Société Générale lance Oppens, un “coach sécurité” pour les TPE/ETI

Société Générale a annoncé le 27 février le lancement d’Oppens, start-up entièrement détenue par la banque et vouée à l’amélioration de la cybersécurité dans les TPE et PME. Cofondateur d’Oppens, David Prache décrit un “coach” en sécurité, “dédié à accompagner globalement dans leur démarche de sécurisation” ces nombreux acteurs qui ont peu voire pas du tout de connaissances en cybersécurité. Il s’agit de combler un manque, selon cet ancien chargé d’affaires de la banque, “l’immense majorité des services fournis par les SSII et/ou les experts en cybersécurité français étant taillés pour de grands groupes”. En outre, cette offre ne correspond pas aux contraintes de flexibilité et de coût rencontrées par les petites entreprises. Oppens a pour le moment été déployée en version pilote dans deux centres d’affaires sur les trente que compte la Société Générale.  

Cofondée avec Jérôme Pénichon (auparavant responsable du SI monétique puis directeur de projets pour Société Générale puis Transactis) et Arnaud Vallée (ancien directeur de division SI), Oppens propose une solution freemium en trois étapes aux entreprises, associations et collectivités locales, qu’elles soient clientes ou non du groupe Société Générale. Ces acteurs peuvent d’abord évaluer tout ou partie de leur exposition au risque cyber sur le site de la start-up, via des formulaires d’auto-diagnostic thématique, pensés pour leur simplicité. Des recommandations sont ensuite formulées gratuitement, en fonction des axes prioritaires identifiés. Enfin, Oppens pousse un accompagnement plus spécifique, fournissant notamment un catalogue de produits et services “gratuits pour un tiers d’entre eux, précise Jérôme Pénichon. Les deux tiers restants ont des tarifs échelonnés entre 15 euros par collaborateur pour certains modules de formation jusqu’à 5 000 euros pour les audits les plus poussés.” 

Les TPE/ETI, démunies face aux cyberattaques

L’initiative répond à un besoin constaté par les experts en cybersécurité. Au Forum International de la Cybersécurité qui s’est tenu à Lille fin janvier 2020, le directeur général de l’ANSSI Guillaume Poupard a exprimé son inquiétude devant la mauvaise protection des petites et moyennes entreprises. Plus de 60% d’entre elles ont subi un cyber-incident en 2019 selon un rapport de l’assureur Hiscox. Dans la présentation de son panorama de la cybercriminalité en 2019, présenté le 21 janvier dernier, le Clusif (club de la sécurité de l’information français) estimait à 700 millions d’euros les pertes enregistrées par les PME françaises sur l’année. Il soulignait aussi l’augmentation notable des attaques par tiers, les malfaiteurs profitant précisément des faiblesses des petites et moyennes structures pour atteindre des cibles plus importantes. Allianz ou Deutsche Bank ont été cyberattaqués de cette manière. 

Viennent ensuite le phishing et/ou les fuites de données. Chez Société Générale, “nous devons par exemple mettre hors-service une soixantaine de faux sites chaque semaine”, déclare Bruno Delas, COO des réseaux de banque de détail du groupe Société Générale. La banque développe une compétence cyber depuis une dizaine d’années, détaille-t-il, “qui compte quelque 700 personnes aujourd’hui, avec une centaine de postes supplémentaires à pourvoir en 2020”. Et c’est notamment sur ces forces que s’appuie Oppens. Car comme Clipeum (lire Comment la Société Générale fait du KYC une nouvelle ligne de revenus), Oppens est l’une des initiatives nées de l’“internal start-up call” lancé en 2018 (et aidé par #LePlateau, initiative et lieu d’innovation de Société Générale) et développé en partenariat avec les équipes métiers du groupe.

La banque, tiers de confiance

Dans ce cadre, Jérôme Pénichon, David Prache et Arnaud Vallée ont interrogé plus de 400 chefs d’entreprise. “80% d’entre eux ont déclaré que la banque était légitime pour répondre à leurs problématiques de cybersécurité”, explique ce dernier. Une confiance que Bruno Delas explique par le réflexe cultivé depuis de nombreuses années chez leurs clients professionnels comme particuliers. “S’ils rencontrent un problème, on leur demande d’appeler rapidement leur banquier pour pallier les éventuelles questions financières que cela soulève, ou bloquer les transactions frauduleuses.” Si les responsables de collectivités locales, les dirigeants de petites et moyennes entreprises, voire les auto-entrepreneurs ont conscience de la menace croissante, ils ne savent pas nécessairement comment réagir, ni même à qui s’adresser. “Nous les aidons donc à dresser un état des lieux, à déterminer les actions à mener et nous leur recommandons des partenaires”, liste Arnaud Vallée. Dans certains cas, Oppens aide aussi des SSII à reconfigurer leur offre pour correspondre aux besoins spécifiques des petites structures. 

À l’heure actuelle, Oppens propose des diagnostics sur 5 thématiques différentes (Mot de passe, Protection des données, Sensibilisation, Sécuriser les appareils, Site internet). À terme, elle devrait en proposer dix, toujours sur le même modèle : trois questions simples, un diagnostic rapide, puis la proposition de fiches de sensibilisation et de solution vérifiées pour lutter contre les problèmes constatés. “Pour le moment, nous offrons une cinquantaine de services différents”, estime d’ailleurs Jérôme Pénichon, “mais nous avons vocation à étendre l’offre”. “Nous travaillons par exemple à la possibilité de créer des offres de cyber-assurance”, renchérit David Prache. Un autre chantier consiste à étendre les possibilités de formation, que ce soit sous la forme de fiches explicatives, d’e-learning ou de modules en présentiel. “La problématique de la formation est revenue dans 60% des besoins exprimés par les dirigeants que nous avons rencontrés”, explique Arnaud Vallée. 

Si elle est pour le moment filiale à part entière de la banque, auprès de laquelle elle s’est financée à hauteur d’un million d’euros, la société pourrait voir entrer de nouveaux investisseurs à son capital une fois son business model éprouvé, laisse entendre Bruno Delas.