Où en est la Cyber " Made in France " ?

Le constat du Radar annuel Wavestone- Bpifrance des start-up cybersécurité françaises est particulièrement enthousiasmant pour 2024 : l'écosystème français compte 168 start-up et 42 scale-up. 11 sont notamment positionnées sur la sécurisation des modèles d'IA, une niche de marché potentiellement très porteuse.

Si le montant des levées de fonds a chuté sur la période 2023/2024 avec 229 millions € levés, il reste néanmoins élevé et les chiffres de la Banque de France montrent que le niveau d'activité des start-up françaises continue de croître fortement. L'avis unanime des acteurs de la cybersécurité est de souligner le dynamisme de cet écosystème : « On ne peut que noter le très haut niveau d'innovation de cet écosystème : il y a beaucoup d'idées nouvelles, beaucoup de jeunes entrepreneurs », se félicite le vice-amiral d'escadre (2S) Arnaud Coustillière, président du Pôle d'excellence cyber. « Ces entrepreneurs poussent pour créer des alternatives aux solutions israélo-américaines qui, même si elles sont performantes, posent un problème d'autonomie. Jusqu'à présent, ces entrepreneurs pouvaient lever de l'argent assez facilement. Aujourd'hui, c'est un peu plus délicat et certains sont en difficulté et doivent revenir aux fondamentaux, c'est-à-dire parfaire leurs offres. »

Il y a beaucoup d'innovations techniques, mais une difficulté à passer à l'échelle et à conquérir des marchés internationaux. C'est assez différent pour les start-up israéliennes par exemple, chez qui le côté marketing et commercial est davantage mis en avant.

Jean-Noël de Galzain, président d'Hexatrust, le groupement de champions français et européens de la cyber et du Cloud de confiance déplore le flux sortant d'entreprises de technologies françaises qui continuent d'alimenter les entreprises américaines : « Les sociétés françaises de la cyber continuent à se faire racheter et tant que l'on n'arrivera pas à mettre des outils de financement capables d'investir 50, 100 millions € et plus dans une scale-up, que ce soit en France ou au niveau européen, nos entreprises seront obligées d'aller chercher des fonds aux états-Unis et continuer à se faire racheter. »
Hexatrust compte aujourd'hui 135 membres qui réalisent un chiffre d'affaires de huit milliards € et 18 000 emplois.

1 L'émergence d'un champion français se fait toujours attendre

« Sans évoquer Atos/Eviden, Thales ou Airbus seraient bien placés pour devenir les grands acteurs de la consolidation du marché français de la Cybersécurité », estime Alain Bouillé, délégué général du Cesin, le club qui réunit tous les grands acheteurs de technologies cyber en France.

« Cela suppose une volonté des dirigeants de ces entreprises, mais aussi une volonté politique. Je suis un fervent défenseur de l'écosystème cyber français, car le fait d'être pieds et poings liés avec les éditeurs israélo-américains pose question. Quand on regarde la concentration des acteurs cyber à laquelle est en train de se livrer Thoma Bravo actuellement, ou encore ce qu'il est advenu de Symantec après le rachat par Broadcom, il est absolument nécessaire que les DSI et les RSSI aient la capacité d'opter pour des solutions françaises ou européennes. »

S'il se félicite de l'acquisition récente d'Imperva par Thales, les membres du Cesin attendent toujours la naissance d'un géant français ou européen de la cyber dont l'offre pourrait être comparable à celle de Cisco ou de Palo Alto Networks.

Pour le président d'Hexatrust, des futurs géants de la cyber sont déjà là : « Plusieurs entreprises sont aujourd'hui au stade où Palo Alto a explosé il y a quelques années. Il y a des entreprises européennes qui ont ce potentiel de passer à l'échelle. Néanmoins, le marché européen est très fragmenté et on ne peut pas aller aussi vite en rapidité d'exécution. On a besoin de plus de temps et de plus de moyens pour y parvenir. »

Jean-Noël de Galzain souligne le besoin de pouvoir s'appuyer sur des fonds de plusieurs milliards pour porter la croissance des scale-up. « Il existe par exemple le fonds Tibi 1, créé en 2019, et qui a permis d'investir plus de 6 milliards € sur la période 2020-2022. La phase 2, initiée en 2023, représentait un engagement de 7 milliards de la part de ses investisseurs partenaires, mais aujourd'hui personne n'a encore vu son impact.

