Passer au playerPasser au contenu principal
  • il y a 11 heures
Ce mardi 30 juin, Gérôme Billois, associé en cybersécurité et confiance numérique au sein du cabinet Wavestone s'est penché sur le Radar des startups cybersécurité françaises 2026, dans l'émission Tech&Co Business présentée par Frédéric Simottel. Tech&Co Business est à voir ou écouter le mardi sur BFM Business.

Catégorie

📺
TV
Transcription
00:00Tech & Co-Business, l'invité.
00:05Notre invité, on va parler de cybersécurité, start-up, IA, avec Jérôme Bilba.
00:09Bonjour Jérôme.
00:10Bonjour.
00:11Merci d'être avec nous, spécialiste associé en cybersécurité au sein du cabinet Wavestorm.
00:16On va parler d'un radar des start-up, c'est la 8e édition, environ un peu plus de 200
00:21start-up qui sont évaluées.
00:23On va parler beaucoup de tout ça.
00:27Ma première question, on n'a jamais eu autant de start-up en France, on a toujours un volume qui
00:34augmente,
00:34mais on a toujours ce souci pour passer à ce qu'on appelle les scale-ups.
00:39C'est le financement qui manque toujours, c'est l'expérience.
00:41C'est l'enseignement de cette année.
00:43D'un côté, on a effectivement une très forte croissance, je pense qu'on y reviendra,
00:45qui est aussi boostée par l'intelligence artificielle, évidemment.
00:48Mais c'est vrai que l'écosystème peut avoir tendance à plafonner, c'est-à-dire que ça fourmille de
00:52petites start-up.
00:52Et puis quand on regarde ce qui se passe à l'échelon supérieur, c'est-à-dire les scale-ups,
00:55les sociétés qui ont levé plus de 10 millions d'euros ou celles qui font plus de 25% de
00:59croissance par an pendant au moins 3 ans,
01:01eh bien là, le nombre cette année décroît.
01:03Il y a comme un plafond de verre qui est dû à plusieurs causes qu'on analyse dans l'étude.
01:09D'abord, effectivement, des difficultés de financement européens.
01:12C'est-à-dire qu'on voit que ceux qui arrivent à lever des fonds suffisants pour passer cette étape
01:16cruciale,
01:18ça se passe souvent en Israël, ça se passe souvent aux États-Unis,
01:20mais justement avec des fonds américains, quand on va chercher les 70 millions, les 100 millions.
01:26Ou alors quand ça se passe en Europe, c'est avec des investisseurs américains souvent ?
01:30Voilà, même s'il y a quand même des nouvelles intéressantes qui arrivent
01:34avec le fonds de fonds qui est en train d'être créé à l'échelle européenne.
01:36La Banque Européenne d'Investissement, ça a été annoncé la semaine dernière,
01:39se mobilise aussi et sous l'égide des travaux d'Exo,
01:43l'Association Européenne de Cybersécurité.
01:45Mais voilà, on essaye vraiment de déverrouiller pour qu'il y ait des institutions,
01:49des institutionnels comme la BEI qui suivent et que du privé puisse derrière abonder aussi
01:55pour essayer de casser ces plafonds de verre.
01:58Donc, investissement ?
01:59Voilà, première raison, les difficultés d'investissement.
02:02Et puis deuxième, c'est quand même les clients.
02:04C'est-à-dire qu'en fait, on voit que ces structures, à un moment,
02:06elles ont un bon premier produit.
02:08Ils trouvent un marché parce qu'ils ont réussi à devenir scale-up.
02:11Mais après, les clients sont plus exigeants.
02:13Les clients veulent plus large, veulent plus international.
02:16Et souvent, la start-up, initialement, elle était sur son segment très précis.
02:20Elle a une crise de croissance, à la fois dans son fonctionnement interne,
02:23mais aussi dans l'adéquation finalement de son produit,
02:25qu'il faut qu'elle réinvente d'une certaine manière, qu'elle élargisse.
02:29Et parfois, c'est difficile.
02:31Et s'intégrer à des plus grosses plateformes,
02:33parce qu'on connaît, on sait qu'il y a des acteurs mondiaux
02:35qui peuvent intégrer différentes plateformes.
02:37Ça peut être un moyen d'être distribué par un palo alto ?
02:42En tout cas, c'est une demande des clients aujourd'hui.
