Après une année 2022 exceptionnelle, l’innovation cyber française, entre accélération et remises en question

Deux ans après le lancement de la Stratégie Nationale Cyber pour renforcer la souveraineté et l’innovation française, le pari est-il tenu ? Alors que la tech connait une période de forte turbulence, la cyber en France semble résister. Ce qui ne va pas sans remises en question pour autant.

innovation cyber françaiseLe « choc SVB » a récemment secoué le monde de l’investissement dans l’innovation. Mais même avant la faillite de la banque californienne spécialisée dans les start-up, l’ambiance s’était considérablement ternie. « Nous pensons beaucoup plus sobrement à l’investissement dans les start-up » témoignait par exemple dès janvier Jeffrey Pichet Jaensubhakij, le chief investment officer de l’un des fonds souverains de Singapour (« The Big Squeeze », The Economist, 4 mars 2023).

En France, même si l’inquiétude est palpable chez les VCs et les porteurs de projets, la situation reste tout de même un peu moins tendue. En particulier quand il est question d’innovation en cybersécurité, l’un des domaines les plus dynamiques dans l’Hexagone. Deux ans après le lancement de la Stratégie Nationale Cyber visant à soutenir la filière et renforcer la souveraineté et l’innovation française, le pari est-il donc tenu ? On peut le penser, mais la période de turbulence ne va pas sans remises en question pour autant.

L’Europe gagne en maturité sur l’innovation cyber

La 4e édition du baromètre Tikehau Capital révélé le 8 mars dernier peut mettre du baume au cœur de l’écosystème cyber français. Cette analyse de l’investissement en cybersécurité a permis de souligner des tendances de fond positives. L’Europe pèse donc dorénavant pour 16% des montants levés en cybersécurité, contre 9% en 2021 et « dépasse significativement Israël » dont la cyber est l’une des spécialités historiques. « L’Europe gagne en maturité : le montant des levées de fonds est passée de 2 à 2,4 milliards d’euros entre 2021 et 2022, alors que sur la même période l’environnement mondial (regroupant Europe, USA, et Israël, dans le cadre du baromètre, NDLR) a vu une baisse globale des montants levés de 21 à 14,9 milliards » a ainsi exposé François Lavaste, directeur exécutif pour Tikehau Capital.

A l’occasion d’une rencontre organisée en amont du Forum International de la Cybersécurité, qui se tiendra du 5 au 7 avril à Lille, l’ancien dirigeant de la cyber (Airbus Cybersecurity, Stormshield…), rebondissait ainsi sur le dynamisme visible des acteurs innovants récompensés par le FIC dans le cadre de son Prix de la Start-up.

Clément-Rossi,-Head-of-Business-Development-et-affaires-extérieures-chez-CEIS

« Avec 81 candidats et 12 pays représentés, le Prix de la Start-up FIC commence à donner une photographie assez précise de l’innovation en cyber » estime Clément Rossi, directeur développement, affaires publiques & internationales pour Avisa Partners qui coorganise l’évènement lillois. « Sur quatre ans, nous sommes ainsi à +88% de participation. Et cette année, les deux tiers des candidats se présentaient pour la première fois. La cyber est un tissu très riche en innovation et très dynamique. Nos chiffres montrent que 80% des sociétés qui ont candidaté au Prix de la Start-up FIC font environ +20% de croissance, et que 60% envisagent une levée de fonds dans les six mois à venir. L’accès à l’investissement est assez favorable pour elles. »

Le delta entre Etats-Unis et Europe s’est réduit en 2022

La différence avec ce qui se passe outre-Atlantique n’en est que plus saisissant pour François Lavaste. « En un an, nous sommes passés de 18 à 11 milliards levés aux Etats-Unis. Il y a eu beaucoup moins de très grosses opérations. « L’IPO facile à 500 millions » n’est plus la norme » souligne-t-il. Pour le montant moyens des tours de table, l’écart se réduit également entre Etats-Unis et Europe. « En 2021, il était de 36,5 millions d’euros aux USA et de 9,7 millions en Europe. En 2022, nous sommes passés à 22,1 contre 13, le delta s’est considérablement réduit » insiste François Lavaste.

L’écosystème cyber est également moins chahuté que le reste de l’innovation numérique. « Nous comptons 200 levées cyber en moyenne tous les ans en Europe, de façon stable, alors que l’on a vu une baisse sur le secteur technologique global et une baisse de 19% des montants… Donc la cyber tire vraiment son épingle de jeu, avec 39 levées en France en 2022 contre 14 seulement l’année précédente. C’est un nombre record. » précise le représentant de Tikehau Capital.

