Radar 2020 des startups cybersécurité françaises : notre analyse

Le radar compte 16 jeunes startups créées entre début 2019 et août 2020. Parmi ces startups, on peut observer que :

• Plus d’un quart se concentre sur des sujets de protection des données: Olvid, Protected, Pineapple Technology, BusterAI
• Près d’un autre quart sur l’aide à la gestion de vulnérabilités et des activités de sécurité opérationnelle: Patrowl, V6Protect, Purplemet.
• La protection des endpoints (Nucleon Security, Glimps) complète le podium des principales thématiques adressées par ces nouvelles startups.

A noter, l’apparition de la startup Malizen qui se positionne sur le threat hunting et l’aide aux investigations des équipes de réponse à incidents, sujet encore peu représenté dans l’écosystème. Le positionnement de Moabi sur l’aide à l’audit de sécurité des firmware (logiciel embarqué), est également intéressant en regard des enjeux autours de la sécurité des objets connectés.

Ces nouvelles startups tirent le plus souvent leur origine de l’identification d’un manque sur le marché par l’un des fondateurs lors d’une précédente expérience professionnelle. Toutefois, cette année deux structures, Malizen et CryptoNext sont issues de projets de recherche. Un chiffre, certes faible, mais intéressant en comparaison aux années précédentes, d’autant plus dans un contexte français où le monde de la recherche et celui de la cybersécurité restent encore trop dissociés.

Le rapport des startups à l’innovation reste stable par rapport aux années précédentes. 30% des startups sont disruptives et créent de nouvelles solutions de sécurité, 8% sécurisent des nouveaux usages (IoT, Cloud, etc.). Cependant la majorité (62%) de startups réinventent des solutions existantes en proposant des améliorations. Malgré l’absence d’innovation directe, ces startups peuvent connaitre un franc succès si elles font preuves d’agilité commerciale. L’exemple parfait est Egerie Software, qui a attaqué rapidement la question de la digitalisation de la méthode d’analyse des risques Ebios Risk Manager développée par l’ANSSI.

En termes d’innovation, nous pouvons particulièrement noter le domaine de la cryptographie, où les méthodes de chiffrement actuelles sont menacées par l’arrivée des ordinateurs quantiques. C’est justement le thème de la startup Cryptonext, qui s’engage à fournir des solutions de chiffrement robustes face à ces nouvelles menaces, et s’oriente dans la cryptographie post-quantique. De son côté, la startup Cosmian se concentre sur la tendance du « confidential computing », qui permet de chiffrer les données stockées dans le cloud grâce à un algorithme de chiffrement homomorphe, et ainsi utiliser des données chiffrées dans le cloud sans devoir confier la clé au fournisseur du service. La startup Scille, également, qui a introduit le concept CYOK (Create and Control Your Own Key) via sa solution Parsec, fait du poste utilisateur la seule entité de confiance qui génère automatiquement des clés de chiffrement.

Toujours au centre des préoccupations du RSSI, l’utilisateur se voit proposer de nouveaux moyens innovants de sensibilisation, la réalité augmentée chez Cyberzen par exemple, ou de nouvelles méthodes d’authentification, comme celle d’HIA Secure, qui est un concept d’authentification utilisant « l’intelligence humaine ». Plus précisément, l’utilisateur génère lui-même des codes à usage unique après avoir résolu des challenges consistant en une suite de symboles et de caractères.

Avec la généralisation du travail à distance pour tous les salariés, la crise sanitaire de la Covid-19 a également renforcé la nécessité de sécuriser les terminaux. De nouveaux clients de sécurité avancé (EDR) Français continuent d’émerger, comme celui de la startup Nucléon. Néanmoins, certains vont plus loin dans l’innovation et c’est le cas de la startup Glimps, créée par 4 anciens salariés de la DGA, qui essaye de révolutionner la détection et l’analyse des malwares en conceptualisant le code compilé, ce qui leur permet de s’affranchir des modifications induites par la compilation, l’architecture cible et ainsi détecter des menaces inconnues sur des systèmes non standards.

