente par une large offre de logiciels. Dans la majorité des cas, elles manquent cependant d’innovation sur le plan technologique car les logiciels développés sont des plateformes SaaS classiques adaptées à la protection de données. En revanche, les démarches de création des start-ups sont parfois audacieuses.

Quand la fonction métier commande l’édition d’un logiciel :

En 2018, le cabinet d’avocats Staub & Associés spécialisé en droit de l’informatique et des données personnelles s’est associé à un éditeur de logiciel pour produire une plateforme de pilotage de la mise en conformité au RGPD Data Legal Drive.

Deux ans plus tôt, la start-up DPO consulting a émergé des expériences professionnelles de DPO de sa fondatrice et de ses employés. Face à l’inflation réglementaire, le cabinet de conseil DPO consulting a édité son propre logiciel pour Data Protection Officer. Le cabinet se compose également de DPO qui assurent la gouvernance de données d’entreprises en externe en s’appuyant sur le logiciel myDPO.

La commercialisation d’un logiciel maison incluse dans la fonction métier booste le chiffre d’affaires de ces cabinets.

Quand les start-ups ciblent des dispositions du RGPD : 

La start-up Onecub a fait un choix stratégique innovant en axant sa solution sur un droit : le droit à la portabilité. Le compte Onecub permet d’importer et exporter des données d’un service à l’autre gratuitement. Onecub s’adresse aux particuliers en facilitant le transfert de données personnelles entre entreprises et/ou administrations via la blockchain.

La start-up Fair&Smart quant à elle se concentre sur la protection des données personnelles dans la relation-client. Elle propose deux solutions B2C de collecte des requêtes et des consentements utilisateurs en complément de son application.

Quand les start-ups proposent un package de conformité RGPD complet : 

La start-up Datae accompagne les entreprises, de leur gestion interne des données personnelles à l’auditabilité par la CNIL sur l’application du RGPD. Le logiciel Datae présente les fonctionnalités classiques d’un logiciel de gouvernance RGPD, auxquelles peuvent s’ajouter des prestations complémentaires des équipes de la start-up en audit juridique, audit technique et suivi par un DPO externe.

Les solutions de sécurité mises en œuvre par les start-ups reflètent les statistiques globales du radar 2018 Wavestone : 70% des start-ups cybersécurité en France réadaptent des solutions existantes. Le segment de la Privacy ne se distingue pas par l’émergence de nouvelles solutions ou de nouveaux usages notables. Certaines start-ups misent sur l’apport d’une prestation de conseil ou de simulations d’audit pour consolider leur offre logicielle. A l’avenir, les start-ups souhaitant s’insérer sur ce segment en France devront trouver des solutions différenciantes. La pléthore de logiciels de gouvernance RGPD laisse de l’espace pour des solutions techniques innovantes.

Cet article Des start-ups opportunistes et audacieuses sans être réellement innovantes sur le segment privacy est apparu en premier sur RiskInsight.

Les grands comptes : des cibles existentielles mais complexes

Le tissu économique français repose beaucoup sur des grands groupes disposant de capacités d’investissement important. Pour les startups cherchant à commercialiser leur offre en cybersécurité, ce sont des clients de choix.  Cependant, les processus rigides et complexes de ces grandes entreprises constituent un obstacle majeur pour les startups.

Après les embûches liées à l’identification des multiples donneurs d’ordre dans la structure (RSSI, architecte, expert, DSI, achats…), il reste très difficile de signer son premier contrat. La durée du processus d’achat allant de 3 à 6 mois et sa complexité ne correspondent pas au fonctionnement des startups, qui se voient demander des preuves de rentabilité, un nombre important d’années d’existence ou des références d’autres clients, ce qui est impossible lors des premiers contrats.

Cette situation est exacerbée pour la cybersécurité car les startups ne peuvent pas souvent compter sur les pôles Innovation créés par les grands-comptes pour faciliter les échanges avec l’écosystème de l’innovation. D’une part car les startups ont du mal à convaincre les apports métiers des solutions proposées et d’autre part car les équipes Innovation ont du mal à comprendre les apports concrets vu les spécificités des sujets abordés. Les retours d’expérience réussis montrent que la filière cybersécurité des grands-comptes doit souvent donner l’impulsion, voir porter elle-même les relations avec les startups cyber.

