2 fois par mois, les adhérents Ocssimore se réunissent lors d’ateliers de veille et d’innovation : des événements inédits, sur des thématiques sécurité (Cloud, Sensibilisation, Authentification Forte, Identité Numérique, …), qui viennent nourrir les travaux des adhérents et explorer de nouveaux champs d’actions. L’intérêt est double : l’association enrichit la capacité de veille d’innovation de chaque adhérent, tandis que l’orateur qui pitche (startup, expert,…) confronte son sujet et ses propositions à une vision multisectorielle et des besoins de terrain.
Pour ce nouveau rendez-vous, Wavestone, leader indépendant sur les sujets de cybersécurité, propose une présentation personnalisée de leurs radars SSI et startups ! Edités chaque année, ces radars sont l’occasion de faire un tour d’horizon très complet et à jour des innovations et enjeux de sécurité.
Pour en parler :
- Sandra COURPASSON, Senior Manager chez Wavestone
- Younes KHATI, Consultant chez Wavestone
- Morgane NICOLAS, Senior Consultante chez Wavestone
- Alexandre BIANCHI, Senior Consultant chez Wavestone
- Le radar de startups
Comment ce radar de startups est-il construit ? Quelle méthodologie est utilisée ?
Plusieurs critères sont pris en compte : Il faut commercialiser un produit de sécurité, compter moins de 35 employés, moins de 5 ans d’existence et avoir son siège social en France.
Le radar est mis à jour de manière annuel. La liste est réalisée à partir de la veille Wavestone et BPI France.
Ce radar permet de présenter l’écosystème des startups de cyber en France qui commercialisent des produits de sécurité. Il permet également de faire un suivi des startups prometteuses (lever de fond réalisés, pourcentage de croissance…) avec des critères qui permettent de détecter notamment l’émergence de licornes.
Ce sont 150 startups qui sont présentent sur le radar.
En 2020 on observe une stabilité de l’écosystème, qui reste dynamique malgré la crise sanitaire. En termes d’emplois générés, on est dans une phase de croissance. On peut donc dire que le marché de la cyber est un marché qui se consolide : c’est un secteur attractif dans lequel les entrepreneurs se lancent !
Un outil très visuel
Les startups du radar sont réparties suivant les thématiques de sécurité où elle se positionne. On compte une grande diversité de sujets adressés comme la sensibilisation, la protection des données mais aussi des sujets de niche comme la crypto et le champs du « confidential computing ». En bas du radar, c’est la catégorie scale-up : celle où sont compilées les startups en croissance très forte et qui sortent par nature du champs des startups au sens du radar.
Les mouvements in/out au sein du radar sont intéressants à étudier (celles qui sortent, qui évolue, qui arrivent…) pour en expliquer les raisons (liquidation, difficulté à trouver son marché, investisseurs, au-delà de 35 employés donc hors-catégorie, rachat…)
Le radar permet également de faire une analyse des secteurs les plus représentés tels que : l’anticipation des risques, l’outillage des réponses à incidents, la gouvernance des risques, l’appui et aide au RSSI, la protection des endpoints ou encore la sensibilisation.
Wavestone constate un certain décalage entre les besoins du marché et le choix des secteurs dans lesquels les startups décident de se lancer. Une des explications serait qu’il n’existe pas d’incubateur spécialisé sur ces sujets aujourd’hui en France permettant de leur apporter une vision claire des besoins non traités. En effet pratiquement les 2 tiers des startups cherchent à réinventer une solution existante, ou bien à l’améliorer. Autre raison certaine, c’est aussi plus risqué d’aller sur une thématique pas encore adressée.
Les indicateurs Wavestone permettent notamment d’analyser plusieurs éléments :
- Si la startup choisit de réinventer des solutions existantes ou d’innover complètement (les 2/3 se positionnent sur le premier).
- Les initiatives qui sont portés au niveau National (le plan de relance du Gouvernement, le grand défi cyber, AAP startup studio du campus cyber) Ces initiatives permettent de dynamiser l’écosystème, notamment avec l’incubateur du campus cyber qui va naître.
Qu’est-ce qu’on peut imaginer pour créer nos licornes Françaises dans la cyber ?
- Suivre la concrétisation des différentes actions nationale et voir leurs impacts
- Encourager les startups à être disruptives et aller vers les secteurs du marché non adressés.
- Coté investisseurs : suivre les startups dynamiques pour soutenir les développements
- Radar du CISO
La première édition de ce radar date de 2011. Celui-ci est actualisé par des experts de Wavestone, pour décrire les enjeux du RSSI. Ce radar, par nature trans-sectoriel, peut aussi se décliner en version spécialisée sur un secteur.
