Vers une concrétisation malgré l’adversité ?
L’année dernière montrait l’amorçage de la transformation de l’écosystème des startups en cybersécurité françaises. Cette année, de nombreuses questions se posent : la dynamique a-t-elle continué en dépit de la crise sanitaire ? Comment l’écosystème y-a-t-il répondu ? Quelles actions permettraient de l’accompagner vers un passage à l’échelle ?
Un secteur toujours dynamique où certaines startups arrivent à maturité
Un panorama des startups en évolution constante
Notre radar recense désormais 152 startups en cybersécurité, ce qui représente 18 startups de plus qu’en juin 2019, soit une croissance de 13%. Concernant leur taille, on constate une forte augmentation (73%) du nombre de « moyennes entreprises », alors que celui des « très petites entreprises » et « petites entreprises » reste stable, ce qui est un signe d’un début de solidification du marché. Au total, les startups représentent plus de 1400 salariés soit 17% de plus que l’an dernier, un chiffre en augmentation pour la 4ème année consécutive.
Au niveau de leur répartition géographique, le constat est assez similaire à 2019 : le bassin parisien reste le pôle principal (on y compte plus de 60% des sièges sociaux des startups du radar). Le pôle rennais arrive en seconde position et continue à gagner en volume pour atteindre 10% de représentativité. A noter que la région de Bordeaux arrive en troisième position avec 4% de startups.
Des créations de startups toujours prometteuses
Le radar compte 16 jeunes startups créées entre début 2019 et août 2020. Parmi ces startups, on peut observer que :
- Plus d’un quart se concentre sur des sujets de protection des données: Olvid, Protected, Pineapple Technology, BusterAI
- Près d’un autre quart sur l’aide à la gestion de vulnérabilités et des activités de sécurité opérationnelle: Patrowl, V6Protect, Purplemet.
- La protection des endpoints (Nucleon Security, Glimps) complète le podium des principales thématiques adressées par ces nouvelles startups.
A noter, l’apparition de la startup Malizen qui se positionne sur le threat hunting et l’aide aux investigations des équipes de réponse à incidents, sujet encore peu représenté dans l’écosystème. Le positionnement de Moabi sur l’aide à l’audit de sécurité des firmware (logiciel embarqué), est également intéressant en regard des enjeux autours de la sécurité des objets connectés.
Ces nouvelles startups tirent le plus souvent leur origine de l’identification d’un manque sur le marché par l’un des fondateurs lors d’une précédente expérience professionnelle. Toutefois, cette année deux structures, Malizen et CryptoNext sont issues de projets de recherche. Un chiffre, certes faible, mais intéressant en comparaison aux années précédentes, d’autant plus dans un contexte français où le monde de la recherche et celui de la cybersécurité restent encore trop dissociés.
Seulement 38% des startups françaises se positionnent sur des thématiques émergentes
Le rapport des startups à l’innovation reste stable par rapport aux années précédentes. 30% des startups sont disruptives et créent de nouvelles solutions de sécurité, 8% sécurisent des nouveaux usages (IoT, Cloud, etc.). Cependant la majorité (62%) de startups réinventent des solutions existantes en proposant des améliorations. Malgré l’absence d’innovation directe, ces startups peuvent connaitre un franc succès si elles font preuves d’agilité commerciale. L’exemple parfait est Egerie Software, qui a attaqué rapidement la question de la digitalisation de la méthode d’analyse des risques Ebios Risk Manager développée par l’ANSSI.
En termes d’innovation, nous pouvons particulièrement noter le domaine de la cryptographie, où les méthodes de chiffrement actuelles sont menacées par l’arrivée des ordinateurs quantiques. C’est justement le thème de la startup Cryptonext, qui s’engage à fournir des solutions de chiffrement robustes face à ces nouvelles menaces, et s’oriente dans la cryptographie post-quantique. De son côté, la startup Cosmian se concentre sur la tendance du « confidential computing », qui permet de chiffrer les données stockées dans le cloud grâce à un algorithme de chiffrement homomorphe, et ainsi utiliser des données chiffrées dans le cloud sans devoir confier la clé au fournisseur du service. La startup Scille, également, qui a introduit le concept CYOK (Create and Control Your Own Key) via sa solution Parsec, fait du poste utilisateur la seule entité de confiance qui génère automatiquement des clés de chiffrement.
