Avec des prévisions encourageantes et des besoins grandissants, la cybersécurité demeure attractive pour les investisseurs. Un domaine dans lequel les fonds privés n’hésitent plus à miser sur des pépites nationales. Et ce malgré le regard que conserve la puissance publique sur ces enjeux naturels de souveraineté numérique.
Selon les chiffres publiés par l’Observatoire FIC des start-ups de cybersécurité, le marché de la sécurité affiche une bonne santé. D’ici 2020, le secteur devrait connaître une croissance annuelle de 10%. Pour atteindre, au niveau mondial, les 120 milliards de dollars. Les fonds d’investissements s’avèrent en effet particulièrement intéressés par les potentiels technologiques que présentent les start-ups du secteur.
Les fonds d’investissement recherchent non seulement des opportunités technologiques offertes par les dernières recherches en matière de cybersécurité. Mais également des entités en mesure de délivrer un produit apte à être utilisé à grande échelle, ou inséré au cœur des process. C’est pourquoi le marché est attractif. En raison notamment d’un fort penchant pour la R&D, les potentiels d’applications transverses en termes business ou bien encore la présence de cycles de vente longs.
« Le secteur est devenu très capitalistique en investissements de R&D »
Un changement de paradigme
Ces dernières années ont toutefois vu un changement de paradigme. Les investisseurs ne considèrent plus qu’investir dans la cybersécurité n’est en soi pas rentable. Guillaume Tissier, directeur général de CEIS, co-organisateur du Forum international de la cybersécurité souligne à ce titre que : « le secteur est devenu très capitalistique en investissements de R&D ». Nombre de professionnels ont à présent pris conscience de l’importance de sécuriser leurs actifs ou d’éviter toute fuite de données.
La réglementation s’est également durcie. Le RGPD, la directive NIS (Network and Information Security) ou bien encore la loi de programmation militaire sont autant de textes qui viennent « border » les entreprises quant à leurs obligations en la matière. Quand bien même le regard de la puissance publique, relative aux exigences en matière de souveraineté numérique, demeure présent, le secteur connaît un coup d’accélérateur.
Comment aborder le financement du risque
La principale inconnue lors d’une prise de participation demeure le risque. En matière de cybersécurité, ce questionnement reste d’actualité. Il trouve des motivations profondes selon Marc Watin-Augouard, Général d’armée de gendarmerie (2S) et président du Centre expert de la cybercriminalité Français (CECyF). « Le financement des start-ups de cybersécurité n’est pas toujours évident en France car nous ne sommes pas habitués au financement du risque. Aux Etats-Unis, la notion de risque est davantage partagée entre investisseurs. Ils sont, à mon sens, davantage prêts à ne pas atteindre leurs objectifs sur certains dossiers. En ce sens, des événements majeurs comme le CES de Las Vegas (Consumer Electronics Show) met clairement en évidence l’immense dynamique permettant de trouver des fonds rapidement », explique-t-il.
Le constat est en effet clair. En France, les start-ups spécialisées peuvent rencontrer des problèmes de croissance uniquement par manque d’investisseurs suffisamment expérimentés ou capables de saisir le risque que constitue une start-up en cybersécurité. Ces derniers ont en effet besoin de fonds spécifiques à même de comprendre les spécificités de ce marché et qui soient prêts à se lancer dans des levées de fonds de plusieurs dizaines de millions d’euros.
Se doter de nouvelles infrastructures
C’est pourquoi il est nécessaire que la France se dote de structures spécialisées dans la cybersécurité. A l’image de la Suisse, de l’Irlande, de la Grande-Bretagne ou bien encore d’Israël. Ce dernier pays développe de nombreuses sociétés dans ce domaine pour les propulser sur les devants de la scène internationale.
Matthieu Bonenfant, directeur marketing de Stormshield explique ce phénomène par un motif simple : « En France ou en Europe, la souveraineté numérique demeure morcelée. Nous avons de nombreux marchés locaux multiples mais qui demeurent moins importants que les marchés russes ou chinois par exemple. Il existe encore peu de dynamique européenne. Que ce soit en termes de consolidation ou de financement à cette échelle. De même, le financement public fait que les sociétés sont enfermées dans un certain cadre. Avec un objectif de résultats, alors que le modèle anglo-saxon est davantage axé sur le développement de la société ».
