Les entreprises ne savent plus où donner de la tête. Du malware Eko qui vise actuellement les particuliers à partir de Facebook Messenger, jusqu’aux cyberattaques majeures, insidieuses et multiformes, qui ciblent des sites industriels, le vol, l’espionnage et le sabotage par voie numérique sont devenus de véritables business. Mais du côté des « défenseurs », la situation n’est guère plus claire : le marché peut-il se clarifier ?

Le marché des solutions et des services de cybersécurité a connu un véritable boom en une décennie. Les dépenses mondiales en matière de cybersécurité ont représenté 75 milliards de dollars pour l’année 2015 (Source : Gartner). Ce marché est également très fragmenté. Depuis les purs acteurs de niches jusqu’aux généralistes de l’informatique intégrant la cybersécurité au côté de leurs autres expertises, les offres à disposition sont aussi riches que nombreuses. Aux Assises de la sécurité 2016 à Monaco, ce sont ainsi plus de 150 prestataires qui cherchent à convaincre que leur approche du sujet sécurité correspond aux priorités actuelles des nombreux DSI et RSSI à avoir fait le déplacement jusqu’à la Principauté.

Parmi cette pléthore de possibilités, comment s’y retrouver ? Est-il intéressant de multiplier les prestataires à l’heure où les besoins des entreprises évoluent à grande vitesse ? Durant l’été, la rédaction d’Alliancy a invité dans ses locaux plusieurs acteurs emblématiques du marché et leur a demandé de clarifier leur position et leurs messages aux entreprises. Florilège des réponses de deux d’entre eux.

La cybersécurité peut-elle porter un message positif ?

« Beaucoup d’acteurs dans notre métier ont encore tendance à marteler avant tout des messages anxiogènes. Toutes les présentations démarrent par les dernières attaques, ou par rappeler les DSI ou les PDG qui ont perdu leur poste en conséquence. Cela ne fonctionne pas ou très mal : nous avons interrogé les dirigeants sur leur perception de la cybersécurité en 2016, et seuls 40% d’entre eux considèrent le sujet comme un risque opérationnel ; c’est problématique. Il est nécessaire d’être beaucoup plus positif et proche de la vision business pour se faire entendre », nous a ainsi expliqué Michel Van den Berghe, directeur général d’Orange Cyberdéfense.

L’acteur français peut être vu comme récent sur le marché, il n’en reste pas moins incontournable. La constitution de la filiale, par croissance externe et par consolidation des compétences à travers le groupe, date de la décision par Stéphane Richard, PDG d’Orange, de faire de la cybersécurité un des piliers majeurs de l’activité de l’opérateur historique à horizon 2020. En janvier 2016, pour la première fois, le PDG fait une apparition remarquée au FIC, l’autre grand évènement cyber français, créé à l’initiative de la Gendarmerie, comme l’a rappelé Nicolas Arpagian, directeur de la stratégie d’Orange Cyberdéfense.

Comment la filiale entend-elle répondre à la confusion ambiante qui règne chez les entreprises quand il est question de faire appel à des prestataires cyber ?

« Il faut devenir le partenaire de confiance référent de l’entreprise. Face à la rapidité à laquelle celles-ci se transforment, elles ne souhaitent plus multiplier les accords avec de nombreux experts sur chaque sujet, mais au contraire pouvoir être accompagnées dans une « posture de cyberdéfense globale », holistique autant que réactive, qui réunira conseil, action de défense périmétrique, gestion des identités… mais aussi de réponses proactives, de réponses rapides à incidents, jusqu’à la détection prédictive de signaux faibles », résume Michel Van den Berghe.

Pour le directeur général, le soutien du groupe Orange dans son ensemble est une des clés du succès et assure la taille critique nécessaire à la réalisation de cette ambition (Orange Cyberdéfense réunit 1200 personnes pour 250 millions d’euros de chiffre d’affaires, ndlr). Etre filiale du principal opérateur télécom français est vu comme un autre différenciateur, en fournissant une capacité à détecter les attaques bien en amont sur les réseaux, plutôt que de gérer les problèmes aux portes des entreprises.

