PME/TPE/Start-ups : Comment les accompagner dans leur politique de cybersécurité ?

 

Les grands groupes travaillent de plus en plus aux côtés de start-ups afin de développer des solutions adaptées aux transformations digitales. Quels sont les risques et les bénéfices de ce type de collaboration ? Cette table ronde des Assises de la Sécurité 2018 apporte des éléments de réponse.

 

Pourquoi les grands groupes travaillent-ils avec des start-ups ?

 

Pour le groupe Lagardère, le souhait de travailler avec des start-ups répond à une volonté de favoriser un écosystème ainsi qu’une responsabilité sociale et entrepreneuriale. Il s’agit également d’une veille technologique destinée à identifier les fournisseurs les plus adaptés.

Lagardère travaille avec des fonds d’investissement en France, qui lui font parvenir chaque mois des « deal flows » comportant des sociétés classées, orientées métier dans le domaine des IT (technologies de l’information) et SSI (sécurité des systèmes d’information). L’objectif est d’identifier les sociétés et les solutions adaptées à l’entreprise.

Le groupe EDF, de son côté, est soumis à une obligation de mise en concurrence selon des modalités similaires aux marchés publics peinant à favoriser les écosystèmes de petite structure.

Il s’agit donc d’une démarche d’innovation pour les petits marchés, permettant de mettre en place une action simplifiée afin de faire entrer de nouveaux acteurs. Il est ainsi possible de tester l’ensemble de leurs technologies et de les mettre en œuvre dans des phases pilotes pour répondre aux besoins de l’entreprise. Ces besoins sont de deux natures :

  • Un besoin d’approche d’innovation concernant certaines offres de produits. L’idée est de créer des déclinaisons plus intelligentes par rapport aux usages habituels de l’entreprise.
  • Trouver des technologies qui n’existent pas encore afin de les inclure dans des environnements de type industriel. Il est opportun de disposer d’acteurs de ce type au sein d’environnements auparavant cloisonnés, pour apporter des solutions pertinentes.

 

Quelles sont les implications pour les jeunes pousses ?

 

La notion de maturité des grands comptes est importante dans le cadre de l’accompagnement des start-ups. Si un concept est pertinent, les grandes entreprises savent qu’elles pourraient en faire quelque chose à l’avenir, mais ce n’est pas toujours le bon moment. Dans ce cas, des échanges ont lieu avec la jeune entreprise et la collaboration peut être reportée.

Sentryo est une start-up dédiée à la cybersécurité pour les systèmes industriels, donc forcément des grands comptes. Pour attirer l’attention de grands comptes, la société a entrepris des actions  dès la conception de sa solution. Elle a ainsi mis en place un «  customer development » et a rencontré une cinquantaine de RSSI de grands groupes avant même d’écrire la première ligne de code. Ceci afin de partager les idées, jusqu’à obtenir progressivement de vrais sponsors.

La start-up Alsid estime que lorsque l’on travaille pour un grand compte, il est possible de faire valoir ce partenariat auprès de n’importe quelle entreprise à travers le monde. Les starts-ups doivent être taillées d’emblée pour répondre aux exigences des grandes entreprises. Il importe qu’elles se mettent en conformité avec leurs exigences techniques ainsi qu’en matière de sécurité.

La notion d’exclusivité n’est pas réellement pertinente, puisqu’une jeune pousse peut parfaitement travailler avec plusieurs grands comptes en même temps. Cela est même plus cohérent et nécessaire afin de produire une solution utilisée au sein d’environnements multiples et non dédiée à un usage. Ceci afin d’obtenir un effet de levier économique.

 

Quels sont les risques et les problèmes de ce type de collaboration ?

 

Une grande entreprise consomme du temps lors de l’accompagnement d’une jeune société, c’est pourquoi elle doit faire attention à l’écosystème en termes de risques. Elle doit évaluer les domaines impactés par cette collaboration et les conséquences qu’elle peut avoir sur eux. Il faut par ailleurs être capable de signer un contrat rapidement et savoir dans quelle mesure la technologie peut être appliquée. Généralement, un grand compte se heurte à des problèmes spécifiques :

  • Partie contractuelle : le service juridique doit consentir à sortir légèrement du cadre habituel, par étapes. Dans un groupe comme Lagardère, les juristes sont toutefois habitués depuis des années à ce type de souplesse. Il existe une volonté de ne pas perdre de temps sur la valeur produit et être prêt à faire des écarts de manière raisonnable.
  • Niveau d’investissement en phase pilote : les groupes connus sont vus comme une « poule aux œufs d’or » alors que dans une phase test, les budgets investis sont moindres. Ce qui peut être déceptif pour les jeunes pousses.
  • Niveau de maturité des start-ups : pour une société telle qu’EDF, les environnements de production sont des endroits dangereux où l’on intervient dans la maintenance, où l’on peut se blesser et où il faut vérifier l’identité des personnes présentes. Cela doit être expliqué aux petites structures. Parfois, les solutions doivent être testées en laboratoire avant de revenir dans les environnements de production au regard de la maturité des start-ups.

Les start-ups, de leur côté, répondent aux demandes de changement émises par les grandes compagnies en déployant des méthodes agiles. Ces méthodes doivent leur permettre de changer de cap et d’améliorer le plan toutes les trois semaines. Tout cela en conservant la propriété intellectuelle de la solution fournie.

 

Quels sont les aides possibles et les bienfaits de cet accompagnement ?

 

Au sein de start-ups, des réunions de sensibilisation des effectifs peuvent s’avérer judicieuses pour mobiliser les effectifs. Par ailleurs, des aides financières peuvent provenir des fonds d’investissement.

On peut également mentionner la Banque publique d’investissement (BPI) qui permet de chercher des financements pour des opérations de certification ou de qualification de solutions. Ces processus peuvent s’avérer longs et coûteux, mais grâce à cette aide publique, les start-ups peuvent se lancer dans leurs démarches sans puiser dans leurs fonds propres et en limitant les risques.

Pour convaincre les investisseurs français et européens qui ne sont pas matures en cybersécurité, il est important que des grands comptes supportent les opérations des jeunes pousses lorsqu’elles réalisent des levées de fonds. Cela permet de crédibiliser les équipes, mais aussi les solutions, ainsi que de créer un véritable écosystème cohérent.

En conclusion, face à des univers qui se transforment très rapidement, les outils déployés chez les grandes entreprises ne suffisent pas forcément. Ceux fournis par de jeunes sociétés se montrent donc parfaitement complémentaires et peuvent à terme prendre la place des anciens process.  

Intervenants : Thierry AUGER, LAGARDERE ; Emmanuel GRAS, ALSID ; Laurent HAUSERMANN, SENTRYO et Olivier LIGNEUL, GROUPE EDF

VOIR LES AUTRES CONFERENCES