En France, l'innovation en cybersécurité se porte bien
Lors de Vivatech, Wavestone a dévoilé son radar 2023 des start-ups cybersécurité françaises, réalisé en partenariat avec Bpifrance. Cette édition souligne la bonne dynamique du secteur malgré le contexte économique incertain, notamment à travers la hausse du nombre de scale-ups et de nouveaux acteurs recensés.
PublicitéLe 15 juin, à l'occasion du salon Vivatech, le cabinet de conseil Wavestone a présenté les principaux enseignements de son radar 2023 des start-ups cybersécurité françaises, réalisé en partenariat avec Bpifrance. Premier constat, le secteur demeure florissant malgré les incertitudes économiques, avec 164 start-ups figurant sur le radar, auxquelles s'ajoutent 31 scale-ups (+7 par rapport à 2022), une entreprise du FT 120 (Yousign) et une licorne (Ledger). Et cette dynamique semble en bonne voie pour continuer, avec pas moins de 32 nouveaux acteurs identifiés cette année.
Pour sélectionner les start-ups figurant sur le radar, Wavestone s'est basé sur deux critères : un nombre d'employés inférieur à 35 et moins de 7 ans d'existence. « Les nouveaux entrants sont assez répartis dans les différentes catégories du radar », souligne Gérôme Billois, directeur de la practice cybersécurité chez Wavestone. Si certaines sociétés entrent dans le radar, d'autres en sortent. Parmi les 34 sortants, une dizaine sont devenues des scale-ups (qui atteignent au moins un quart des critères fixés pour rejoindre le FT 120), quatre ont passé le cap des 35 employés, une s'est fait racheter (Yagaan, acquise par Pradeo) deux ont pivoté pour basculer vers le conseil et 12 ont plus de 7 ans d'ancienneté. Mais 5 seulement ont connu une liquidation, un chiffre en baisse par rapport à 2022.
En 2023, 31 champions français de la cybersécurité
Les acteurs français de la cybersécurité qui réussissent à passer au stade de scale-up s'appuient sur trois leviers selon Wavestone : l'innovation technologique et commerciale, ainsi qu'une exécution parfaite de leurs opérations en France et à l'export.
En termes de levées de fond aussi, le temps reste au beau fixe, avec pas moins de 341 M€ levés en 2023 (en 2022, en excluant Ledger qui avait levé 330 M€, le montant global des levées de fonds s'élevait à 300 M€). Parmi les levées de fonds 2023, 11 ont dépassé les 10 M€ (Mailinblack, Tehtris, Datadome, Sekoia.io, Egerie, Trustpair, Crowdsec, Dust mobile, Citalid, Stoïk et Sesame it). « En termes de montants, la France se rapproche de l'écosystème cybersécurité du Royaume-Uni et de la Suisse, et devance les autres pays européens », observe Gérôme Billois. Ainsi soutenu, l'écosystème cybersécurité français représente aujourd'hui plus de 5000 emplois directs, et si la région parisienne concentre encore une majorité d'acteurs, une certaine décentralisation s'opère, avec 43% des structures implantées dans d'autres régions que l'Île-de-France, contre 33% en 2022. Rennes et Lille se distinguent en particulier comme deux pôles dynamiques en matière de cybersécurité.
PublicitéEn matière d'accompagnement, les acteurs du radar pointent des zones d'amélioration. Si 67% d'entre eux ont intégré un incubateur ou accélérateur à un moment donné, appréciant notamment les bénéfices en termes de réseau et visibilité, d'accès aux financements et à un écosystème d'entrepreneurs, ils déplorent aussi le manque d'expertise de la plupart des structures existantes sur leur domaine - un point qui devrait s'améliorer avec la montée en puissance du Cyber Booster à Rennes (dans la continuité de la Cyberdéfense Factory) et des Campus Cyber à Paris et Lille. Les start-ups cybersécurité souhaitent également être mieux accompagnées vers la phase de scale-up, et dans l'export de leurs solutions à l'étranger. Toutefois, cela n'empêche pas 59% d'entre elles de vendre déjà leurs solutions hors de France, principalement en Europe et au Moyen-Orient. Parmi celles qui se limitent au marché français, « la plupart figurent dans la catégorie gouvernance et risques conformité, avec des offres très adaptées aux réglementations françaises et européennes », pointe Gérôme Billois.
Sécuriser l'IA et ses usages
Wavestone s'est également intéressé au caractère innovant des solutions. Au niveau global, près de six start-ups sur dix réinventent des outils et approches existantes, contre 41% qui conçoivent de nouveaux types de solutions ou sécurisent de nouveaux usages. Néanmoins, 53% des nouvelles structures entrent dans la deuxième catégorie, révélant une tendance à la hausse en matière d'innovation. Toutefois, dans l'écosystème cybersécurité comme ailleurs, les freins habituels à l'innovation perdurent, avec 20% seulement des sociétés qui s'appuient sur les acteurs de la recherche pour leurs travaux, et 15% sur le secteur privé. La R&D reste donc complètement internalisée pour la plupart des start-ups (67%).
Parmi les nouvelles approches, le cabinet de conseil distingue trois domaines particulièrement porteurs, que des acteurs commencent à investir. Le premier concerne l'intelligence artificielle. Si 26 start-ups explorent le potentiel de l'IA pour répondre aux enjeux de cybersécurité classiques, quelques acteurs commencent également à travailler sur la sécurisation des outils basés sur l'IA, dont Mithril Security et Skyld. Le second domaine regroupe les solutions de nouvelle génération pour la sécurité des données, avec deux sous-familles : la sécurité des échanges sur le réseau et le cloud, via la fragmentation et le chiffrement transparent des données (avec des acteurs comme Snowpack ou Astran) et les nouvelles méthodes de chiffrement, comme le chiffrement post-quantique ou le chiffrement homomorphe. « Ce dernier vise à pouvoir effectuer des traitements sur des données tout en laissant celles-ci chiffrées, c'est un peu le Graal », explique Thomas Argheria, consultant senior dans la practice cybersécurité chez Wavestone. « Des acteurs comme Zama ou Ravel travaillent par exemple sur l'utilisation de moteurs d'IA avec des données qui restent chiffrées. » Le troisième domaine regroupe des offres adressées aux PME, avec des offres comme la plateforme de cyberdéfense Bastion ou le cyber assureur Stoïk.
La sécurité des produits, une niche à investir
Wavestone déplore cependant qu'un quatrième domaine reste inexploité, celui de la sécurité des produits. « Avec l'arrivée des règlements européens comme le Cyber Resilience Act (CRA), un vrai marché arrive », estime Gérôme Billois. Toutefois, concevoir des solutions destinées à ce créneau nécessite d'allier des compétences pointues en cybersécurité et en électronique, une double expertise rare, hormis chez quelques grands acteurs industriels, pointe-t-il.
En s'appuyant sur les données du radar 2023, Gérôme Billois suggère aux acteurs de l'écosystème français de miser sur trois leviers pour continuer de progresser. Les start-ups doivent s'appuyer davantage sur la recherche publique et le secteur privé, mais aussi sur les réglementations européennes, CRA, NIS2 ou encore DORA pour le secteur financier. Du côté des investisseurs, il incite ces derniers à aller chercher les levées de 100 M€, un palier clef pour le passage à l'échelle des start-ups.
Article rédigé par
Aurélie Chandeze, Rédactrice en chef adjointe de CIO
Suivez l'auteur sur Linked In,
Commentaire
INFORMATION
Vous devez être connecté à votre compte CIO pour poster un commentaire.
Cliquez ici pour vous connecter
Pas encore inscrit ? s'inscrire