Jean-Nicolas Piotrowski (ITrust) : “Globalement, le niveau de cybersécurité des banques de taille moyenne et des fintech est très faible”

Quels services de cybersécurité proposez-vous ?

Nous développons nos produits de cybersécurité, les mettons en place, apportons du service professionnel sur ces derniers et les manageons si nécessaire. Nos ingénieurs réalisent également des audits, du conseil, de l’expertise pointue et des interventions. Nous pallions la difficulté pour nos clients, et notamment pour les fintech, de réussir à avoir des équipes expertes en interne. Il est difficile de recruter dans le domaine de la cybersécurité alors ils préfèrent sous-traiter à des professionnels du domaine et avoir un interlocuteur unique pour se concentrer sur leur métier. C’est ce qu’on appelle le service managé, MDR (managed detection and response), qui est la capacité à accompagner un client en cybersécurité de A à Z, y compris en remédiation, c’est-à-dire en capacité d’intervention, de blocage, d’incident et de gestion de crise.

Quels sont les principaux outils que vous avez développés ?

Nous avons deux principaux outils : IKare, un scanner de vulnérabilités et Reveelium, notre outil de détection en temps réel. Avec IKare, nous faisons du préventif, nous détectons les failles de sécurité en amont. S’il n’y a pas de failles, il ne peut pas y avoir d’attaques techniques car il n’y a rien pour entrer : ni ransomware, ni attaque, ni usurpation d’identité. L’idée est donc d’abord d’appliquer les bonnes pratiques de sécurité, ce que nous préconisons à nos clients.

Nous avons aussi des solutions de supervision en temps réel, Reveelium notamment, un framework d’analyse comportementale basé sur l’intelligence artificielle, pour détecter les anomalies, les comportements anormaux, les attaques, les usurpations d’identité et les vols de données, afin de les bloquer avant qu’ils ne produisent des dégâts. Dans ce cas-là, nous supervisons l’ensemble du système d’information des entreprises à partir de l’homme [le collaborateur, ndlr] mais aussi de tous les équipements qui peuvent communiquer : un téléphone, un ordinateur, un serveur, un firewall, pour qu’ils nous envoient d’importants volumes de données qui sont traitées mathématiquement pour détecter des attaques ou des anomalies.

Quels résultats vous permettent-ils d’obtenir ?

Nous couvrons plus de 90 % des problématiques de sécurité uniquement avec ces deux technologies, d’après nos études les plus récentes. L’enjeu est de détecter les nouvelles attaques et brèches qui ne sont pas détectées par les outils conventionnels de type antivirus ou firewall. Nous atteignons donc des niveaux de détection et de protection qui sont bien meilleurs que les outils conventionnels : depuis 4 ou 5 ans, aucun de nos clients n’a eu d’attaque réussie sur son système d’information protégé par ITrust. Pour arriver à ce résultat, nous utilisons des technologies d’intelligence artificielle qui ne détectent pas les modèles connus mais des comportements inconnus, nouveaux, classés mathématiquement par des modélisations de scénarios d’attaques issus des matrices MITRE [matrices qui permettent de cartographier les dimensions tactiques et techniques de mode opératoire d’attaque, ndlr].

Avec quelles entreprises du secteur financier travaillez-vous ?

Aujourd’hui, les services financiers doivent représenter entre 15 et 20 % de notre portefeuille de clients. Nous travaillons depuis 14 ans pour plusieurs banques. Par exemple, nous avons plusieurs Caisses d’Epargne régionales (Occitanie, Grand Est), la Banque BIA, qui est la banque du pétrole algérien, Agrica, des membres du réseau des Banques Populaires… Nous travaillons également pour des fintech comme Wiseed, acteur du crowdfunding.

De quelle manière intervenez-vous auprès des fintech ?

Généralement, nous intervenons auprès des start-up pour la due diligence ou lorsque les investisseurs financiers nous demandent de faire des audits, souvent lors des acquisitions, l’asset informatique entrant dans la valeur de l’entreprise. Nous pouvons aussi donner un label que les sociétés transmettent à leurs clients pour attester de leur niveau de sécurité. En plus de prouver leur conformité, les sociétés doivent montrer qu’elles ont prévu la gestion des risques de ransomware, un incendie chez un hébergeur, un vol de données par un collaborateur… que face à ces risques, elles ont prévu une solution ou une mesure de contrôle.

Et en ce qui concerne les acteurs plus traditionnels du secteur financier avec lesquels vous travaillez ?

Les grandes banques ont des équipes spécialisées et sont très bien équipées en cybersécurité. Elles ont les ressources mais il est complexe d’arriver à superviser l’ensemble du système composé de business units, de sous-équipes et de filiales. Pour l’une de nos banques clientes par exemple, nous ne travaillons pas pour l’entité centrale qui est très bien sécurisée. Par contre, les agences régionales ne peuvent pas se permettre d’utiliser les mêmes technologies car elles nécessitent des coûts élevés ou bien elles ont besoin d’une certaine autonomie. C’est là que nous intervenons pour les aider. Elles se retrouvent souvent avec un support de niveau 3, c’est-à-dire une aide du centre de supervision central pour la gestion d’incidents complexes. Mais au “bas niveau”, pour gérer, mettre en place, superviser, elles ne reçoivent pas d’aide. Elles ont donc besoin d’une solution alternative.

