Cybersécurité IoT : les start-up jouent la montre pour dominer le secteur
Une pluie de dollars tombe sur la tête des entrepreneurs qui lancent des solutions de cybersécurité dédiées à l'Internet des objets. Au premier semestre 2016, les trois start-up américaines Afero, Qadium et Bayshore ont respectivement levé 20,3, 20 et 6,6 millions de dollars. La petite française Sentryo a quant à elle convaincu les investisseurs de débourser 2,3 millions d'euros pour financer son développement.
De plus en plus d'entreprises s'intéressent à ces solutions de surveillance. "Lorsqu'une nouvelle technologie voit le jour, la sécurité est souvent la dernière roue du carrosse. Les acteurs du e-commerce ont par exemple décidé de se préoccuper de cybersécurité sur le tard. Mais dans l'IoT, les choses sont différentes : une société ferroviaire, automobile, aéronautique ne peut pas connecter ses appareils sans les protéger, car des vies humaines sont en jeu. Le secteur des transports est en avance sur ces questions", analyse Coraline Héritier, directrice générale de la PME tricolore IDnomic. Cette structure fondée il y a 12 ans est membre du groupement d'entreprises spécialisées dans la cybersécurité Hexatrust, créé en 2014.
Les trois start-up américaines Afero, Qadium et Bayshore ont respectivement levé 20,3, 20 et 6,6 millions de dollars
Des règlementations commencent à venir encadrer l'IoT. En France, la loi de programmation militaire de 2014 (dont les premiers décrets d'application sont tombés cet été) oblige les "opérateurs d'importance vitale", comme les énergéticiens, les banques ou encore les fournisseurs d'eau, à protéger leur système informatique et leurs appareils intelligents contre de potentielles intrusions. De leur côté, les pays membres de l'Union européenne travaillent sur un ensemble de règles visant à encadrer la sécurité des objets connectés, notamment les véhicules autonomes.
Porté par les gros industriels qui ont commencé à connecter leurs infrastructures et par ces règlementations, le secteur décolle. Selon une étude de Forrester de janvier 2016, la cybersécurité des objets connectés représente aujourd'hui 1% du marché global de l'IoT. Cette part devrait passer à 20% d'ici 2020, dans un domaine d'activité lui-même en pleine croissance.
Le système de cybersécurité IoT non-intrusif de Sentryo a séduit plus de 30 sociétés, dont EDF et BMW
De grands groupes spécialisés dans la cybersécurité lancent leurs offres, comme Atos ou Gemalto. "Mais pour le moment, la concurrence est essentiellement composée de start-up", indique Laurent Hausermann, directeur des opérations de Sentryo, une jeune pousse lyonnaise créée en 2014. Ces entreprises à la structure légère ont souvent sorti leurs solutions plus tôt que les mastodontes du secteur, moins agiles.
Pour espérer prendre une part importante du gâteau, la rapidité est un élément essentiel. "Il faut grandir très vite, faire tester notre solution à un maximum d'acteurs de référence. Ils ne vont pas utiliser 50 services différents pour protéger leurs objets connectés : si un produit testé dans le cadre d'un 'proof of concept' les satisfait, ils le déploient massivement", affirme Laurent Hausermann. La maxime "premier arrivé premier servi" se vérifie d'autant plus que les entreprises qui sécuriseront leurs installations IoT dans quelques années travailleront plus facilement avec des acteurs qui auront fait leur preuve.
La cybersécurité des objets connectés représente aujourd'hui 1% du marché global de l'IoT, une part qui devrait passer à 20% d'ici 2020
Une bonne partie des fonds levés par les quatre start-up est donc destinée au développement commercial. "Nous essayons de taper dans l'œil des géants du Fortune 50 (les 50 plus grandes sociétés américaines, ndlr)", illustre Evan Birkhead, vice-président chargé du marketing chez Bayshore. La société fondée en 2012 développe des firewalls pour contrer les attaques sur les objets connectés, notamment en analysant les commandes passées au niveau des applications. Même son de cloche chez Sentryo, qui veut notamment muscler son activité de protection de l'Internet des objets industriels en Allemagne, un grand pays manufacturier.
Pour signer avec des multinationales, les entreprises doivent créer des systèmes qui repèrent immédiatement les attaques, sans bloquer la bonne marche de leurs installations. Sentryo s'est essayé, pour le moment avec succès, à ce périlleux exercice. Sa solution, inspirée des caméras de surveillance, enregistre tout ce qui se passe sur un réseau IoT. Lorsque la "musique" émise par ces machines (qui communiquent en général les unes avec les autres de manière très régulière) présente une anomalie, la jeune pousse prévient ses clients. "Nous ne pouvons pas nous permettre de bloquer le fonctionnement d'un train sans être certains qu'il y a véritablement une attaque", explique le directeur des opérations de la start-up. EDF, BMW, DCNS… Ce système non-intrusif a séduit à ce jour plus de 30 sociétés.