3 niveaux de maturité sur les sujets qui sont positionnés dans le radar :
- Sujets en émergence (se préparer à leurs arrivés)
- Sujets d’actualité (sujets nouveaux, préoccupation du moment)
- Sujets mature (must have)
On retrouve une centaine de sujets par thématique (risque et gouvernance, conformité, continuité…)
Il s’agit d’un outil qui permet de structurer la démarche de veille interne et le plan d’action interne à l’entreprise. C’est également un véritable outil de communication pour valoriser l’apport de la cybersécurité dans les activités de l’entreprise.
Les sujets en gras sur le radar sont ceux qui sont le plus d’actualité et ceux qui intéressent le plus les entreprises tels que le sujet de la sensibilisation (sujet mature).
Focus sur quelques sujets mis en avant dans le radar :
- Sensibilisation
L’enjeu pour la sensibilisation est de renouveler les moyens, de trouver des solutions innovantes permettant une sensibilisation récurrente et massive, et de mesurer les résultats obtenus. Parmi les tendances innovantes de la sensibilisation on retrouve notamment la gamification, l’utilisation de supports 100% numériques ou encore la mise en place de systèmes de récompenses pour les collaborateurs (certificats, cadeaux…).
On observe que sur les nouvelles pratiques de cybersécurité, il y a une tendances à faire de la sensibilisation « classique » et à compléter avec des supports spécifiques pour les cibles plus sensibles. Wavestone analyse également les catalogues de solutions qui sont proposés sur cette thématique de la sensibilisation (les innovations proposées tels que des Escape Game, des jeux en VR, les propositions pour s’adapter au contexte du confinement etc…).
- Cyber-résilience.
En terme de cyber-résilience, la nouvelle tendance c’est de demander au RSSI d’être capable de démontrer la capacité de l’organisation à résister ou se remettre d’une attaque. Il s’agit alors de définir et rédiger un process de gestion de crise, de définir les outils ou encore d’être en capacité de réaliser des exercices de crise de plus en plus réalistes.
- Focus sur le Confidential Computing
Il s’agit d’un concept qui a émergé ces dernières années et qui permet de traiter des données chiffrées en mémoire sans avoir besoin de les déchiffrer
- Focus sur le Data Masking
Sur ce thème, il est important de bien différencier anonymisation = irréversible et pseudonimisation = réversible.
Pour masquer la donnée, il y a de nombreuses techniques (chiffrement, tokenisation…) avec des niveaux de sécurité différents. On va souvent venir combiner ces différentes techniques pour faire croître le niveau de sécurité et on va choisir la technique en fonction de la cohérence de la donnée.
Il faut mettre en place un processus d’analyse de risques pour vérifier l’anonymisation de la donnée.
Il existe plusieurs cas d’usage :
- Pour protéger les environnements hors production et production (cas historiques)
- Et de nouveaux cas d’usages : Datalake, export de données à des parties tiers, Cloud.
Les clients qui veulent couvrir plusieurs cas d’usage vont davantage se tourner vers des solutions du marché, plus faciles à garder dans le temps, dotées de systèmes de sécurité embarqués et qui permettent bien souvent de traiter plusieurs cas d’usages.
On observe une grande diversité de solutions utilisées aujourd’hui par les sociétés. Attention, il n’y a pas de solution optimale, il y a un travail de cadrage fonctionnel et technique à mener en amont. Il faut en effet vérifier que la solution correspond vraiment au besoin.
En termes de solutions, on retrouve notamment les leaders du marché tels que IBM ou Oracle.
- Sujet Zero Trust :
Dans le contexte actuel, avec le télétravail qui se généralise, nos modèles de sécurisation évoluent. On parle alors de gestion des accès, d’authentification : de nouvelles problématiques se posent.
Le SI de demain sera extrêmement fragmenté : les ressources sont hébergées dans plusieurs environnement cloud, on est interconnecté, on a les utilisateurs qui sont nomades… Le modèle (modèle dit château fort) existant n’est donc plus viable. Nous avons donc besoin d’une nouvelle approche qui permet d’opérer dans un environnement sans zone de confiance : d’où l’émergence du ZeroTrust (modèle dit aéroport). Il s’agit d’une philosophie de sécurité, qui permet d’opérer dans des environnements non considérés par défaut comme de confiance. Chaque flux est une menace potentielle jusqu’à preuve du contraire.
Comment aller vers du Zero Trust ? C’est un modèle très ambitieux, qui nécessite un niveau de maturité de la part de l’entité et qui se fait sur le long terme (programme de transformation sur plusieurs années). Ce n’est pas un modèle unique, chaque société doit s’approprier le ZeroTrust sur la base des enjeux qui la concernent.
Le support est disponible pour les adhérents Ocssimore.
Pour en savoir plus sur Wavestone : https://www.wavestone.com/fr/