Comment Antelop Solutions a fait de la sécurité l’atout de sa solution de paiement NFC

Après des débuts difficiles, la start-up spécialisée dans les wallets NFC Antelop Solutions prend son essor commercial. La société a été cofondée en 2014 par Nicolas Bruley, CEO, et Nicolas Benady (parti fin 2018 pour créer une start-up de Banking-as-a-Service). Ces deux anciens de Visa ayant travaillé sur le paiement mobile en NFC, qui était alors “sim-centric”, ont décidé de lancer une solution logicielle de paiement mobile lorsque la technologie HCE (Host Card Emulation) a émergé ; le NFC n’est alors plus hébergé dans le mobile mais dans le système d’exploitation, et les données sont gérées dans le cloud.

Ils développent alors une solution permettant de proposer un wallet NFC sur Android (via SDK, c’est-à-dire un kit de développement, ou bien une application en marque blanche). La société vise ainsi des banques qui souhaitent proposer une solution de paiement mobile en propre à leurs clients et leur permet de digitaliser les cartes bancaires dans l’application pour le paiement NFC, avec des possibilités de gestion du paiement. Mais les débuts s’avèrent compliqués : “vendre une solution à des banques alors que nous étions une start-up de quelques collaborateurs a été difficile”, se souvient Nicolas Bruley. Antelop parvient finalement à signer un contrat avec Arkéa en 2016 et lance le produit sous la marque Paylib en six mois.

Solution en production dans quatre pays

Le marché français, très concentré, se trouve cependant rapidement saturé sur le sujet : le Crédit Agricole, LCL et la banque Edel choisissent par exemple Déjàmobile ; certaines banques travaillent avec Worldline, leur partenaire historique… Autre difficulté pour Antelop dans l’Hexagone : “les volumes sont encore très bas sur le paiement mobile en France”, indique le CEO.

La société est donc partie à l’international, avec une seule référence pour convaincre. En 2017, elle signe avec Piraeus Bank, en Grèce. “En deux ans et demi, nous n’avons signé que deux banques : le décollage a été très difficile, se rappelle Nicolas Bruley. Mais depuis six mois, la société décolle commercialement.” Il assure que “plusieurs très gros contrats ont été signés”, notamment avec un groupe bancaire européen de tier 1 présent dans quinze pays et avec un émetteur de cartes présent dans une trentaine de pays. “La solution est aujourd’hui en production dans quatre pays et le sera dans au moins une dizaine d’ici la fin d’année, notamment en Asie, en Amérique latine et au Moyen-Orient”, ajoute Nicolas Bruley. Antelop revendique désormais une dizaine de clients, dont certains englobent plusieurs établissements financiers.

Du NFC à l’authentification mobile et l’onboarding

Entre-temps, il faut dire que l’offre d’Antelop a évolué. D’abord, en élargissant le périmètre de sa solution de wallet sur Android. “Dans le paiement mobile, notre force a toujours résidé dans la sécurité, raconte le CEO. Nous avons été les premiers au monde à obtenir la certification sécurité Visa, et depuis nous avons aussi décroché les certifications Mastercard et CB.” La société est également certifiée PCI-DSS (standard de sécurité des données qui s’applique à la chaîne monétique) depuis 2018. “Cette brique de sécurité est d’autant plus importante à l’heure où les malwares se multiplient sur les portables”, estime Nicolas Bruley. La société subit régulièrement des “audits en white box”, durant lesquels elle donne son code source et donne accès à ses serveurs, sans que l’application ne soit finalement hackée. “Nous avons compté 70 à 80 jours par an d’audits sur notre laboratoire principal”, indique le dirigeant.

Conformité avec la DSP2

Résultat : Antelop a reçu des demandes des clients sur la sécurité hardware, au-delà de l’offre concernant le HCE. “Nous avons évolué vers une solution plus générique qui englobe également la gestion de l’authentification forte, avec le même niveau de sécurité qu’une carte à puce et conforme avec la DSP2, souligne le CEO : nous pouvons associer plusieurs méthodes selon le client et proposer plusieurs méthodes d’authentification : par code confidentiel, empreinte digitale et biométrie faciale”.