02:44Parce que si on regarde les grands responsables de cybersécurité,
02:47aujourd'hui, ils ont un objectif, c'est réduire le nombre de produits.
02:49Et justement, pour aller vers des plateformes qui intègrent de multiples fonctionnalités.
02:54La difficulté, c'est qu'aujourd'hui, les grandes plateformes de cyber,
02:56elles sont américaines.
02:58On va parler de Microsoft, de Palo Alto, de Zscaler, etc.
03:02Et donc, ça voudrait dire qu'il faut qu'ils vendent leurs startups.
03:05Comme c'est déjà arrivé, on sait que ça voudrait dire aussi
03:08une part de départ de toute cette innovation.
03:11Donc, la clé, c'est certainement d'arriver à avoir des plateformes européennes.
03:15Et c'est ce qu'on a pu observer cette année,
03:16c'est qu'on a des frémissements de rachats entre startups.
03:19L'année dernière, il y avait eu huit rachats.
03:21Cette année, il y en a eu huit à nouveau.
03:23Alors que les années d'avant, on ne le voyait pas.
03:25Pour que nos petites startups, nos PME de la cyber,
03:28commencent à devenir des ETI, commencent à avoir des plateformes.
03:30Et c'est vraiment ce qu'on appelle de nos vœux.
03:32Et alors, on sent aussi que l'IA prend une place de plus en plus importante.
03:39Alors, dans le domaine IA global, on parle,
03:41est-ce qu'on est dans une bulle ou pas ?
03:42Mais là, est-ce qu'il y aurait une bulle dans la cybersécurité française aussi ?
03:45En tout cas, il y a une sacrée croissance de la création de startups grâce à l'IA.
03:49On a doublé le nombre de nouvelles startups.
03:51Si on regardait 2025, on regarde 2026.
03:55L'analyse...
03:56C'est 105 pour être précis.
03:58Voilà, 105 nouvelles.
03:59D'habitude, on était autour de 45.
04:01Nous, ce qu'on fait pour créer ce radar, c'est qu'on source toutes les startups,
04:03mais après, on échange avec elles.
04:05On fait des entretiens avec elles pour vraiment comprendre ce qu'elles ont dans le ventre,
04:09comment ça marche, etc.
04:10Et puis 105, la diversité, c'est dingue.
04:12Pour trouver celui qui va se débarquer par rapport à un autre,
04:15alors la différence doit être assez tenue parfois.
04:17La différence, elle est tenue parce qu'il y a un peu un embouteillage
04:20sur le segment qu'on appelle de la gouvernance, des risques, de la conformité.
04:24Donc, une plateforme qui permet de suivre tout ça.
04:25Un peu un embouteillage aussi sur la gestion des vulnérabilités,
04:28l'automatisation des tests de sécurité.
04:31Et le problème, c'est que cet embouteillage, quelque part,
04:34il y a deux fois plus de startups, mais il n'y a pas deux fois plus de clients.
04:37Quand on analyse les budgets cyber,
04:39ils ont eu une croissance l'année dernière de plus 1,3.
04:44Donc, effectivement, ce qu'on voit, c'est qu'il y a eu une accélération,
04:46parce que beaucoup de startuppers ont utilisé l'IA
04:48pour sortir leurs produits plus vite.
04:50et on voit vraiment cette accélération dans l'arrivée des structures.
04:54Par contre, il n'y a pas la même accélération chez les clients.
04:56Donc, on a un risque quand même d'avoir plus de casse dans les années qui viennent.
05:01Est-ce qu'il y a un message qui perturbe un peu tout ça sur le marché de l'IA
05:04?
05:04On est en ce moment en pleine dans l'actualité avec chez GPT 5.4,
05:08avec Mythos surtout.
05:10Est-ce que ça ne perturbe pas un peu le message donné de la cyber
05:15qui devient des applications qui deviennent encore plus vulnérables avec ces IA ?
05:19Alors, ça bouillonne dans tous les sens.
05:21Il y a plein d'axes qui se collisionnent.
05:22Il y a un axe, l'arrivée de ces nouveaux modèles
05:24qui finalement ont des puissances, une puissance en cybersécurité énorme,
05:28fait craindre de très nombreux risques.
05:30Et on voit une accélération des discussions avec les bords dans les entreprises aujourd'hui,
05:34voire des nouveaux investissements
05:35pour que la cybersécurité des entreprises passe à la vitesse finalement des attaques de l'IA.
