Managed security service providers (MSSP) souverains : qui sont-ils ?
Depuis l'élection de Trump, les discours vantant la souveraineté numérique se multiplient dans l'écosystème français de la cybersécurité. Les représentants des professionnels du secteur ne font que vanter les capacités de l'industrie cyber française et européenne à pouvoir faire face à la concurrence extra-européenne. Surtout si le président américain "coupe le robinet des Gafam" pour reprendre les mots d'Alain Bouillé, délégué général du Club des experts de la sécurité des systèmes d'information (Cesin). Pour lui, tout comme pour Jean-Noël de Galzain, président d'Hexatrust, ou Benoit Fuzeau, président du Club de la sécurité de l'information français (Clusif), "la situation actuelle rend nécessaire l'indépendance numérique."
Mais, dans le même temps, la transposition de la directive NIS 2 pourrait avoir pour effet d'inciter de très nombreuses organisations à recourir à des managed security service providers (MSSP) composant leurs offres avec des solutions américaines. Et pour cause, il est rare que les petites et moyennes entreprises et leurs sous-traitants concernés par le texte législatif disposent du budget nécessaire pour internaliser leur cybersécurité. Or, le marché français des MSSP est dominé par les grands acteurs internationaux ou nationaux composant leurs offres en partie avec des solutions extra-européennes (IBM Security, Check Point, SentinelOne, CrowdStricke, Palo Alto, etc.).
Toutefois, les discours vantant l'autonomie stratégique seraient en train de transformer le marché français des MSSP en encourageant la demande à s'orienter vers des solutions souveraines. Du moins, c'est l'avis de Jean-Nicolas Piotrowski, fondateur d'ITrust, MSSP se distinguant par sa volonté de se doter de ses "propres outils souverains". Pour lui, depuis l'entrée en fonction de Donald Trump accompagné de son imprévisibilité en matière économique et géopolitique, "les discours des clients sont en train de changer complètement : les MSSP français qui ont des technologies françaises attirent." Pourtant, ceux-ci sont rares. Actuellement, seuls les MSSP d'ITrust, société créée en 2007, et d'Advens, entreprise fondée en 2000, revendiquent une totale "autonomie" ou "indépendance" stratégiques pour reprendre les termes de Jean-Nicolas Piotrowski et Guillaume Djourabtchi, directeur marketing de l'offre managée d'Advens.
ITrust et Advens : des MSSP made in France à des prix attractifs
Si les deux MSSP évitent d'utiliser le terme de souveraineté pour décrire leur offre, c'est parce qu'ils semblent voir en celui-ci un sens idéologique et politique. Or, leur principal objectif est avant tout pragmatique : il s'agit d'assurer et de garantir une totale maîtrise de leurs outils qu'ils ont eux-mêmes créés pour fournir des solutions sécurisées et à des prix abordables.
Comme l'explique Guillaume Djourabtchi, "il s'agit avant tout de ne pas être dépendant d'un éditeur notamment au niveau du prix, un éditeur américain pouvant augmenter sensiblement celui-ci comme on l'a déjà vu". C'est pourquoi "le cœur de notre argument de vente n'est pas la souveraineté mais l'efficacité et à des prix plus bas que ceux du marché", assure-t-il. ITrust aussi fait de l'attractivité tarifaire de ses solutions un fort argument de vente : "Même en étant made in France on arrive à être à 15% ou 20% moins cher que le marché classique", affirme Jean-Nicolas Piotrowski. Et ce, tout en "fournissant des services de haut niveau".
Le centre des opérations de sécurité (SOC) d'ITrust qui fournit ces services est hébergé dans le cloud de Free Pro actuellement en cours de qualification SecNumCloud 3.2. Les données des clients récoltées via les solutions développées par la société, qui appartient au groupe Iliad depuis 2023, sont donc stockées dans des data centers situés en France et sont imperméables aux lois extraterritoriales. En outre, les collaborateurs d'ITrust (environ 60) sont tous situés en France et donc "sous contrat français" tient à préciser le fondateur. Cela confère à la filiale d'Iliad une aura attrayante pour les organisations détenant des données sensibles comme des ministères avec lesquels elle travaille ou des entreprises de secteurs industriels et stratégiques. Mais pas que : "nos clients comportent six sociétés du CAC 40, 300 à 400 entreprises de taille intermédiaire et 1 200 petites et moyennes entreprises", précise Jean-Nicolas Piotrowski.
De son côté, Advens a développé ses solutions en open source et les données que celles-ci collectent sont hébergées en France et dans ses propres serveurs. Toutefois, contrairement à ITrust, les collaborateur d'Advens (plus de 600) ne se situent pas uniquement en France : une partie d'entre eux se trouvent aussi en Allemagne, en Espagne, en Italie et plus accessoirement au Canada et à Tahiti. Acteur européen et MSSP plus important et influent qu'ITrust, Advens se distingue de la filiale d'Iliad grâce à sa "fibre client" affirme Guillaume Djourabtchi. Selon lui, les clients d'Advens seraient "de plus grande taille" et son nombre plus important de collaborateurs lui permettrait de mieux accompagner ceux-ci.
Orange Cyberdefense, un MSSP international qui s'adapte
Au-delà de ces deux MSSP totalement souverains et autonomes que sont ITrust et Advens, "la plupart des grands services managés comme Orange Cyberdefense ou Capgemini laissent désormais la possibilité de choisir des offres autonomes", affirme François Deruty, directeur de l'intelligence stratégique de Sekoia, éditeur de solutions made in France pour MSSP. "Etant donné qu'ils sont internationaux, ils sont obligés d'avoir un catalogue très hétérogène", précise-t-il. Face à la demande croissante d'offres made in France en matière de MSSP, Orange Cyberdefense a choisi d'adopter la démarche "la plus pragmatique possible", précise Vivien Mura, directeur technique de l'entreprise. Acteur international aux 2 300 collaborateurs dans le monde, la filiale d'Orange dispose en effet "d'offres à la fois sur étagères et adaptables selon les cas de figure".
Pour adapter son offre à la demande croissante d'autonomie stratégique, Orange Cyberdefense effectue une analyse de risques pour chaque client qui le demande : "Est-ce que mon client a besoin d'assurer une continuité de services dans un contexte géopolitique compliqué ou est-ce qu'il a besoin que ses données ne soient pas accessibles par des tiers pas de confiance ?", illustre Vivien Mura. Quand le client a déjà effectué son analyse de risques et "sait contre quoi il veut se protéger, on va s'adapter à sa demande." Selon lui, ce sont les risques auxquels est confronté le client qui justifient ou non de lui fournir des services dits souverains.
Parmi ceux-ci se trouvent les solutions de Sekoia qui a annoncé en avril une levée de fonds de 26 millions d'euros. Concevant et produisant ses outils de cybersécurité en France, l'entreprise héberge les données qu'elle récolte sur le territoire national. Enfin, Orange Cyberdefense est en capacité de stocker les données récoltées "dans des environnements de confiance en particulier quand il y a une nécessité de les rendre confidentielles" selon Vivien Mura.