Globalement, le niveau de cybersécurité des banques de taille moyenne et des fintech est très faible, elles ont très peu d’équipes spécialisées en cybersécurité.

Considérez-vous que la France manque d’experts en cybersécurité ?

En France, nous estimons qu’il manque une dizaine de milliers d’ingénieurs en cybersécurité. Cela peut poser problème car nous gagnons des clients mais nous commençons parfois à devoir en refuser pour garder un service de qualité. Nous travaillons beaucoup avec la Fédération française de cybersécurité à ce sujet. À notre niveau, nous avons cofondé une école il y a deux ans, AN21, qui forme des apprentis en cybersécurité.

Quel est votre point de vue sur les besoins en cybersécurité des acteurs des services financiers ?

Nous estimons que le budget dédié à la cybersécurité devrait atteindre 8 à 15 % du budget informatique pour respecter les bonnes pratiques, et plutôt de l’ordre de 15 % pour les fintech. Nous en sommes pourtant très loin : le budget cybersécurité des start-up fintech ne dépasse pas les 2 %. Il n’y a que les grands groupes qui tournent autour de 13 %. Il y a des niveaux d’équipement et de sécurisation qui sont très faibles, avec des ressources très difficiles à trouver. Il y a aussi beaucoup de turn-over car les profils sont très demandés sur ces sujets-là.

Combien coûtent vos services ?

Un audit technique, organisationnel, juridique sur la partie cyber, avec des préconisations et un plan d’actions concrètes pour une start-up coûte environ 6 000 euros. Pour l’audit d’un site web, cela peut aller de 2 heures à 5 ou 10 jours, et donc de 3 000 à 7 000 euros environ.

Et en ce qui concerne la protection complète d’une structure de banque ou fintech moyenne, dès 30 000 euros par an, nous offrons un très bon niveau de sécurité. Nous pouvons aller jusqu’à 100 000 ou 200 000 euros pour un très bon niveau de sécurité, avec des capacités de détection très élaborées, des plans d’actions, la remédiation des failles de sécurité ou le blocage des utilisateurs en temps réel, avec des campagnes de phishing ou de sensibilisation. Parfois, en s’adressant à des acteurs comme Thales ou Orange, les offres peuvent monter jusqu’à 500 000 ou un million d’euros.

Vos concurrents directs sont donc Thales et Orange ?

Sur la partie édition logiciel, nos concurrents sont les grands groupes américains tels que Splunk, Elastic ou IMB QRadar et des acteurs chinois. Sur la partie professional services, quand il faut apporter du conseil ou de l’expertise, nous pouvons nous retrouver en concurrence avec Orange, qui utilise les technologies américaines, ou Thales, mais aussi avec des pure players spécialisés en cybersécurité, comme nous, ou des ESM (enterprise service management) de type Sogeti [qui fait partie de Capgemini, ndlr]. Entre un grand groupe et des pure players, les méthodes ne sont pas tout à fait les mêmes : nous sommes plus réactifs et plus proches de nos clients.

Où en est le développement d’ITrust ?

Nous sommes 50 collaborateurs répartis entre trois bureaux, un à Paris, un à Toulouse et un autre à New York. Nous avons 100 clients actifs par an sur un portefeuille d’environ 300 mais qui ne font pas appel à nous tous les ans. Nous ne communiquons pas sur notre chiffre d’affaires. Mais nous sommes en croissance de 18 à 20 % en 2020 par rapport à 2019.

Pouvez-vous nous parler de votre réseau de franchises à travers le monde ?

Nous proposons notre offre en marque blanche auprès de “partenaires de valeur ajoutée” qui n’ont pas d’offre en cybersécurité. Nous appelons cela de la franchise mais c’est du VAR, de la revente à valeur ajoutée avec des partenaires bien ciblés.

Nous essayons d’avoir un partenaire franchisé par région importante : un au Canada pour toute l’Amérique du Nord par exemple, un autre au Maroc pour l’Afrique du Nord. Nous nous intéressons également au Mexique, au Brésil et à l’Australie mais nous voulons trouver les bons partenaires. Ce n’est pas seulement de la revente à leurs clients mais un partenariat : les équipes montent en compétences. Au Maroc par exemple, nous travaillons avec l’Etat afin de monter une école de cybersécurité.

Pourquoi avoir lancé une activité de cyber-assurance ?

Notre activité de cyber-assurance sert à couvrir les 2 % d’attaques que nous n’arrivons pas à déjouer car notre taux de protection est à environ 98 %. Le problème de l’assurance dans notre secteur, c’est que le niveau de maturité de ce marché est très faible. Il faut parvenir à répondre à plusieurs questions : qu’est-ce qu’un risque cyber ? Qu’est-ce que je couvre ? Pour combien ? Combien ça va coûter ? Jusqu’où je m’engage ? C’est d’ailleurs pourquoi, aujourd’hui, nous proposons peu notre offre à nos clients car cela ne résout pas les problèmes. Des solutions pertinentes devraient arriver sur le marché dans les cinq prochaines années.