La majorité des entreprises souhaitent démocratiser l’utilisation des méthodologies agiles, alors que l’intégration de la sécurité dans ces processus reste un réel défi dans la plupart des cas. Intuitem essaye d’y remédier en fournissant l’outillage nécessaire pour suivre leur Agile Security Framewok.

Enfin, avec l’émergence des objets connectés, le besoin d’une plateforme IoT sécurisée est plus important que jamais, c’est ce que Tarides propose à travers sa solution OSMOSE.

20 startups quittent le radar cette année, soit 6 de moins que l’an dernier. Parmi ces sortantes, 5 sont à croissance très rapide (dépassant les 35 employés en moins de 7 ans d’existence), 1 est due à un rachat. Cette continuité par rapport à l’année dernière démontre une capacité croissante de l’écosystème français à sortir des premiers niveaux de “scale-ups” dans le domaine de la cybersécurité, qui peuvent réussir à attirer les plus gros acquéreurs ou des fonds de taille plus importante. A ce titre nous lançons, en commun avec BPI France, un premier suivi non exhaustif de cette catégorie. Il s’agira de continuer à enrichir la liste des scale-ups par les prochaines startups qui quitteront le radar du fait d’une croissance très rapide.

Une proportion moindre de startups sort du fait de son ancienneté uniquement (20% cette année contre 37% en 2019). Nous constatons cette année de premières mises en pause de projets (20%, sans rapport avec la crise sanitaire) et pivots hors cybersécurité (20%).

La crise sanitaire ne semble pas avoir ébranlé la volonté d’internationalisation des startups : cette année, près de 63% du radar déclare avoir des clients à l’étranger contre la moitié l’an dernier. Également, 13% des startups réfléchissent à s’y lancer. La cybersécurité est effectivement un enjeu mondial et se tourner vers l’international peut s’avérer une opportunité pour les startups, avec des pays où leur marché est plus mature ou important qu’en France.

Concernant les cibles d’expansion des startups, 55% souhaitent s’étendre au-delà des marchés européens. Le marché américain est la cible privilégiée par un tiers des startups désirant s’internationaliser, et certaines pépites françaises comme Sqreen ou Alsid ont déjà pris cette direction.

Toutefois, il ne faut pas négliger le marché asiatique qui, même s’il a moins le vent en poupe (seulement 18% de startups intéressées), peut s’avérer prometteur. C’est un vaste marché, où il est nécessaire d’adopter une approche ciblée. En effet, il peut être intéressant de commencer par cibler les centres économiques de Hong-Kong et Singapour, réputées de bonnes passerelles entre l’Europe et l’Asie. Singapour est particulièrement dynamique sur le sujet de la cybersécurité avec un investisseur historique (SingTel) et des structures d’incubation largement mobilisées sur le sujet, telles que ICE71 ou l’antenne de l’incubateur anglais CylonLab. Mais Hong Kong n’est pas en reste, avec un nombre important de programmes d’accélération tels que Cyberport ou le DIP (Design Incubation Programme).

L’écosystème français en cybersécurité est en plein renouveau. De nombreuses initiatives ont vu le jour entre 2019 et 2020.

Le Ministère des Armées a ainsi inauguré en octobre 2019 la « Cyberdéfense Factory ». Il s’agit d’un lieu d’innovation croisée entre le monde civil et le monde militaire. Basé à Rennes, ce lieu permet aux startups, aux PME et aux universitaires de travailler au contact des experts de la DGA et des opérationnels des armées sur les sujets de cybersécurité. Il permettra également l’accès pour les structures sélectionnées à certaines données issues du Ministère.

D’autre part, le Comité Stratégique de filière « Industries de sécurité » a vu son contrat stratégique signé avec l’état. Ce dernier comprendre une section dédiée à la cybersécurité dont l’objectif est de faire émerger le potentiel de la France en matière de cybersécurité en alignant et mobilisant les différents acteurs sur des politiques d’éducation, d’innovation et de développement technologique. Concrètement, il favorisera les relations entre le secteur privé et l’état, mais aussi des initiatives sur le volet de l’innovation. Des premiers résultats majeurs sont attendus sur 2021.