05:41Et en même temps, on voit que ces plateformes,
05:43elles deviennent des produits de sécurité.
05:45Et en fait, un Mythos, un GPT 5.5 cyber, voire le 5.6 qui est bloqué là,
05:50ça peut devenir des produits de sécurité.
05:52Et donc, manger le marché des startups.
05:54Et aujourd'hui, les investisseurs, on le voit,
05:56il y a une légère décroissance des investissements qui n'est pas grave.
06:00Ils ne voient pas la sortie.
06:01Surtout, ils ont peur que leurs startups se fassent manger,
06:06que les fonctionnalités se fassent avaler par ces grandes plateformes d'IA
06:09et que, ben voilà, un Claude, un Mythos, un ChatGPT soient les futurs produits de cyber.
06:15Et si on reste dans cette course à l'armement,
06:19on dit toujours que les pirates ont une longueur d'avance.
06:22En IA, c'est pareil ?
06:23Les cybercriminels et les cyberattaquants sont très très forts sur la transformation numérique.
06:27Et on le voit clairement qu'aujourd'hui,
06:29ils ont su utiliser ces outils pour accélérer la création des outils d'attaque.
06:32les faux emails, des nouveaux codes d'exploitation, etc.
06:36Ce qu'on n'a pas encore trop vu aujourd'hui,
06:38c'est des attaques complètement automatisées avec succès.
06:42Mais par contre, on n'en est pas loin
06:43parce qu'on voit que les moteurs d'intelligence artificielle le permettent.
06:47Nous, on commence dans nos missions éthiques
06:49où les clients nous demandent de vérifier la cybersécurité.
06:52Justement, d'épauler nos pen-tester avec des modèles d'intelligence artificielle
06:56et ça va beaucoup plus vite.
06:58Et est-ce que ça veut dire,
06:59parce qu'on en arrive justement quand on parle autonomisation,
07:02on parle des agents IA,
07:03est-ce que ça, c'est la prochaine étape ?
07:07C'est la sécurisation des agents IA
07:09en leur donnant une identité numérique ?
07:11Alors clairement, aujourd'hui,
07:12toutes les applications numériques des entreprises
07:15s'agentifient, entre guillemets.
07:17Donc, il y a des agents autonomes qui vont être dans les applications,
07:19qui vont prendre des données, les copier, etc.
07:21Ça pose beaucoup de questions sur
07:23où sont exécutés les agents,
07:25quels accès ils ont,
07:26est-ce qu'on peut les détourner
07:27en leur envoyant des promptes malveillants ?
07:29Et ça génère aussi,
07:30et on le voit bien dans le radar cette année,
07:32toute une nouvelle catégorie de produits
07:34de sécurisation de l'IA.
07:36Et où on va aussi justement utiliser l'IA.
07:38Il y a l'IA qui attaque l'IA
07:40et l'IA qui sécurise l'IA.
07:42J'ai vu qu'il y avait des outils de conformité
07:44qui vont regarder la conformité des LLM,
07:47il y a des outils anti-shadow IA
07:48qui vont aller parcourir le site d'information
07:51pour voir si tout est autorisé.
07:52C'est là-dessus qu'on voit ?
07:53Voilà, et les deux grandes familles qui ressortent,
07:55c'est ce qu'on appelle les guardrails.
07:56Alors, c'est un nouveau mot à la mode,
07:58comme il y en a beaucoup dans le domaine de l'IA,
08:00mais on connaît tous les anciens pare-feu
08:01qui regardaient ce qui passe et qui bloquent.
08:04Finalement, il y a un problème.
08:05Les guardrails, c'est pareil,
08:06ça regarde les promptes en entrée,
08:08ça regarde les sorties
08:08et c'est capable de bloquer
08:10si on détecte une attaque
08:11ou des données qui ne devraient pas sortir.
08:14Ça, c'est un premier usage.
08:15Et puis, on voit aussi de plus en plus de produits
08:16sur justement la gestion de l'identité des agents
08:19pour pouvoir tracer ce qu'ils font
08:20et vérifier s'ils ont bien accès.
08:23Est-ce qu'on...
08:24Bon, la France, on a toujours été bon
08:25dans la cybersécurité,
08:26que ce soit des grands groupes
08:27ou des plus petites,
08:29ou des PME ou des startups.
