Alain Bouillé - Cesin : « Il faut se pencher sur la domination croissante de Thoma Bravo dans la cybersécurité »
Publié par Philippe Leroy le | Mis à jour le
Le Cesin s’inquiète du rachat d’importants éditeurs de solutions de cybersécurité par le fonds américain Thoma Bravo. Alain Bouillé, son délégué général, détaille les craintes que cette concentration suscite pour les entreprises françaises.
Vous alertez sur la concentration des éditeurs de cybersécurité au sein du fonds d’investissement Thoma Bravo. Quelles sont les craintes du Cesin * ?
Les craintes sont de plusieurs ordres. Financier d’abord : on connait trop bien la mécanique de ce type de fonds : il faut absolument rentabiliser l’investissement pour que la plus- value soit la plus élevée possible au moment de la revente. Et un des moyens les plus simples pour atteindre cet objectif c’est d’augmenter les prix !
Pour la plupart des solutions rachetées par Thoma Bravo, il est très difficile d’en changer car elles sont souvent très imbriquées au SI de l’entreprise, je pense en particulier aux solutions d’IAM comme SailPoint qui prennent souvent des années à être déployées. Les entreprises sont quasiment prisonnières et subiront immanquablement ces augmentations de couts.
Le deuxième aspect est le fait que par accident, une entreprise peut se retrouver à mettre tous ses œufs dans un même panier. Les entreprises qui ont des politiques de diversification des solutions qu’elles vont utiliser pour ne pas dépendre que d’un seul fournisseur vont se retrouver piégées par ces rachats successifs qui, rappelons le, couvre un large spectre des panoplies cyber nécessaires à la protection des entreprises. Par ces rachats successifs on peut se retrouver in fine à avoir toute ou partie de sa panoplie cyber au sein d’un même fond.
Enfin, ces entreprises de cyber sécurité sont extrêmement intrusives en manipulant et stockant des données d’entreprises parfois très sensibles. Tant que ces données sont détenues de manière cloisonnées chez les différents éditeurs, le risque est moindre mais une fois entre les mains d’un unique acteur, l’intensité du risque est démultiplié.
Vous évoquez de(s) risque(s) pour les entreprises françaises ? A quel type de menaces pensez-vous ?
La principale menace pour les entreprises clientes est que, du fait des économies devant être réalisées par les entreprises rachetées, encore une fois pour être plus rentables in-fine, la R&D pourtant le nerf de la guerre des solutions cyber soit sacrifiée sur l’autel des économies.
Les exemples comme ceux de Symantec ne manquent pas. Une solution cyber qui ne suit ou ne précède pas les innovations des attaquants va devenir beaucoup moins pertinente mais de manière pernicieuse car ça ne se verra pas tout de suite.
Vous suggérez la mise en place de mesures adaptées pour prévenir la dépendance involontaire et sécuriser les infrastructures critiques en France et en Europe. Pouvez-vous en citer quelques-unes ?
On pourrait de manière cynique se réjouir de cette situation en imaginant que cela soit profitable au marché français et donc à la souveraineté car les entreprises pourraient se tourner vers le marché européen afin d’à nouveau diversifier leur panoplie et minimiser les risques de concentration.
On vient de voir qu’Imperva, passée entre les mains de Thoma Bravo, vient d’être rachetée par Thalès. Mais ça ne suffit pas. Il manque en France un géant du logiciel cyber du type Palo Alto capable de couvrir la majorité des pans de la cybersécurité des entreprises. Nous avons de belles pépites sur notre territoire mais le marché est fragmenté et donc trop fragile face à ces géants.
Il faut aussi changer le mindset de certains acheteurs en particulier dans les grosses entreprises qui vont privilégier les géant étrangers pour ne pas prendre de risques avec des entreprises de taille plus modeste.
En tous cas si ces opérations financières autour de la cyber, essentiellement concentrées pour l’instant sur le marché américain, pouvait sensibiliser les décideurs européens sur notre extrême dépendance aux solutions made in US ; il y aura au moins un effet positif !
* Le Club des Experts de la Sécurité de l’Information et du Numérique (CESIN) compte plus de 900 membres issus de tous secteurs d’activité, industries, Ministères et entreprises, dont CAC40 et SBF120.
Photo : ©SiliconFR