Business

La Société Générale a décidé d'aider les TPE/PME à sécuriser leur IT grâce à une start-up interne

De gauche à droite : Bruno Delas (COO Banque de détail France Société Générale), Arnaud Vallée, Jérôme Pénichon et David Prache (co-fondateurs de Oppens.fr).

Issue de l'Internal Start-Up Call de 2018 de la Société Générale, Oppens propose des services packagés en cyber-sécurité pour TPE/PME. La start-up s'appuie sur l'expertise interne et le réseau de distribution de la banque mais propose des services multiples à toutes les petites entreprises en ayant besoin.

PublicitéUne banque est-elle vouée à offrir des services IT ? Pas nécessairement mais elle dispose d'un savoir-faire interne pour ses propres besoins qui peut être intéressant pour des tiers. « Amazon a développé AWS à partir des expertises qu'il avait dû développer pour son propre usage » a rappelé Bruno Delas, COO Banque de détail France Société Générale, lors de la conférence de presse du 27 février 2020. Surtout, les TPE et PME se tournent spontanément vers leur banque en cas d'incident qui perturbe son accès à ses opérations et ses finances (par exemple un ransomware bloquant l'accès aux paiements de salaires). Arnaud Vallée, co-fondateur de la start-up Oppens, a ainsi mentionné : « 80 % des plus de 400 entreprises avec lesquelles nous avons été en contact au cours de notre incubation ont jugé que leur banque était légitime pour leur parler cybersécurité. » Pour lui, la banque, tiers de confiance par nature, est un peu comme le médecin de famille vers qui on se retourne quoi qu'il arrive.

Malgré tout, l'activité bancaire est précisément réglementée. Et ce service prend donc place dans une société dédiée qui a été officiellement créée en janvier 2020, Oppens. Arnaud Vallée, Jérôme Pénichon et David Prache sont les trois intrapreneurs du groupe Société Générale qui ont fondé cette start-up aujourd'hui dotée d'un capital d'un million d'euros entièrement souscrit par le groupe bancaire. Issue de l'Internal Start-Up Call de 2018, Oppens est l'une des 8 start-ups qui ont abouti sous forme de société créée sur une base de 600 idées remontées initialement. Sur celles-ci, 250 avaient été retenues pour étude et 60 avaient trouvé un sponsor à la direction du groupe, condition sine qua non pour poursuivre. En l'occurrence, Oppens a deux sponsors : Marie-Christine Ducholet, directrice banque de détail (côté métier), et Bruno Delas, COO banque de détail (côté IT). Les trois intrapreneurs sont restés salariés de la banque depuis le départ et le sont encore aujourd'hui.

Un savoir faire interne pouvant avoir une valeur externe

Comme pour toutes les banques, la cybersécurité est un savoir-faire et un défi permanent pour la Société Générale qui ne peut que confirmer le constat général d'une croissance permanente du niveau de menace (phishings, ransomwares, dénis de service...), dont le coût est estimé à plus de 600 milliards de dollars chaque année. « La menace s'est industrialisée : chaque semaine, nous faisons fermer 60 sites de phishing et le risque cyber est aujourd'hui classé au sommet des risques pour les banques par la BCE » a rappelé Bruno Delas. La question est traitée au sein du groupe bancaire par 700 spécialistes (une centaine de recrutements est prévue sur l'année) sur un total de 12 000 informaticiens. Un budget de 350 millions d'euros a été mobilisé pour les trois prochaines années. La cybersécurité, pour une banque, c'est bien sûr une nécessité pour rester un tiers de confiance pour tous les clients, ainsi qu'éviter la fraude et les vols de données. Chaque banque doit aussi respecter ses obligations de cybersécurité tout en s'ouvrant toujours plus (accès web 24/7 des clients à leurs comptes, travail ubiquitaire des conseillers bancaires se rendant en clientèle, DSP2, etc.).