Depuis quelques mois, la société propose également un module d’authentification forte lors de l’onboarding, grâce à un partenariat avec la start-up parisienne Ubble, dont la solution (concurrente de celle d’Idemia utilisée par Société Générale, par exemple) a été intégrée au SDK. Elle se base sur un document d’identité et la reconnaissance faciale en vidéo et le traitement automatisé est complété par une vérification manuelle d’experts sécuritaires, selon la réglementation du pays.

Antelop propose donc un SDK englobant – si le client le souhaite – à la fois le wallet NFC sur Android, l’authentification forte DSP2 et l’onboarding mobile. “De nombreuses sociétés proposent des services d’onboarding ou de KYC, reconnaît Nicolas Bruley. Notre avantage est d’apporter la gestion tout en un de la sécurité sur mobile sur tous ces aspects : nous pensons la sécurité dans sa globalité pour éviter les failles”.

Connexion aux systèmes de tokenisation des schemes

Une deuxième solution SaaS PCI DSS a aussi vu le jour chez Antelop. Elle permet à ses clients de se raccorder de manière simple et rapide aux systèmes de tokenisation de Visa, Mastercard et Cartes Bancaires pour la tokenisation des cartes bancaires, afin de pouvoir proposer à leurs clients un wallet propriétaire, Google Pay, Samsung Pay… et même Apple Pay. Antelop propose un “hub de digitalisation” auquel les banques se connectent via un jeu d’APIs unifié, et qui gère la digitalisation des cartes quel que soit le scheme, le wallet, le terminal. “Cela peut notamment être très utile pour des cas de déploiement complexes, pour des structures dans plusieurs pays et avec plusieurs processeurs par exemple”, décrit Nicolas Bruley. De quoi accélérer le time-to-market et gagner en agilité, avec une adaptation constante aux évolutions des schemes.

Le marché du on-premise a disparu

La société a modifié son offre en 2017 pour passer d’une offre on-premise à une solution SaaS. Seul Arkéa est encore on-premise. Une évolution qui permet un déploiement simplifié, une intégration plus légère, avec des solutions déjà pré-certifiées par les schemes et des mises à jours automatiques.  “Nous avons observé un retournement de marché en cinq ans et désormais nos clients nous demandent d’opérer nous-même le service, précise le CEO. Le marché du on-premise n’existe plus : Visa et Mastercard ont fortement poussé l’écosystème vers le cloud avec leurs webservices de tokenisation.” Lire notre dossier : comment les banques se positionnent-elles face au cloud ?

Le délai de déploiement dépend ensuite de l’agilité de la banque, assure Nicolas Bruley, mais peut être réalisé en quatre mois pour les plus rapides. L’offre SaaS est hébergée chez AWS en Europe dans un environnement PCI-DSS.

Objectif de rentabilité en 2019

Après avoir levé 200 000 euros à ses débuts en love money, Antelop Solutions avait bouclé un tour de table de 1,7 million d’euros à l’été 2016 auprès de business angels, dont Pierre Kosciusko-Morizet et Céline Lazorthes. Plus récemment, la société a bouclé un “bridge” de 500 000 euros auprès de Sofimac Innovation. Les fondateurs ne détiennent plus la majorité du capital mais “gardent le plein contrôle de la société”, assure le CEO, qui se félicite également de ne pas avoir d’intérêts industriels dans son actionnariat.

Le prix de la licence, qui dépend des fonctionnalités et des réseaux, est est proportionnel aux volumes. Antelop indique avoir réalisé 20% de son chiffre d’affaires en France en 2018 et 80% à l’export. En 2019, la proportion devrait monter à 85%. L’acquisition client se fait pour deux tiers en direct (la société de vingt collaborateurs compte trois commerciaux) et un tiers via des partenaires : des distributeurs (fournisseurs de solutions de paiement comme Valid, Futurecard ou le processeur marocain S2M) et une dizaine d’apporteurs d’affaires individuels.

Selon des documents officiels, Antelop a enregistré un chiffre d’affaires HT de 455 099 euros pour une perte de 350 640 euros en 2017. La société ne communique pas sur ses résultats 2018 mais annonce vouloir “plus que doubler” son chiffre d’affaires et viser la rentabilité en 2019.