08:31Est-ce qu'on peut justement...
08:32Enfin, on voit émerger,
08:33dans ce radar avec Waystone,
08:35vous voyez un petit peu
08:37quelques champions futurs
08:38qui pourraient émerger
08:39de cette sélection
08:41des 230 startups cyber ?
08:43Oui, alors, on a vraiment analysé
08:45tout le marché avec BPI France,
08:47avec qui on travaille vraiment en commun,
08:49justement, pour identifier
08:50toutes ces tendances.
08:51C'est une analyse qui se veut
08:53justement exhaustive.
08:54On regarde tout le marché,
08:55il y a des critères très précis,
08:56on met les startups dedans.
08:57Par contre, oui, il y a des champions
08:58qui sont clairement en train d'arriver.
09:00Je pense justement sur le sujet de l'IA
09:02et des gardes rails IA.
09:03Il y a des sujets autour de la résilience,
09:05parce qu'on voit aujourd'hui
09:06qu'il y a forcément un besoin
09:09de pouvoir reconstruire rapidement
09:11les SI si jamais ils sont attaqués,
09:13parce qu'on essaie de les défendre au mieux,
09:15mais l'attaque peut quand même passer.
09:16Et donc, on a identifié des startups
09:17qui sont particulièrement pertinentes
09:19dans ce domaine-là.
09:20Vous les retrouverez dans l'étude.
09:21On a mis les 3-4 logos à chaque fois
09:23des solutions.
09:24Et tu dois retrouver ça aussi de Weston.
09:26Une dernière question.
09:27Est-ce que, justement,
09:28dans le contexte actuel,
09:30il faut dire au grand groupe
09:31d'acheter français ?
09:32Est-ce que ça, c'est...
09:34On entend beaucoup parler
09:35de cette idée de souveraineté.
09:37Est-ce que ça, c'est un...
09:38Je suis un grand groupe.
09:39Est-ce que je dois me lancer
09:41un peu par soutien à cette industrie-là
09:43et puis aussi parce que je veux
09:44des solutions souveraines
09:45par rapport à l'univers
09:45dans lequel j'évolue ?
09:46Alors, pour un grand groupe,
09:47ce qu'il faut, c'est déjà
09:48qu'il regarde où est-ce qu'il réalise
09:49son chiffre d'affaires.
09:51Parce que si on choisit, finalement,
09:53de dire, je veux être souverain français,
09:56mais en même temps,
09:56on fait 50 % de son chiffre d'affaires
09:57aux États-Unis,
09:58on doit être aussi souverain américain.
09:59Et puis, on en fait 30 % en Asie.
10:01Ah, il faut que je sois aussi
10:02souverain chinois.
10:03En fait, cette notion de souveraineté,
10:05elle n'a pas vraiment de sens
10:06dans les grands groupes internationaux.
10:07Ce qu'il faut regarder,
10:08c'est sa dépendance numérique.
10:10De qui je suis dépendant
10:11quand je génère mon chiffre d'affaires ?
10:13Et justement, on ouvre la boîte,
10:14on regarde et on dit,
10:16ah oui, j'ai ce niveau de dépendance
10:17à ces acteurs-là.
10:18Et donc, s'ils appuient sur le bouton stop,
10:20ça s'arrête.
10:21Et c'est là où, justement,
10:22on va se dire, OK,
10:23de qui je veux être dépendant
10:25et dans quelle zone ?
10:26Et en fait, c'est une analyse plus fine
10:28qui nécessite de regarder
10:29comment fonctionne l'entreprise,
10:30comment fonctionne sa technologie
10:32et de faire des choix,
10:33des choix éclairés
10:33à l'échelle du comité de direction
10:36pour être résilients dans la durée.
10:39Eh bien, merci d'être venu nous parler
10:40de tout ça.
10:40Jérôme Bilois, associé en cybersécurité
10:43et confiance chez WaveStone,
10:44justement, pour retrouver ce radar
10:46des startups 2026 dans la cyber
10:48avec une centaine de startups dans l'IA.
10:52Voilà, c'est assez intéressant
10:53d'aller chercher un peu
10:53parce que c'est vraiment
10:54bien catégorisé tout ça
10:56sur le site de WaveStone.
10:57Merci d'être venu parler de tout ça.
Commentaires

Recommandations