L’initiative des Grands Défis, issus des travaux de Cédric Villani sur l’intelligence artificielle, a vu la publication de sa feuille de route cybersécurité en Juillet de cette année. Disposant d’un budget de 30 millions d’euros, elle met en avant des thèmes clés comme l’automatisation de la cybersécurité, la sécurité des PME/ETI et de l’IoT. Un appel à candidature a été ouvert via BPI France, il clôture en 2021 également. La feuille de route met aussi en avant l’importance de l’amorçage en cybersécurité, poussant à la création d’une structure dédiée pour aider les entrepreneurs à se lancer et les accompagner au plus tôt.

Enfin, le projet de Campus Cyber a été validé au plus haut niveau de l’Etat. La création de ce lieu emblématique a pour ambition de réunir les forces vives de la cybersécurité française, évidemment pour mieux protéger notre pays et ses actifs stratégiques, mais aussi pour développer son économie et faire rayonner la France à l’étranger sur ce thème. Le sujet de l’innovation devrait y être largement représenté avec la présence de startups, d’espace de démonstration ou encore potentiellement d’initiatives d’accélération ou d’incubation en cybersécurité. L’ouverture est prévue dans le courant de l’année 2021.

Malgré une crise sanitaire d’envergure qui les a impactées de plein fouet, les startups restent en grande majorité confiantes pour leur avenir (plus de 80% des startups interrogées).  Certaines entreprises clientes ont même priorisé leurs activités de cybersécurité pour se renforcer dans ce contexte inédit.

Ainsi, 34% des startups interrogées déclarent être à l’équilibre en termes d’opportunité commerciales, celles décrochées depuis mi-Mars ayant pu compenser celles perdues, 21% d’entre elles ont même constaté une progression !

Un chiffre rassurant, à relativiser car elles sont plus d’un tiers (37%) à avoir subi des pertes de parts de marché, notamment du fait d’arrêts d’investissements chez certains clients. Certaines ayant encore du mal à se prononcer du fait d’un manque de visibilité commerciale (8%).

Sur ce dernier point, la pertinence du secteur d’activité de ces startups vis-à-vis des nouveaux enjeux amenés par la crise sanitaire est probablement en lien. La majorité de celles qui résistent adressent en effet des sujets portés par la généralisation forcée du nomadisme et de l’accès à distance des SI : protection des données et sécurisation des échanges, surveillance et protection des actifs, gestion des accès. La réorientation de leurs efforts commerciaux vers les secteurs résilients, celui du médical par exemple, est probablement un autre facteur de ces résultats.

75% des startups interrogées ont également profité de la période pour se recentrer sur la R&D ou le marketing de leurs produits.

Des chiffres qui nous démontrent la capacité des startups à faire face à la crise, malgré le lot d’adversités et d’incertitudes qu’elle apporte, par leur grande souplesse et réactivité. Ils mettent également en avant la résilience du secteur de la cybersécurité. Elle reste en effet un enjeu principal des entreprises. Même en cette période de crise économique, elles continuent à chercher des solutions toujours plus pertinentes et efficaces pour garantir leur sécurité.

Nous comparons ici deux périodes de levées de fonds sur l’écosystème complet (startups et scale-ups cybersécurité) : période 2019-2020 (de Juillet 2019 à Juin 2020) et période 2018-2019 (de Juillet 2018 à Juin 2019).

La résilience qualitative de l’écosystème constaté précédemment masque une situation plus négative sur les levées de fonds. Les 100 millions d’euros levés en cybersécurité sur la période 2019-2020 font pâle figure face aux plus de 260 de la dernière, 2018-2019.

La période 2018-2019 avait cependant été exceptionnelle : 7 startups du radar avaient levé autour de 10 millions d’euros, 2 avoisinaient les 200 millions d’euros à elles seuls. Les levées de fonds des années précédentes n’avaient jamais atteint de tels niveaux.

2019-2020 a été exceptionnelle aussi, mais d’une manière bien différente. De belles levées ont eu lieu jusqu’en février : le top 4 a été réalisé sur cette période. Malheureusement l’activité a rapidement été impactées par la crise sanitaire. Un certain nombre de levées prévues entre Février et Avril ont été reportées.