Des habitudes à faire évoluer dans les grandes entreprises

Une fois la mise en relation réalisée, il reste une étape : la réalisation de tests en conditions réelles (Proof of Concept). C’est un exemple de la difficulté pour les startups de rivaliser avec les éditeurs cybersécurité classiques dans le monde des grands comptes. Ces tests sont demandés pour évaluer l’efficacité d’une nouvelle solution. Les grands éditeurs, aux moyens financiers importants, offrent ces « PoCs » à leurs clients, qui en retour se sont habitués à ces tests « gratuits » à leur profit.

Pour les startups cependant la situation est différente car leur besoin en fonds de roulement est très court et réaliser de tels tests gratuitement peut mettre en péril la structure toute entière !

Il est donc nécessaire que les grands groupes prévoient des budgets adaptés, souvent de l’ordre de quelques milliers d’euros seulement, pour tester les solutions innovantes proposées par les startups.

En France, des retours positifs dans les interactions startup/grands comptes

Cependant des collaborations réussies entre startup et grands comptes montrent que ces deux mondes peuvent travailler ensemble. Et l’effort consenti apporte ensuite énormément. Des startups comme Alsid ou Idecsi bénéficient ainsi de témoignages de clients d’ampleurs à même de rassurer d’autres sociétés et les investisseurs.

Un écosystème cybersécurité français valorisant l’innovation

En France, la présence d’un écosystème qui fait la promotion régulière de l’innovation en associant grands comptes et startups est notable : Assises de la Sécurité avec le Prix de l’Innovation, le FIC avec le prix de la PME Innovante ou encore le concours dédié à la cybersécurité dans le milieu bancaire coorganisé par la Société Générale et Wavestone. Ces initiatives permettent une mise en lumière de l’innovation en cybersécurité, ainsi que la mise en relation directe de différents acteurs. Elles participent ainsi à la création de la relation de confiance nécessaire pour que les grands comptes investissent dans les solutions proposées par des startups.

L’importance de l’existence d’une offre française pour la souveraineté numérique

La cybersécurité est une problématique mondiale mais relève aussi de la sécurité nationale. L’intérêt d’avoir des produits de confiance dans ce domaine est évident.

Même si beaucoup reste à faire pour garantir une souveraineté numérique, les initiatives de certaines startups françaises ont permis l’importation de concepts n’existant initialement qu’à l’étranger. C’est par exemple le cas des plateformes de Bug Bounty (en français, « chasse aux failles »). En France, trois startups, Bug Bounty Factory, Bug Bounty Zone et Yogosha proposent des services dans ce domaine. Ceci pourra permettre à terme de garder la connaissance de vulnérabilités sensibles sur le territoire Européen ou national.

Il est important de noter que le marché hexagonal de la cybersécurité est largement animé par des acteurs du secteur de la défense, publics ou privés, qui investissent et aident aux développements de startups. Mais ces opportunités de développement sont en même temps un frein à l’exportation et rendent plus difficile la communication de références.

Demain, arriver à sortir des frontières

Le secteur de la recherche se structure

La recherche en cybersécurité est aussi très active en France avec de nombreux laboratoires mobilisés et des initiatives de premier plan. Le collectif Allistene, regroupant l’INRIA, le CEA, le CNRS et plusieurs grandes écoles, en est un exemple. De premières chaires sont dédiées aux sujets de la cybersécurité et de ses applications concrètes, par exemple pour les véhicules autonomes. Conjointement avec les initiatives des grandes entreprises, tout concourt à créer un terreau positif pour l’éclosion et la croissance de nombreuses startups.

Dépasser le cadre franco-français pour croître à l’international

La France possède de nombreux talents en cybersécurité, un terreau facilitant l’émergence des startups et un marché permettant de faire vivre ces structures. Mais ce bilan très positif ne doit cependant pas masquer la principale difficulté actuelle de nos startups : connaître le succès et la croissance à l’international.