2 Open XDR, un exemple à suivre

S'il faut encore attendre la naissance de ces géants mondiaux de la cybersécurité en France, les start-up et scale-up françaises peuvent chasser en meute pour convaincre les entreprises de leur faire confiance. C'est notamment ce qu'a fait l'éditeur Sekoia en initiant en 2021 l'initiative Open XDR. Celle-ci fédère de nombreux éditeurs français apportant chacun une brique technologique à une XDR commune.

Freddy Milesi, fondateur et p-dg de Sekoia.io raconte : « Ce qui n'était qu'un projet en 2021 s'est transformé en réalité opérationnelle. L'important était de montrer qu'il existe une offre souveraine sur l'intégralité des sujets clés dans la sécurité opérationnelle. Il y a une vraie couverture des besoins des entreprises fournie par des acteurs français, mais ces acteurs savent aussi travailler ensemble. Tous nos directeurs techniques ont travaillé ensemble afin de rendre leurs produits interconnectés et interopérables. HarfangLab qui édite une solution EDR travaille avec Sekoia auprès d'une centaine de clients, et on a le même scénario avec des acteurs tels que Glimps, Gatewatcher, etc. »

Comme aime le rappeler Jean-Noël de Galzain, avec la richesse de son écosystème cyber, la France peut jouer en Europe le rôle de vivier d'innovation qu'Israël joue pour les États-Unis depuis quelques décennies.

DR

Freddy Milesi - Fondateur et P-dg de Sekoia.io

Freddy Milesi- fondateur et P-DG de Sekoia : « Les acteurs du CAC40 et les grosses administrations nous testent sur de très gros projets.»

« Une caractéristique de l'écosystème Cyber français, c'est la masse des nouveaux entrants : il y a toujours plus de nouveaux projets qui sont lancés dans les différents accélérateurs, le cyber Booster, etc. D'autre part, les créateurs de startup sont jeunes, ils ont la trentaine et vont pouvoir s'investir une dizaine d'années pour porter leur projet et scaler. Un second point est que les acteurs de notre génération commencent à être visibles en dehors de nos frontières. Les analystes tels que le Gartner nous référencent en tant que champions technologiques. Des acteurs français commencent à être matures, sont présents à l'international et se confrontent à la compétition mondiale. Enfin, la volumétrie des commandes augmente. Les acteurs du CAC40 et les grosses administrations nous testent sur de très gros projets. C'est en décrochant de gros contrats que nous atteindrons la taille critique. Le vrai critère de succès reste le montant des commandes. »

DR

Arnaud Coustillière, Vice-amiral d'escadre (2S) et Président du Pôle d'Excellence Cyber

Arnaud Coustillière - Président du Pôle d'excellence cyber : « Il reste sur le marché français des acteurs qui sont sur la place depuis longtemps et ont du mal à sortir de leur périmètre initial pour trouver plus de clients. »

« Beaucoup de start-up françaises arrivent à lancer leur activité, montent jusqu'à quelques dizaines de millions d'euros de chiffre d'affaires, atteignent jusqu'à 150 à 200 personnes et se heurtent à un plafond de verre. Il y a quelques locomotives et quelques consolidations intéressantes, par contre il reste sur le marché français des acteurs qui sont sur la place depuis longtemps et ont du mal à sortir de leur périmètre initial pour trouver plus de clients. Or la Cyber demande énormément d'efforts en R&D et pour une PME, il est très compliqué d'investir de la sorte dans la durée. Il est nécessaire d'aller très vite à l'export pour aller chercher cette croissance. »

DR

Alain Bouillé - Délégué général du Cesin

Alain Bouillé - Délégué Général du Cesin : « Le modèle français marche particulièrement dans les services, notamment le SOC »

« Pour beaucoup, les solutions françaises n'ont pas à rougir devant la concurrence internationale et les membres d'Hexatrust sont aujourd'hui en concurrence avec des champions de la cyber mondiale. De même, chez les fournisseurs de services, on compte quelques belles réussites, je pense notamment à iTracing dont la capitalisation frôle le statut de licorne. Le modèle français marche particulièrement dans les services, notamment le SOC, avec iTracing, Advens, Almond, Intrinsec et les géants que sont Orange Cyberdefense, Capgemini, Thales. Ils ont un rôle prédominant sur le marché, et vont vers l'étranger.

Côté éditeurs, le constat est plus mitigé. Pour une grande entreprise internationale qui veut déployer la même solution partout, c'est compliqué de choisir une solution franco-française qui n'offre pas un support partout. Néanmoins, la géopolitique empêche de plus en plus de tendre vers cette uniformité, ce n'est donc plus véritablement une excuse pour exclure des solutions françaises.»