La cybersécurité est un secteur stratégique pour assurer la souveraineté numérique
Pour combler ce déficit, la France a publié au Journal Officiel du 1er décembre 2018, les décrets dits « Montebourg » portant sur les investissements à l’étranger. Les textes viennent renforcer la prédominance de la puissance publique dans certains secteurs jugés critiques. Le décret n°2018-1057 étend ainsi à la cybersécurité une obligation d’autorisation préalable de tout investissement étranger pour des raisons de sécurité. Parmi ceux-ci, les activités de « R&D en cybersécurité, intelligence artificielle et robotique, dans le cadre de certaines activités déjà couvertes par le décret (défense, sécurité, énergie, transport…) » y figurent nommément.
Le décret précise ainsi que « la cybersécurité est un secteur stratégique pour assurer notre souveraineté. Mais aussi, et peut-être surtout, pour soutenir notre croissance économique. La France dispose d’atouts de premier plan. Avec son tissu académique de très haut niveau et son dynamisme autour de l’innovation, il ne reste plus qu’à en tirer pleinement profit ». Dont acte.
Pour l’Etat, l’intérêt d’investir dans une start-up de cybersécurité est double. Il s’agit de bénéficier d’une technologie de pointe pour ses propres services ou pour en développer des outils nationaux. Ces mêmes services peuvent ensuite représenter un double usage. La Défense publique est consciente du fait que les solutions qu’elle soutient peuvent également intéresser d’autres acteurs privés, notamment des opérateurs de réseaux critiques. « Il peut exister des restrictions mais dans l’ensemble, il y a des pistes communes intéressantes », nous confie le Général Marc Watin-Augouard.
Quand la puissance publique investit
Pour amorcer le développement des solutions innovantes de demain, certains programmes comme RAPID (Régime d’Appui pour l’Innovation Duale) sont mis en place par la DGA (Direction Générale de l’Armement) et la DGE (Direction Générale des Entreprises). Ce type d’aide subventionne des projets de recherche industrielle ou de développement expérimental intéressant le secteur de la défense. Il s’agit de « monter des projets » sans pour autant développer davantage l’entreprise qui apporte sa solution.
Autre solution, la BPI intervient auprès des start-ups en cybersécurité par deux moyens. Tout d’abord via le financement en investissant 260 millions d’euros sur la période 2012-2015. Et ceci au travers de différentes actions (garantie de prêt bancaire, aide à l’innovation, investissement…). A l’heure actuelle, une partie non négligeable de ces fonds (environ 60 millions d’euros) est consacrée à l’innovation. Signe d’une frilosité générale et d’un manque de cohésion au niveau communautaire.
Vers une collaboration intra-européenne
Dans l’optique de financer des innovations ou des terrains encore relativement peu abordés, des fonds de capitaux tels que J.E.D.I pour Joint European Disruptive Initiative existent. Ils cherchent à rassembler et financer les domaines qui sont encore peu traités. C’est pourquoi l’initiative franco-allemande dirigée par André Loesekrug-Pietri investit dans des secteurs dans lesquels l’Europe pourrait, à terme, devenir dominante.
Le dispositif s’apparente à la DARPA américaine et aborde franchement le terrain de la cybersécurité sous l’angle prospectif. L’idée sous-jacente est ainsi d’éviter que ne se constitue un gap technologique entre les différentes nations. Le budget du J.E.D.I est estimé à hauteur 235 millions d’euros pour 2018. En 2019, ce sont ensuite 228 millions d’euros qui devraient être dédiés au financement d’initiatives de cybersécurité.
Vers des actions concrètes
Pour IDnomic, agir au niveau européen demeure crucial. Coralie Héritier, directrice générale du spécialiste e la protection et de la gestion des identifiants numériques par certification confirme avoir convaincu vingt pays européens. Ces derniers ont opté pour la carte d’identité électronique. Un essor qui prouve que les solutions françaises peuvent être conjuguées au pluriel.
Toujours est-il que pour soutenir la filière, la souveraineté numérique « sera européenne ou ne sera pas. Nous avons actuellement un réel besoin de nouveaux services. La cybersécurité nécessite de nouveaux spectres, d’aller plus loin que les dispositif actuels », commente le Général Marc Watin-Augouard. Etablir de nouvelles frontières, un pari patent en somme.
A noter que le sujet est particulièrement abordé par l’organisation professionnelle TECH IN France. L’association rassemble près de 350 sociétés adhérentes lesquelles livrent leurs expériences et partagent leur expertise à propos de la cybersécurité. L’organisme dispose également d’un groupe de travail dédié à la thématique.
Olivier Robillart