Toujours au centre des préoccupations du RSSI, l’utilisateur se voit proposer de nouveaux moyens innovants de sensibilisation, la réalité augmentée chez Cyberzen par exemple, ou de nouvelles méthodes d’authentification, comme celle d’HIA Secure, qui est un concept d’authentification utilisant « l’intelligence humaine ». Plus précisément, l’utilisateur génère lui-même des codes à usage unique après avoir résolu des challenges consistant en une suite de symboles et de caractères.
Avec la généralisation du travail à distance pour tous les salariés, la crise sanitaire de la Covid-19 a également renforcé la nécessité de sécuriser les terminaux. De nouveaux clients de sécurité avancé (EDR) Français continuent d’émerger, comme celui de la startup Nucléon. Néanmoins, certains vont plus loin dans l’innovation et c’est le cas de la startup Glimps, créée par 4 anciens salariés de la DGA, qui essaye de révolutionner la détection et l’analyse des malwares en conceptualisant le code compilé, ce qui leur permet de s’affranchir des modifications induites par la compilation, l’architecture cible et ainsi détecter des menaces inconnues sur des systèmes non standards.
La majorité des entreprises souhaitent démocratiser l’utilisation des méthodologies agiles, alors que l’intégration de la sécurité dans ces processus reste un réel défi dans la plupart des cas. Intuitem essaye d’y remédier en fournissant l’outillage nécessaire pour suivre leur Agile Security Framewok.
Enfin, avec l’émergence des objets connectés, le besoin d’une plateforme IoT sécurisée est plus important que jamais, c’est ce que Tarides propose à travers sa solution OSMOSE.
Une évolution des startups qui montre une arrivée à maturité des premières « scale-ups »
20 startups quittent le radar cette année, soit 6 de moins que l’an dernier. Parmi ces sortantes, 5 sont à croissance très rapide (dépassant les 35 employés en moins de 7 ans d’existence), 1 est due à un rachat. Cette continuité par rapport à l’année dernière démontre une capacité croissante de l’écosystème français à sortir des premiers niveaux de “scale-ups” dans le domaine de la cybersécurité, qui peuvent réussir à attirer les plus gros acquéreurs ou des fonds de taille plus importante. A ce titre nous lançons, en commun avec BPI France, un premier suivi non exhaustif de cette catégorie. Il s’agira de continuer à enrichir la liste des scale-ups par les prochaines startups qui quitteront le radar du fait d’une croissance très rapide.
Une proportion moindre de startups sort du fait de son ancienneté uniquement (20% cette année contre 37% en 2019). Nous constatons cette année de premières mises en pause de projets (20%, sans rapport avec la crise sanitaire) et pivots hors cybersécurité (20%).
Un écosystème en plein renouveau
L’international : de plus en plus une réalité pour les startups
La crise sanitaire ne semble pas avoir ébranlé la volonté d’internationalisation des startups : cette année, près de 63% du radar déclare avoir des clients à l’étranger contre la moitié l’an dernier. Également, 13% des startups réfléchissent à s’y lancer. La cybersécurité est effectivement un enjeu mondial et se tourner vers l’international peut s’avérer une opportunité pour les startups, avec des pays où leur marché est plus mature ou important qu’en France.
Concernant les cibles d’expansion des startups, 55% souhaitent s’étendre au-delà des marchés européens. Le marché américain est la cible privilégiée par un tiers des startups désirant s’internationaliser, et certaines pépites françaises comme Sqreen ou Alsid ont déjà pris cette direction.