Hormis quelques success story, comme historiquement Qualys ou plus récemment Linkurious aux Etats-Unis, les startups françaises ont du mal à sortir des frontières hexagonales. Elle se heurtent à des barrières sur leur capacité à communiquer de manière percutante en anglais, sur la faiblesse de références clients françaises, sur des problèmes juridiques mais aussi psychologiques à s’expatrier. Alors que la qualité des profils français en cybersécurité est largement reconnue, la qualité des startups, est-elle encore inconnue.

Dépasser ce plafond de verre requiert des initiatives conjointes de l’Etat, des grandes entreprises et un esprit de conquête exacerbé chez les fondateurs de startups. Mobilisons-nous collectivement, chacun avec ses forces, pour que cela devienne une réalité dans les années à venir.

Cet article Startup cybersécurité en France, un écosystème en pleine explosion (2/2) est apparu en premier sur RiskInsight.

La cybersécurité en France

Un tissu dynamique de plus de 100 startups

Aujourd’hui, la France compte plus de 100 startups ou PME innovantes en matière de cybersécurité. Ce nombre, en constante augmentation, reflète le dynamisme du secteur et les atouts de la France dans ce domaine. Le secteur représente plus de 1000 emplois directs. Même si cela peut paraître faible, ce nombre devrait augmenter fortement dans les prochaines années.

Une majorité de startups choisissent de réinventer des solutions de sécurité déjà bien implementées

60% des startups entrent sur le marché avec la volonté de faire évoluer des solutions de sécurité ayant déjà fait leurs preuves (sécurité des terminaux, du réseaux, de la messagerie, gestion des identités…).

De manière générale, attaquer un marché déjà consolidé est complexe. Mais il reste des fenêtres d’opportunités, en particulier dans la sécurité applicative. De nombreux acteurs importants sont présents sur ce domaine sans pour autant parvenir à proposer de solutions vraiment satisfaisantes. Les approches innovantes de jeunes pousses comme Sqreen, Ingen ou encore Yagaan peuvent apporter un renouveau.

Sécurité industrielle, cryptographie, et reverse engineering : des domaines innovants sur lesquels la France est bien positionnée

En regard, de nombreuses startups françaises (40%) ont su se positionner sur des technologies où tout reste à construire. Sur les systèmes  industriels, par exemple, les acteurs français comme Sentryo ou Seclab sont particulièrement bien positionnés. C’est aussi le cas pour les technologies d’analyse de logiciels malveillants avec des produits ou des services comme ceux de Tetrane et Quarkslab. Leurs expertises sont reconnues internationalement, y compris par des grands groupes américains.

Côté cryptographie, l’école française de mathématiques permet aux startups d’avoir accès à des expertises pointues difficiles d’accès dans d’autres pays. Cela permet le développement d’outils innovants d’analyse de vulnérabilités comme Cryptosense.

En revanche, certains domaines sont encore négligés en France alors qu’ils ont un fort potentiel de développement, comme les techniques de « tromperie » (« deception » en anglais, qui vise à fournir des fausses informations à un attaquant pour le ralentir) dont l’essor est déjà amorcé en Israël et même au niveau Européen.

Des startups françaises avec des difficultés de communication et de valorisation de leur expertise

L’écosystème national de startups est très dynamique et les expertises, même très spécifiques, ne manquent pas pour concrétiser des idées ou lancer des premiers produits. Un point-clef est cependant requis sur le marché de la cybersécurité : la capacité à communiquer efficacement. Les contacts entretenus avec plusieurs incubateurs étrangers nous montrent une différence frappante en termes de communication entre des startups anglos-axonnes qui savent valoriser leurs produits grâce à des pitchs percutants et un marketing efficace.

Ce manque d’expertise commerciale est particulièrement pénalisant pour les startups françaises qui souhaitent internationaliser leurs offres.