La sécurité dans la transformation numérique : sujet de Comex

A l’avenir, les entreprises n’auront-elles donc plus de question à se poser ? Passeront-elles vraiment par un interlocuteur unique pour les accompagner sur l’ensemble de leur stratégie de défense ? Cela nécessiterait qu’il sache s’adapter en continu à leur transformation numérique permanente, grâce à une confiance et une intimité partagée. Rares sont les entreprises à pouvoir prétendre atteindre une telle osmose avec leur client, d’autant plus sur un sujet « régalien ».

Cette vision est cependant en partie partagée par Edouard Jeanson, en charge du business développement pour Sogeti, qui réunit 2500 spécialistes de cybersécurité dans le monde. « Notre approche du conseil permet aux entreprises de définir leur stratégie, puis de les aider dans les choix de prestataires. Nous ne vendons pas de produits, pas plus que nous ne sommes opérateur de réseau : cela nous permet d’être parfaitement neutre et agnostique. En tant que filiale dédiée’ à la sécurité de Capgemini, nous sommes complètement liés à une vision transversale des enjeux de nos clients : quand Capgemini apporte son expertise dans la transformation numérique globale des entreprises, la sécurité est donc incluse dès le départ, ce qui permet de couvrir l’ensemble des réalités auxquelles est confronté un dirigeant. »

Pour ce spécialiste, la sécurité numérique est ainsi devenue entièrement un sujet de Comex. Il est donc tout à fait naturel que les prestataires adaptent leur niveau de discours et soient capables d’apporter des réponses d’ensemble, stratégiques, aux entreprises. Et que l’un d’entre eux, au moins, se pose comme interlocuteur de référence. « Nous sommes aujourd’hui bien plus en contact avec des directeurs généraux qu’avec des experts techniques quand il s’agit de parler de sécurité. Le point d’entrée est le risque. Arbitrer sur ce risque, que l’on souhaite le couvrir, l’ignorer ou l’assurer, est du ressort de la direction. Et ce dont a besoin une direction aujourd’hui, ce n’est pas tant d’entrer dans le détail des briques technologiques, que d’être bien orientée et conseillée, sur tous les sujets de sécurité et au niveau mondial », assène-t-il.

Oublier la complexité

Réunie autour de la même table, les deux entreprises reconnaissent bien se connaître et être des coopétiteurs : concurrentes parfois, mais comptant parmi les quelques acteurs « de confiance » sur le marché qui sont prêts à assumer un travail de fond auprès des directions en s’engageant sur le long terme, contrairement à certains acteurs « opportunistes » et « attirés par l’effet de mode ».

Evoquer la réputation de complexité de la cybersécurité pour des acteurs non-spécialistes fait bondir Edouard Jeanson : « La cybersécurité ne doit pas être un sujet complexe pour les dirigeants – vous l’évoquez et on l’entend trop souvent. Pour eux, c’est avant tout faire preuve de bon sens. Qu’est-ce qui fait ma valeur, ma richesse ? Quelles sont les pépites de mon entreprise que je dois protéger ? Ce sont des questions naturelles : c’est le cœur de la sécurité et ils peuvent y répondre. Tout le reste viendra après. »

Orange Cyberdéfense comme Sogeti entendent donc démystifier la « complexité » de la cybersécurité. En se positionnant comme des interlocuteurs de premier plan pour les dirigeants, ils se voient comme des auxiliaires permanents sur toute la chaîne de sécurité. Pour autant, seules quelques entreprises peuvent aujourd’hui espérer ce genre de positionnement ; pour de nombreuses autres, de taille plus modeste, les expertises se concentrent et les interlocuteurs restent des experts techniques et sécurité au sein des organisations. Malgré des séquences de rachats pour consolider technologies et expertises, le marché reste encore très jeune et peu concentré… et la majorité des entreprises auraient encore bien besoin d’une carte et d’une boussole pour s’y retrouver.  

Cybersécurité, la rédaction d’Alliancy, le mag a mené l’enquête ! Découvrez dans notre dernier guide, les témoignages d’experts qui reviennent sur les principaux axes d’amélioration des entreprises pour les mois à venir. > Je télécharge