Cybersécurité : quelles sont les solutions numériques pour se conformer aux nouvelles réglementations
Depuis l'adoption par le Parlement européen du Règlement général de protection des données (RGPD) en 2016, le marché des solutions numériques de conformité dans le domaine de la cybersécurité se structure progressivement. Celles qui existent depuis plusieurs années sur le marché français sont rares : on peut y inclure la plateforme d'Egerie qui a vu le jour en 2016, le logiciel de Make it safe créé en 2018, la plateforme de Tenacy lancée en 2021, ou encore les solutions de Board of cyber et de Bastion technologies, sociétés fondées en 2022.
Ces éditeurs de logiciels espèrent tirer parti des récentes législations européennes comme NIS 2 ou Dora. Et pour cause, si l'on s'en tient uniquement à la France, ces deux textes visent de très nombreux acteurs désormais obligés de rehausser leur niveau de cybersécurité : environ 1 600 entités financières pour Dora (banques, assurances, fonds d'investissement, etc.) et entre 15 000 et 20 000 organisations pour NIS 2 (collectivités territoriales, petites et moyennes entreprises, etc.). Sans oublier tous leurs prestataires qui devront eux aussi se soumettre à des règles de cybersécurité strictes inscrites dans leurs contrats. Autant dire que la conformité dans le domaine de la cybersécurité devient une mine d'or pour ces rares fournisseurs de solutions numériques.
Cependant, ils se retrouvent face à un défi : celui de devoir conserver leurs parts de marché face à une demande en pleine croissance qui ne peut qu'attirer de nouveaux convoiteurs. La preuve : en avril 2025, la société de conseil HeadMind Partners a lancé une intelligence artificielle (IA) générative que son président et directeur-général (PDG) Guy-Hubert Bourgeois qualifie de "miraculeuse". Ayant l'objectif d'automatiser de bout en bout la conformité des entreprises aux diverses réglementations en matière de cybersécurité, cette solution nommée MindHead.Conformité n'aurait pas d'équivalent sur le marché de la compliance selon le PDG.
Compliance by design ou outil de conformité : que choisir ?
La particularité de cette IA générative serait d'être capable d'opérer une compliance by design et en profondeur de l'entreprise qui l'utilise à presque toutes les réglementations existantes en matière de cybersécurité dont Dora et NIS 2. Pour cela, elle traite les données de l'entreprise grâce à des modèles linguistiques pour les comparer aux règles auxquelles celle-ci veut se conformer. Comme l'explique Billal Chouli, expert en IA dans la société de conseil, les règles intégrées dans l'IA ont été interprétées par les nombreux consultants en cybersécurité que compte HeadMind Partners. "Ce sont eux qui donnent à l'outil l'interprétation et le sens des lois pour qu'il évalue correctement la conformité des projets de l'entreprise via les documents qu'elle lui fournit", précise l'expert.
Selon les fondateurs de cette IA désormais adoptée par Safran, celle-ci serait capable d'analyser en temps réel la conformité de l'entreprise en fonction des informations qu'elle lui transmet. En cas de non-conformité aux réglementations, l'IA lui fournit alors un rapport qui lui prodigue des conseils ciblés à travers un plan d'action correctif. Libre ensuite au responsable de la sécurité des systèmes d'information (RSSI) de les suivre ou non. Aussi, en cas de contrôle par l'autorité compétente (Agence nationale de la sécurité des systèmes d'information, Commission nationale de l'informatique et des libertés, etc.), le RSSI pourra présenter ce rapport qui "contiendra tout l'historique des opérations ayant permis d'arriver au résultat fourni", explique Guy-Hubert Bourgeois.
Selon lui, cette solution présenterait deux grands avantages : sa puissante capacité à détecter les taux de non-conformité et sa rapidité. Les analyses de compliance seraient effectuées en moins d'une journée. En outre, le PDG explique que ce qui fait la force de cet outil serait sa grande autonomie lui permettant de mobiliser le moins d'intervention humaine possible en comparaison avec d'autres solutions existantes qu'il assimile à de "simples plateformes déclaratives". Pourtant, que ce soit du côté de Make it safe, de Tenacy, de Board of cyber ou de Bastion technologies, presque tous les concurrents de HeadMind vantent la nécessité d'offrir à leurs clients la possibilité d'un accompagnement continu pour utiliser au mieux leurs outils. D'ailleurs, Ludovic de Carcouet, PDG de Make it safe, explique ne pas croire aux solutions de compliance by design promettant d'automatiser la conformité en matière de cybersécurité car celle-ci est "avant tout une affaire humaine".
Bien que sa solution de conformité fonctionne aussi grâce à une IA, Ludovic de Carcouet explique que celle-ci ne peut qu'avoir un impact limité dans la compliance d'une entreprise aux règles de cybersécurité : "L'IA simplifie beaucoup le temps consacré à la conformité en donnant des orientations et en produisant des livrables. Cependant, la conformité ce n'est pas simplement cocher des cases : elle doit s'incarner chez les salariés pour les mettre en mouvement vers ce qu'ils doivent accomplir pour l'atteindre." Même son de cloche du côté de Tenacy, de Board of cyber et de Bastion technologies. C'est pourquoi ces quatre éditeurs de logiciels proposent à leurs clients d'être aussi accompagnés par des consultants tout au long de leur mise en conformité soit par leurs propres services ou soit par le biais de partenaires. Pour Luc Declerck, directeur général de Board of cyber, cette offre d'accompagnement est la garantie de rester "très simple" dans l'usage de sa solution qui devrait prochainement intégrer une IA pour plus de performance. De con côté, Tenacy propose même à ses clients une formation pour apprendre à manipuler son outil selon Baptiste David, responsable de la stratégie.
Des solutions aux prix compétitifs
Toutes ces solutions permettent aux entreprises de les aider à se conformer à un large panel de règles de cybersécurité, qu'il s'agisse de textes législatifs (RGPD, NIS 2, Dora, etc.) ou de qualifications et certifications (ISO 27001, Hébergeur de données de santé, etc.). En outre, les clients de HeadMind et Make it safe peuvent aussi intégrer dans ces solutions leurs propres règles et référentiels en matière de cybersécurité afin de vérifier la compatibilité de leurs activités avec ceux-ci.
Concernant les prix pratiqués, ceux-ci sont très variables car dépendent de plusieurs facteurs comprenant la taille de l'entreprise cliente, les réglementations auxquelles celle-ci veut se conformer, etc. Cependant, le PDG de Make it safe explique avoir "une vision assez agressive des tarifs". Une entreprise de quelques centaines de salariés souhaitant utiliser son outil pour se conformer à NIS 2 devra dépenser "quelques milliers d'euros" selon lui. Board of cyber semble adopter la même stratégie. Sans être aussi précis sur les prix, son directeur général précise que "ses solutions sont accessibles financièrement même pour des entreprises qui ne sont pas très grandes." De son côté, Bastion technologies développe ses solutions numériques principalement pour des "petites structures" précise son fondateur Arnaud Drizard.