Les startups de sécurité ont la cote

Et bien oui, il y a clairement de l’espace pour des ‘security starters’ innovants à côté de valeurs confirmées comme Symantec, Kaspersky Lab et autres G Data. Avec l’appui de capital-risque et de la Bourse, du moins aux Etats-Unis.

Et bien oui, il y a clairement de l’espace pour des ‘security starters’ innovants à côté de valeurs confirmées comme Symantec, Kaspersky Lab et autres G Data. Avec l’appui de capital-risque et de la Bourse, du moins aux Etats-Unis. Ces dernières décennies, des entreprises comme Symantec, Check Point, ISS (IBM) et bien d’autres ont connu une énorme croissance en menant le combat contre les nouveaux dangers toujours plus nombreux menaçant les systèmes des entreprises et des particuliers. N’y a-t-il dès lors plus d’espace pour de petites entreprises et des nouveaux venus sur ce marché? Et bien si, comme on le voit aujourd’hui aux Etats-Unis. Là-bas, de petites entreprises de sécurité innovantes se distinguent lors de leur entrée en Bourse ou sont avidement rachetées par des tiers. Mais il faut dire qu’il y a là aussi pas mal de capital-risque disponible pour les starters.

Les chiffres ne mentent pas. Imperva, une petite entreprise spécialisée dans la protection des données, a connu l’année dernière une formidable introduction en Bourse, à tel point d’ailleurs qu’elle se trouve actuellement 37 pour cent au-dessus de son prix d’introduction (un résultat qui surclasse aisément les prestations d’introductions en Bourse surmédiatisées de médias sociaux).

Une autre petite entreprise, NetWitness, a été rachetée par EMC pour 400 millions de dollars (à ce que l’on dit), soit quelque 10 fois son chiffre d’affaires annuel. D’autres mini-entreprises encore peuvent compter sur de bonnes phases de financement auprès de sociétés de capital-risque réputées (comme Andreesen Horowitz et Sequoia Capital), qui y injectent des dizaines de millions de dollars.

Nouveaux défis

Tout cela ne signifie pas que les entreprises de sécurité traditionnelles doivent craindre pour leur chiffre d’affaires et leur avenir. Le secteur des produits de sécurité est l’un des rares secteurs ICT, où l’on enregistre encore une forte croissance. C’est ainsi que les grandes sociétés consacreront cette année quelque 32,8 milliards de dollars à la sécurité, ce qui représente une croissance de 9 pour cent, et que, selon IDC, les PME augmenteront également leurs dépenses dans la technologie sécuritaire au cours des trois prochaines années. Les produits classiques tels les pare-feu (‘firewalls’), les anti-virus/anti-malware, etc., ne sont en effet pas prêts d’être mis aux oubliettes.

Il est clair pourtant que les produits classiques, qui sont réactifs et qui offrent une protection périmétrique, ont des difficultés à relever les défis actuels. Or ceux-ci sont aujourd’hui bien connus: davantage de systèmes mobiles intégrant d’importantes données et applications professionnelles, davantage de produits à la consommation dans les environnements professionnels en raison du phénomène ‘bring your own device’, davantage d’intrusions secrètes et ciblées/de fuites de données, de problèmes d’authentification et d’accès, et protection de vastes gisements de données (big data).

Ces nouveaux développements associés à la nécessité de mieux justifier les efforts en matière de sécurité (notamment pour prouver que l’on satisfait aux obligations réglementaires et légales), font qu’au sein des entreprises, l’intérêt pour les nouvelles applications croît. Les entreprises veulent une protection efficace (qui génère un équilibre coûts/avantages correct), qui soit mesurable et vérifiable et qui sécurise de manière intégrée ce qui doit réellement être protégé, où et quand cela s’avère nécessaire.

C’est la combinaison de ces nouveaux défis, de nouvelles possibilités technologiques permettant de les relever, et de capital disponible qui inspire les nouvelles petites entreprises. C’est ainsi que nous avons récemment assisté à Londres à la présentation d’une petite entreprise telle Hoverkey, qui aborde la sécurité des appareils mobiles avec l’aide de la technologie NFC (‘near field communication’).

Aujourd’hui, ce sont les pirates légaux à qui reviennent encore le plus souvent les honneurs, lorsqu’ils dénichent une nouvelle brèche ou lacune dans un produit. Mais toujours plus souvent, on leur suggère que les approches sécuritaires innovantes, une meilleure collaboration entre défenseurs (y compris une meilleure étude et compréhension de l’esprit des agresseurs), ainsi qu’une politique de sécurité davantage proactive (et non plus réactive) peuvent être également passionnantes et fascinantes. Tel est le message qui est véhiculé activement de nos jours lors d’événements consacrés au piratage tels Black Hat, etc.

Et en Belgique?

L’enthousiasme qui bouillonne aux Etats-Unis, ne semble pas avoir de pendant dans notre pays. Marc Vael, président de la division belge de l’Isaca (l’association internationale des auditeurs ICT et des spécialistes de la sécurité), observe certes des initiatives en matière de sécurité chez nous, mais pas vraiment de petites entreprises qui amènent de nouveaux produits.

Il en allait autrement avant. C’est ainsi que Vasco Data Security propose aujourd’hui encore des produits comme DigiPass (de l’entreprise éponyme de l’époque) et AxsGuard (en son temps développé par Able). Et chez Sophos, l’on trouve assurément encore bien plus que de simples traces des produits de cryptage d’Utimaco Safeware (reposant sur les développements chez Cryptech). Et puis, il y a les développements de la smartcard avec Zetes comme figure de proue.

Aujourd’hui, il existe encore des centres dans notre pays, notamment autour des universités de Louvain (KULeuven avec e.a. Cosic, et Louvain la Neuve) et de Bruxelles (VUB et ULB), où pas mal de recherche sur des sujets liés à la sécurité est effectuée, selon Marc Vael. Mais comme c’est assez souvent le cas, le manque de capital-risque constitue un obstacle, de sorte que “quelqu’un ayant une bonne idée ferait peut-être mieux de s’en aller aux Etats-Unis”, ajoute-t-il sèchement.

En outre, l’on doit actuellement aussi se préoccuper des problèmes possibles en matière de brevets, qui risquent de compliquer le développement et la commercialisation des idées (et de les rendre plus chères). Bref, la renaissance possible de la sécurité ne se réalisera assurément pas avec de petites entreprises belges.