Dans l’Hexagone, le Plan de Relance a sans doute été une des explications de ce dynamisme. Pour Florent Kirchner, coordinateur de la stratégie nationale pour la cybersécurité France 2030, les objectifs annoncés par le plan en 2025 sont bel et bien réalisables, mais doivent aussi permettre d’aller plus loin : « Tripler le chiffre d’affaires de la cyber, faire émerger trois licornes, créer 30 000 emplois… C’est important, mais nous voulons aussi voir émerger des porteurs de flambeaux, pour entrainer de nombreux autres acteurs de l’écosystème dans leur croissance, partout en France. On veut des leaders français et européens en cybersécurité. »

Dépasser un marché morcelé

La start-up Anozr Way, née en 2017, est la lauréate du Prix de la Start-up FIC 2023 (voir encadré). Après avoir levé 2 millions d’euros en 2020, elle prépare un autre tour de table conséquent pour financer sa croissance internationale, car l’entreprise s’est pensée « européenne » dès sa création. Une aspiration qui n’empêche pas Philippe Luc, son dirigeant, de mesurer la complexité du sujet : « On a la chance en France, d’avoir un modèle qui soutient fortement la naissance de l’innovation. L’accès à l’investissement initial est facilité. Le problème est de dépasser ce stade, notamment en trouvant des clients. Le marché français est tout petit et morcelé. Et en Europe, on a le même problème, avec de la concurrence entre les innovations. Dans ce contexte, je ne crois pas vraiment au champion français qui “boom” et conquiert l’Europe et l’Amérique. Avec de la chance, on en aura peut-être un ou deux, mais pas plus. »

« L’obstacle pour les start-up reste le même : convaincre les grands comptes. Aux Etats-Unis on est dans la logique « Fake it until you make it ». En France, les clients demandent plutôt dès le départ des produits quasi finalisés pour lancer les premiers contrats » analyse pour sa part Guillaume Tissier, directeur du FIC. Il reconnait lui-aussi le problème fondamental du morcèlement : « On paye le fait que l’écosystème est éclaté : on a encore peu de concentration. Un RSSI a en moyenne une quarantaine de solutions de sécurité, qui couvrent chacune un petit bout de sa protection, ce n’est pas gérable ! Il n’y a pas assez de partenariats sur l’écosystème ». Des exemples comme l’Open XDR Platform devraient donc être appelé à se mutliplier. Il note cependant que les lignes bougent chez les start-up. « On voit la bulle se dégonfler, avec une prise de conscience de la différence qui persiste entre le montant de certaines valorisations et la réalité des chiffres, des business models. Il faut donc espérer que l’on puisse aller vers un modèle plus vertueux ou l’argent est certes peut-être plus difficile à lever mais où il y a une plus grande facilité à trouver son marché et ses revenus. »

Le dirigeant souligne que le jury du Prix de la Start-up FIC interroge toujours précisément les candidats sur leur modèle économique et les stratégies de revenus. « L’innovation ne peut pas s’arrêter à une belle idée et à une technologie » souligne-t-il.

« Arrêter le bullshit »

Philippe Luc d’Anozr Way, en est convaincu :  « Le marché n’est pas en train de devenir plus difficile : il se régule, tout simplement. Il faut surtout que les entrepreneurs prennent leur responsabilité et évitent de chercher seulement de la « valo » ». Il s’étonne dans ce cadre qu’on puisse accepter l’idée de valorisations stratosphériques pour des entreprises « qui perdent encore des millions par an », tout en reconnaissant que les investisseurs qui créent cette dynamique changent progressivement leurs usages. « Ils évitent de plus en plus ces hyper valorisation, car le risque devient plus sensible ».

« On doit se projeter sur le temps long, éviter l’idée de faire des « coups » à court terme. En tant que dirigeant de start-up, nous devons montrer plus de résultats, nous concentrer plus sur les ventes. On porte la responsabilité de ne pas faire du « bullshit » comme il y en a tant sur l’innovation. Arrêter de survendre, de proposer des solutions à des faux problèmes… » juge encore Philippe Luc.

Comme le mentionnait Guillaume Tissier, c’est aussi aux entreprises consommatrice de cyber, de se mettre à niveau. La simplification du cycle d’achat est donc la clé. L’idée des « Proof of Concept gratuit » qui ont tué tant de start-up ces dernières années et encouragé le cercle vicieux des levées de fonds, est progressivement abandonné par les entreprises qui se veulent plus responsables. Ce n’est cependant pas toujours le cas pour leurs documents contractuels, long et complexes, qui mettent en difficulté les petites équipes d’innovateurs.