Toutefois, un redémarrage a été constaté dès Avril (Stamus Networks) et des levées intéressantes ont suivi sur Juin (e.g. Didomi, Quarkslab). Ces résultats laissent présager une fin d’année plus fructueuse.

Comme le pressent également ACE-Management (entretien à retrouver ici), un effet de décalage de quelques mois des investissements semble se profiler et non une diminution, mettant une nouvel fois en avant le dynamisme du marché de la cybersécurité.

Autre aspect intéressant de la période 2019-2020 : les levées plus faibles sont en hausse. 7 startups ont levé entre 2,5 et 5 millions d’euros contre 3 seulement sur la période précédente. Est-ce là un indicateur potentiel de la volonté croissante des startups de réaliser des levées au plut tôt pour accélérer leur développement ? Ou peut-être assistons-nous à la préparation des prochaines générations de scale-ups ? C’est en tous cas un signe très positif pour le dynamisme de l’écosystème.

Compte tenu des caractères exceptionnels des deux périodes, il est toutefois difficile de tirer une analyse définitive. Rendez-vous l’année prochaine pour une prise de recul qui s’avérera nécessaire.

Les clients ont également un rôle clé à jouer dans le développement des startups françaises.

A ce titre, nous constatons que les entreprises font de plus en plus confiance aux startups françaises et les soutiennent tout en les testant : 70% d’entre elles réalisent des « Proof Of Concepts » financés par leurs clients contre 67% l’an dernier. Une augmentation que nous ne pouvons que saluer, ces investissements permettant aux pépites françaises de se développer plus rapidement.

Mais pour continuer à soutenir le développement de cet écosystème, il est également nécessaire d’accepter le risque de transformer l’essai en contractualisant avec les pépites testées. Les entreprises ont cette année davantage de mal à le faire rapidement : 30% d’entre elles peuvent mettre plus de 6 mois à signer un contrat après un POC contre 25% en 2019. La crise sanitaire peut expliquer en partie cette situation.

Travailler avec une startup peut certes représenter un risque, mais c’est également un pari sur l’avenir. Elles peuvent apporter des solutions à des problématiques auxquelles le marché « traditionnel » n’apporte pas de réponses satisfaisantes depuis des années, permettre de rester à la pointe, ou encore d’accompagner davantage l’innovation des métiers (e.g. en sécurisant de nouveaux usages), et in fine apporter des différenciants majeurs. Certains pays ont dans leurs gênes de prendre ce type de risque, c’est moins le cas en France mais rien ne nous empêche de nous transformer.

Même si cela semble être trivial, il est important de rappeler à quel point il est crucial de se positionner sur des problématiques ayant peu ou pas de réponse satisfaisante sur le marché « classique ».

Pour ce faire, il est essentiel pour les startups d’être à l’écoute des besoins de leurs futurs clients et de se positionner sur leurs problématiques cruciales.

L’identification ne doit pas être que technologique, mais aussi prendre en compte des critères tels que la difficulté d’intégration de la technologie dans le système d’information des clients, l’existence d’une concurrence établie ou la volonté des principaux donneurs d’ordres d’investir dans une nouvelle technologie. C’est la combinaison de ces critères qui permet d’identifier les sujets qui auront le plus de succès sur le marché !

Les produits qui nécessitent d’installer des éléments sur de très nombreux équipements du SI (e.g. un nouvel agent de sécurité sur les postes de travail) sont particulièrement difficiles à “vendre” à des grandes entreprises déjà équipées. Des approches plus passives les séduisent davantage. Cela peut se faire d’autant plus facilement pour les thèmes encore en forte évolution comme la surveillance ou l’analyse de journaux du SI.

Une concurrence d’acteurs d’envergure bien implantés peut être complexe à dépasser pour une jeune pousse. C’est le cas sur le marché des EDR par exemple, de forts arguments différenciateurs seront alors nécessaires pour percer face à des acteurs majeurs déjà reconnus. A l’inverse, des thèmes comme la cyber-résilience et la cryptographie, par exemple, restent sous-adressés par rapport aux attentes du marché, et seraient donc plus faciles à percer de ce point de vue.

