Secu
Le CESIN s’inquiète des concentrations sur le marché Cyber
Par Laurent Delattre, publié le 25 juin 2024
Le CESIN alerte sur les dangers d’une tendance aux concentrations des solutions de cybersécurité dans des fonds américains et appelle à une mobilisation collective pour maintenir une cybersécurité souveraine et efficace en Europe.
Depuis des années, les analystes du marché de la cybersécurité constatent que ce dernier est bien trop fractionné, avec des milliers de startups, petits éditeurs et intégrateurs. Un fractionnement qui, selon eux, n’est pas viable sur le long terme et se traduira par des fusions, acquisitions et disparitions, autrement dit par une inévitable forme de concentration des forces en présence.
Cette concentration tarde à venir et, surtout, ne se traduit pas forcément comme attendu. Ainsi, de grands acteurs d’autrefois comme Symantec ou McAfee ont quelque peu disparu du marché. Sans compter, Kaspersky trahit par son propre gouvernement et mis au ban des organisations occidentales depuis le déclenchement de la guerre en Ukraine (le gouvernement américain vient même de promulguer un texte interdisant à toute organisation et tout particulier l’usage des produits et services Kaspersky sur son sol).
Autre phénomène, les acteurs du marché ne sont pas avalés par des grosses entreprises mais plutôt par des fonds. Des fonds essentiellement anglo-saxons. Un phénomène qui justement inquiète le CESIN (le club des experts de la sécurité de l’information et du numérique).
L’association de RSSI vient en effet de publier une missive dans laquelle elle s’inquiète de la concentration croissante de solutions de cybersécurité anglo-saxonnes. Un émoi exacerbé par la récente acquisition de Darktrace par le fonds de capital-risque américain Thoma Bravo.
Un fonds américain en ligne de mire
Il est vrai qu’avec la succession de rachats effectués ses dernières années, Thoma Bravo focalise forcément l’attention : Imperva (2018), Barracuda Networls (201), Ping Identity (2022), Sailpont (2022), Proofpoint (2021), Sophos (en 2019), Veracode (2019) et désormais Darktrace pour ne citer que les plus connus.
Thoma Bravo a d’ailleurs lancé en mars 2024 un « Members – Cyber Consortium» regroupant la plupart de ses entités cybersécurité.
« Si l’on a l’habitude de s’inquiéter à juste titre, du monopole exercé par les GAFAM sur le numérique, on serait bien avisé de se pencher sur la domination croissante de Thoma Bravo dans le secteur hautement sensible de la cybersécurité » écrit ainsi le CESIN.
Selon l’association, une telle concentration risque d’entraîner une concurrence moindre et une prévisible augmentation des coûts. Elle peut ainsi se transformer en piège pour les entreprises clients. Pour le CESIN, bien des entreprises optent pour des approches « Best of Breed » et adoptent plusieurs fournisseurs de cybersécurité pour justement éviter toute forme de lock-in et d’emprisonnement commercial. « De nombreuses entreprises évitent de dépendre d’un seul fournisseur de cybersécurité et se retrouvent finalement piégées par ces acquisitions successives », constate ainsi le CESIN.
En outre, la logique d’un « fonds » n’est pas forcément alignée sur la dynamique d’innovation dont doivent faire preuve les acteurs de la cybersécurité. « Il est très important que les efforts de maintenance, de sécurité, de R&D et d’agilité dans le domaine de la cybersécurité ne soient pas freinés par la politique de haute rentabilité à court terme d’un Fonds, car cela entraine inévitablement une hausse des vulnérabilités » rappellent les RSSI de l’association.
Ainsi, selon l’étude réalisée par le CESIN, 75% de ses membres s’inquiètent d’une telle concentration.
Une concentration d’acteur engendre une concentration des flux
Mais ce que le CESIN redoute par-dessus tout, c’est de voir tous les flux sensibles des activités digitales des entreprises mondiales se retrouver entre les mains d’un unique acteur.
« Nous savons que les solutions de cybersécurité actuelles, pour la plupart en mode Saas, sont de plus en plus intrusives. Elles ont, by design, une visibilité importante sur les actifs qu’elles protègent .. Cela concerne les flux réseau, les flux applicatifs, les mails, les flux Internet… Ce ne sont certes pas directement les données d’entreprises comme celles stockées chez les GAFAM qui seront aux mains de Thoma Bravo, mais peut-être pire encore, tous les flux sur les usages de millions de salariés d’entreprises, » ajoute le CESIN.
Pour l’association, le portfolio de Thoma Bravo fait mécaniquement de ce fonds « un acteur stratégique dont les décisions pourront avoir un impact important ».
Une menace pour la souveraineté cyber de l’Europe
Certes, l’offre cyber « made in France » reste diversifiée et indépendante, offrant une alternative viable pour l’instant. Mais pour combien de temps ? Pour le club, cette concentration des acteurs de la cyber dans des fonds américains est d’autant plus inquiétante qu’elle risque encore de s’accentuer avec la croissance rapide du secteur. La diversité d’acteurs européens est potentiellement menacée par les grandes manœuvres financières en cours. Et cette tendance à la concentration pose dès lors la question de la souveraineté technologique européenne.
Le CESIN y voit une menace directe quant à la capacité de l’Europe à protéger ses intérêts stratégiques et risque d’accentuer encore un peu plus sa dépendance aux technologies étrangères.
Le CESIN appelle les pouvoirs publics mais aussi les entreprises à prendre conscience des risques de cette extrême concentration : « L’Europe doit agir de manière proactive, à la fois pour protéger ses organisations et garantir une cybersécurité indépendante et robuste, et pour permettre à l’innovation de pouvoir rivaliser. Il est essentiel de mettre en place des mesures adaptées pour prévenir la dépendance involontaire et sécuriser les infrastructures critiques face à des menaces croissantes ».
L’appel du CESIN résonne comme un avertissement : l’Europe doit agir rapidement pour préserver son autonomie en matière de cybersécurité, protéger ses infrastructures critiques et stimuler l’innovation locale. Sans une réaction forte des pouvoirs publics et des entreprises, le Vieux Continent risque de se retrouver spectateur d’un marché crucial pour sa sécurité économique et numérique.
Mais alors que l’Europe se divise justement sur la question de la souveraineté dans le cadre de l’EUCS (qui devait être au départ une transcription européenne du SecNumCloud français mais est en passe d’en perdre sa composante clé quant à la nationalité des acteurs), il est à craindre que l’inquiétude du CESIN n’ait que bien peu d’échos dans les arcannes de l’administration européenne.
À LIRE AUSSI :
À LIRE AUSSI :