« Est-ce que les entreprises peuvent mettre en œuvre des programmes d’achat spécifiques pour start-up ? » s’interroge Guillaume Tissier. « Les achats avant commercialisation (Apac) ont pu permettre à certaines entreprises d’institutionnaliser et de sécuriser des PoC ». Le directeur du FIC note que dans le domaine de la cybersécurité les décideurs sont de plus en plus sensibles à la question, mais que le chemin est encore long. « Nous avons maintenant des directeurs de l’innovation qui viennent directement au FIC.  Mais pour être honnête, nous ne voyons pas encore de directeur des achats ! »

La stratégie deeptech

Ludovic Perret, Maître de Conférences, Laboratoire d'Informatique PolSys/LIP6 de la Sorbonne et co-fondateurs de CryptoNext Security Pour Ludovic Perret, maître de conférences à Sorbonne Université, et qui a été co-fondateur de la start-up CryptoNext Security, spécialisée dans la réponse cyber aux avancées quantiques, l’un des enjeux actuels réside aussi dans la capacité à créer des vocations entrepreneuriales chez les chercheurs en cybersécurité. « Il n’y a pas assez de deeptech cyber aujourd’hui » juge le spécialiste, qui essaye de faire bouger les lignes à son niveau, en s’engageant comme business angel.

Cet « effet deeptech » serait également appréciable pour Guillaume Tissier, pour qui, quitte à avoir moins de rentabilité à court terme, autant aller chercher « des innovations profondes, qui changent la donne durablement ». Philippe Luc ne dit pas autre chose : « Nous sommes par définition une deeptech de la cyber, avec 15 personnes dans un laboratoire de R&D, ce qui a un coût certain et vient naturellement amputer l’Ebitda. Notre objectif est l’équilibre financier en 2025. Mais par mon parcours, je viens de l’ancienne économie, et je me projette bien sur cet objectif de rentabilité, par sur une course à la valorisation ».

L’année 2022 a bénéficié du rebond économique certain dû à l’après-crise Covid. C’est donc à partir de 2023 que les indicateurs pourront vraiment montrer si l’innovation européenne arrive à se penser sur le long terme de façon pérenne. Et si c’est le cas, nul doute que les innovateurs de la cyber pourraient faire partie des meilleurs exemples à suivre.

Anozr Way, la promesse de faire de la cyber autrement récompensée par le FIC

Que voit une cyberattaque de chacun d’entre nous ? Cette question, qui consiste à se mettre dans les bottes d’un criminel pour comprendre la valeur qu’il va rechercher en visant une cible, dirigeant ou collaborateur, dans l’entreprise, n’est sans doute pas assez posée. « Même une recherche Google sur soi, ne donne pas vraiment d’information satisfaisante. Et si on rajoute le dark web dans l’équation… En fait, personne ne connait vraiment son empreinte numérique » résume Philippe Luc, le CEO d’Anozr Way. Créée en Bretagne, terre de cybersécurité, en 2017, la start-up a voulu dès le départ être en rupture dans un monde de l’innovation qui se concentrait avant tout sur la faille technique plutôt que sur l’humain. « Notre objectif est de pouvoir montrer aux gens ce qu’un attaquant voit d’eux, comment il pourrait l’exploiter et comment le corriger rapidement. Ce n’est pas de la formation, c’est un moyen d’éviter d’être des cibles faciles. » En s’attaquant ainsi au sujet de l’ingénierie sociale, à l’origine de tant d’arnaques et d’attaques beaucoup plus graves, Anozr Way veut sortir du sempiternel discours autour de la « sensibilisation », jugé trop peu efficace.

« On nous a dit au départ que vouloir s’occuper des humains en cyber, c’était comme verser de l’eau sur du sable. Que c’était trop compliqué et peine perdue. Quand on expliquait comment un patron du CAC40 pouvait se faire hacker à partir des données qu’il laissait visible, on nous disait que c’était Hollywood » se souvient le CEO. « Mais nous avons vu l’explosion de l’ingénierie sociale pendant le Covid. Nous ne nous étions pas trompés ». La start-up, qui compte parmi ses clients des enseignes comme la MGEN, compte maintenant accélérer : sa prochaine levée de fond permettra de financer une stratégie commerciale plus ambitieuse et d’aller chercher de la marge, alors qu’elle vise la rentabilité d’ici deux ans. En 2023, elle bénéficiera d’ores et déjà de la reconnaissance et de l’effet de traction amenés par le Prix de la Start-up FIC, qu’elle a remporté devant 80 autres dossiers.