PublicitéLes trois intrapreneurs ont eu l'idée d'utiliser le savoir-faire interne pour répondre à une demande des clients. « 70 % des entreprises reconnaissent avoir été attaquées et 50 % de celles ayant été victimes d'une attaque réussie ont fait faillite dans les six mois » a rappelé Arnaud Vallée. Bruno Delas justifie l'existence d'une start-up comme Oppens dans la galaxie bancaire de la Société Générale : « d'un côté, les clients sont demandeurs d'une assistance en cyber-sécurité, de l'autre l'idée d'avoir, au sein du bouquet de services, un service de protection des données vise à renforcer l'aspect tiers de confiance. » Si la plupart des entreprises, y compris TPE, sont conscientes du risques, seules les grands comptes (voire les ETI) peuvent se permettre d'embaucher des experts ou de recourir à des services et des outils complexes. Pour Arnaud Vallée, « si les patrons de TPE/PME sont conscients du problème, ils sont incapables d'évaluer le risque, de se donner des priorités et de déterminer sur quels acteurs adaptés à leur situation ils peuvent se reposer. » Or le tissu économique est composé très majoritairement de TPE/PME.

Un coach en cybersécurité pour les TPE/PME/etc.

« Oppens est un coach en cybersécurité digitale » a indiqué David Prache. Ses services sont destinés aux acteurs professionnels de petite taille : TPE/PME, associations, petites collectivités locales, etc. En se connectant au site Oppens.fr, l'utilisateur peut bénéficier de services en trois étapes. Les deux premières sont gratuites. Pour commencer, le site propose une évaluation du risque via des questionnaires d'auto-diagnostic, avec un résultat immédiat. Dans la foulée, le site donne des recommandations pour fixer les priorités. Enfin, Oppens propose un accompagnement.

Cet accompagnement peut être soit gratuit soit payant (actuellement, environ un tiers de la cinquantaine d'offres proposées est gratuit, les deux autres tiers sont proposés entre 15 et 5000 euros). Il peut s'agir de simples fiches (voire affiches de sensibilisation à placarder dans ses locaux), de logiciels ou d'offres de services comme des formations (y compris des formations issues de celles opérées en interne à la Société Générale) ou des audits. Avec une logique freemium, Oppens se rémunère par commissionnement sur les ventes opérées. « Nous sommes une sorte de marketplace sélective visant à simplifier l'accès à des solutions de sécurité » précise David Prache. Souvent issues d'offres destinées à des grands groupes, les services proposés sont packagés pour être accessibles à des PME/TPE. Jérôme Pénichon ajoute : « dans les premiers contacts avec des entreprises clientes, la moitié s'intéresse à la prévention, l'autre moitié appelle en étant en situation de crise. »

Des services qui vont se développer

Oppens a ainsi travaillé ces offres avec les fournisseurs pour que les PME bénéficient d'un service simple, clair, à un prix acceptable et dans un environnement de confiance. Pour adapter une offre complexe et onéreuse à une TPE, il est par exemple possible de remplacer de coûteuses réunions préalables avec des experts par un simple questionnaire auto-administré. Face à une pléthore d'offres de sauvegarde, Oppens propose aussi un cheminement en trois questions pour délivrer un devis et un contrat type. La start-up va bénéficier de la force commerciale de la Société Générale car elle est là pour permettre à un conseiller d'aider son client en détresse. Mais ses services sont proposés à toutes les entreprises, qu'elles soient ou non clientes de la Société Générale. Pour l'instant, Oppens est mise en avant dans deux sites pilotes parmi les trente centres d'affaires B2B de la banque. La start-up va également bénéficier de partenaires tels que les CCI, la CGPME, etc.

Les services proposés par Oppens sont appelés à s'enrichir. Typiquement, la Société Générale travaille sur une offre de cyber-assurance qui devrait trouver sa place dans les propositions de la start-up. Mais, pour la première année, les objectifs commerciaux sont limités. La rentabilité n'est pas attendue avant quatre ans. Oppens sera jugé comme étant un succès si, en première année, 15 000 entreprises se connectent à ses services, elle prouve ainsi qu'elle atteint ses objectifs de proposer une offre simple répondant aux besoins des petites entités et prouve également ses possibilités de scalabilité. Une extension de l'offre dans d'autres pays que la France voire aux particuliers n'est pas exclue à terme mais ce n'est pas aujourd'hui une priorité.