Toutefois, il ne faut pas négliger le marché asiatique qui, même s’il a moins le vent en poupe (seulement 18% de startups intéressées), peut s’avérer prometteur. C’est un vaste marché, où il est nécessaire d’adopter une approche ciblée. En effet, il peut être intéressant de commencer par cibler les centres économiques de Hong-Kong et Singapour, réputées de bonnes passerelles entre l’Europe et l’Asie. Singapour est particulièrement dynamique sur le sujet de la cybersécurité avec un investisseur historique (SingTel) et des structures d’incubation largement mobilisées sur le sujet, telles que ICE71 ou l’antenne de l’incubateur anglais CylonLab. Mais Hong Kong n’est pas en reste, avec un nombre important de programmes d’accélération tels que Cyberport ou le DIP (Design Incubation Programme).
2019-2020 : l’année des initiatives à l’échelle nationale
L’écosystème français en cybersécurité est en plein renouveau. De nombreuses initiatives ont vu le jour entre 2019 et 2020.
Le Ministère des Armées a ainsi inauguré en octobre 2019 la « Cyberdéfense Factory ». Il s’agit d’un lieu d’innovation croisée entre le monde civil et le monde militaire. Basé à Rennes, ce lieu permet aux startups, aux PME et aux universitaires de travailler au contact des experts de la DGA et des opérationnels des armées sur les sujets de cybersécurité. Il permettra également l’accès pour les structures sélectionnées à certaines données issues du Ministère.
D’autre part, le Comité Stratégique de filière « Industries de sécurité » a vu son contrat stratégique signé avec l’état. Ce dernier comprendre une section dédiée à la cybersécurité dont l’objectif est de faire émerger le potentiel de la France en matière de cybersécurité en alignant et mobilisant les différents acteurs sur des politiques d’éducation, d’innovation et de développement technologique. Concrètement, il favorisera les relations entre le secteur privé et l’état, mais aussi des initiatives sur le volet de l’innovation. Des premiers résultats majeurs sont attendus sur 2021.
L’initiative des Grands Défis, issus des travaux de Cédric Villani sur l’intelligence artificielle, a vu la publication de sa feuille de route cybersécurité en Juillet de cette année. Disposant d’un budget de 30 millions d’euros, elle met en avant des thèmes clés comme l’automatisation de la cybersécurité, la sécurité des PME/ETI et de l’IoT. Un appel à candidature a été ouvert via BPI France, il clôture en 2021 également. La feuille de route met aussi en avant l’importance de l’amorçage en cybersécurité, poussant à la création d’une structure dédiée pour aider les entrepreneurs à se lancer et les accompagner au plus tôt.
Enfin, le projet de Campus Cyber a été validé au plus haut niveau de l’Etat. La création de ce lieu emblématique a pour ambition de réunir les forces vives de la cybersécurité française, évidemment pour mieux protéger notre pays et ses actifs stratégiques, mais aussi pour développer son économie et faire rayonner la France à l’étranger sur ce thème. Le sujet de l’innovation devrait y être largement représenté avec la présence de startups, d’espace de démonstration ou encore potentiellement d’initiatives d’accélération ou d’incubation en cybersécurité. L’ouverture est prévue dans le courant de l’année 2021.
Ici s’achève la première partie de notre analyse sur la dynamique de l’écosystème des startups cybersécurité en France. Le panorama des startups demeure constant, avec des startups nouvellement créées montrant déjà de belles promesses. D’autres, avec déjà plusieurs années d’activité à leur actif, n’ont cessé de croître, à tel point qu’il nous a été nécessaire de créer une nouvelle catégorie: les scale-ups. Cependant, cet écosystème fait face à deux nombreuses adversités, telles que la crise sanitaire actuelle et le ralentissement des échanges internationaux qui en découle. Nous verrons donc dans une seconde partie, quelles sont les évolutions nécessaires à cet écosystème startups.