La France, une terre propice pour les startups cyber

Depuis plusieurs années, de nombreuses initiatives se développent en France pour soutenir le secteur cyber. On peut citer la stratégie de Sécurité Numérique du gouvernement portée par l’ANSSI ou encore les investissements du Ministère de la Défense. Différents pôles économiques sont mobilisés, ce qui se traduit concrètement par une concentration géographique des startups. Paris est, comme souvent, en tête mais Lyon, Rennes ou le sud de la France sont aussi très présents.

Présentation du radar des startups

Depuis 2015, Wavestone réalise une veille active sur le domaine des startups dans le cadre de son programme ShakeUp. Fort de ses nombreux contacts et actions au sein de l’écosystème de l’innovation cybersécurité en France, le radar des startups compte aujourd’hui près de 400 structures répertoriées à l’échelle européenne et internationale avec un focus particulier sur la France. Les critères pour intégrer le radar français : siège social en France, moins de 35 salariés et moins de 7 ans d’existence de la structure juridique (hors pivot majeur).

Suite à ces actions de veille par les équipes de la practice cybersécurité et confiance numérique, les startups les plus innovantes sont rencontrées pour réaliser une évaluation de leur solution et certaines peuvent rejoindre ShakeUp, le programme d’accélération de Wavestone.

Des structures d’accompagnement nombreuses et actives mais peu spécialisées

La France est un des leaders mondiaux dans l’innovation avec pas moins de 228 incubateurs nationaux et une cinquantaine d’accélérateurs. Mais par rapport à Israël, à la Suisse ou au Royaume-Uni, nous ne disposons pas de structures d’incubation ou d’accélération spécifiquement dédiées à la cybersécurité. Certains incubateurs ont créé des clusters pour concentrer les savoir-faire mais sans pour autant spécialiser les accompagnements. Ainsi, il est rare de trouver dans ces structures des coachs ayant une forte connaissance du marché cyber, de ses acteurs et de ses spécificités notamment dans le processus d’achat et de qualification de produits. Axeleo ou Wavestone sont ce qui se rapprochent le plus des structures étrangères dédiées.

A suivre, une initiative régionale nommée Ocssimore va démarrer à la rentrée 2017 à Toulouse.  La FrenchTech, très présente et visible à l’international, se mobilise depuis peu sur le sujet de la cybersécurité avec la création du réseau thématique « Security & Privacy ».

Un écosystème de financement favorable mais perfectible

La France a de véritables atouts pour le financement de l’innovation, dont de nombreuses startups témoignent de l’efficacité.  Le « Programme Investissement Avenir » investit 22 milliards d’euros dans la recherche ; le « Crédit Impôt Recherche » et le statut de « Jeune Entreprise Innovante » permettent de réduire les coûts de R&D, les charges sociales et l’impôt sur les sociétés.

De son côté, BPI France multiplie les financements dédiés aux entrepreneurs et les actions d’accompagnement grâce à ses partenaires (banques, investisseurs, régions…) et, par le biais d’accélérateurs, elle propose des prêts participatifs et peut se porter caution auprès des banques.

De nombreuses aides régionales sont également disponibles. En parallèle, nous assistons à une nette augmentation du corporate venture ainsi que les Business Angels sont parfois même en concurrence pour investir dans les meilleures startups cyber.

Cependant, l’écosystème complexe, avec un grand nombre d’acteurs, rend souvent le parcours de financement compliqué. Les démarches pour lever des fonds s’apparentent à de véritables marathons où la bureaucratie est encore très présente. Il s’agit d’avoir un plan de bataille précis, pour solliciter chaque dispositif au bon moment avec le bon dossier… sans pour autant sacrifier le temps destiné au développement de la startup ! Enfin, peu de grands groupes français font l’acquisition des startups, qui peuvent alors être tentées d’accepter les offres d’entreprises étrangères.

La France possède donc un formidable écosystème de startup dans le domaine de la cybersécurité, plaçant le pays parmi les leaders mondiaux. En effet, la création de startup en France est soutenue par des structures d’accompagnement adaptées. Mais pour assurer leur pérennité, ces startups cherchent à attirer de nombreux clients, notamment parmi les grands groupes français.

Cet article Startup cybersécurité en France, un écosystème en pleine explosion (1/2) est apparu en premier sur RiskInsight.