Enfin, la volonté d’investissement des donneurs d’ordres est également cruciale à prendre en compte. Si on reprend le sujet de la cryptographie, l’arrivée des ordinateurs quantiques est encore trop lointaine pour qu’il fasse partie de leurs préoccupations imminentes, l’horizon dans le secteur privé se situe certainement vers 2023/2024. Ceux de l’anonymisation des données tout en gardant la cohérence des bases anonymisées (synthetic data), du Data Leakage Prevention ou du Passwordless sont également des préoccupations majeures des entreprises qui n’ont toujours pas de réponses satisfaisantes sur le marché. La rationalisation des outils des RSSI, qui sont plus en recherche d’optimisation actuellement que d’investissement dans des nièmes solutions de sécurité, est un sujet qui sera bien plus présent à court terme.

Cette année, encore 32% des startups interrogées n’envisagent pas de lever des fonds, et plus de la moitié d’entre elles n’a jamais été accompagné dans leur développement.

Financement et accompagnement sont pourtant des accélérateurs intéressants, d’autant plus dans le marché extrêmement rapide de la cybersécurité, où la rapidité de conquête du marché est un atout crucial (retours d’ACE-Management sur le sujet à retrouver ici).

Cette absence de volonté de faire appel à des accélérateurs, constaté depuis plusieurs années, peut en partie s’expliquer par un manque historique de structures spécialisées en cybersécurité en France, complexifiant les échanges et la valorisation des startups auprès de ces dernières.

La situation a pourtant bien évolué et la considération au niveau national de la cybersécurité s’accélère particulièrement cette année :

• L’état mobilise des fonds pour l’innovation, en particulier dans le secteur de la cybersécurité pour lequel le plan de relance économique prévoit à minima 136 millions d’euros ;
• Un grand défi dédié à la cybersécurité a été lancé, la publication de sa feuille de route en Juillet de cette année a été suivie par un appel à projets de BPI France avec des investissements de plusieurs dizaines de millions d’euros ;
• Le fond français Brienne III, lancé officiellement en Juin 2019 par un premier tour de table à 80 millions d’euros et géré par ACE-Management, est spécialisé en cybersécurité. D’autres investisseurs n’hésitent pas aujourd’hui à financer des initiatives dans ce domaine.

Autant d’opportunités à saisir pour les startups de l’écosystème, dont il serait aujourd’hui dommage de se passer ! L’actualité met d’autant plus en lumière le fait que c’est le bon moment de se tourner vers ces accélérateurs, la cybersécurité apparaissant comme un élément essentiel du « nouveau monde », où le télétravail restera inscrit dans la durée.

Nous l’avons vu, les initiatives pour le développement de la cybersécurité fusent : l’état se mobilise (cyberdefense factory, grand défi, contrat de filière, campus cyber…), les investisseurs et incubateurs lancent également des initiatives privées.

L’état s’ouvre largement grâce à ces initiatives et adopte une posture de plus en plus tournée vers l’innovation. Espérons que ces mouvements incitent des collaborateurs des entités concernées à se lancer dans l’aventure entrepreneuriale. En effet, nos acteurs cyber étatiques disposent d’une visibilité sans pareille de la menace et utilisent des outils ou des approches qu’il serait bénéfique d’offrir au secteur privé à court ou moyen terme. La création de spin-off est encore trop timide en France comparé à d’autres pays, par exemple évidemment Israël mais aussi les Etats-Unis, où les entités étatiques sont parmi les premières pourvoyeuses de startuppers.

L’enjeu maintenant va être d’exploiter au mieux cette multiplicité de dynamiseurs potentiels de l’écosystème cyber français. Le risque serait que ces moyens d’accompagnement du marché se fassent concurrence et se dispersent, fonctionnent en silo, au point d’amener de la confusion et de « brouiller » les messages auprès des acteurs de l’écosystème.

Et cela serait vraiment dommageable. Nous sommes à l’aube d’une année charnière pour notre écosystème : toutes les composantes semblent réunies pour réaliser sa transformation et lui permettre de passer à l’échelle. La question nous semble maintenant être : réussirons-nous collectivement à concrétiser ce mouvement ? Car pour se faire, il nous semble essentiel de joindre les forces en présence, de les catalyser vers ce but commun. Un rôle que le campus cyber pourrait jouer ?