On connaissait les boucliers anti-missiles. Voici venir le temps des boucliers anti-cyberattaques. L’ANSSI (Agence nationale de sécurité des systèmes d’informations), l’agence de cybersécurité française, a annoncé jeudi 4 avril la qualification des deux premières sondes de détection de cyberattaques destinées aux sociétés et administrations jugées stratégiques par l’Etat. Après quatre ans de développement et de tests, deux acteurs, Thales et la start-up parisienne Gatewatcher (sonde Trackwatch Full edition), obtiennent ainsi le précieux sésame pour proposer leurs sondes aux fameux Opérateurs d’importance vitale (OIV). La sonde Cybels de Thales affrontera donc la sonde Trackwatch Full Edition de Gatewatcher.
Ces 250 OIV (acteurs du transports, banques, ports, aéroports, industriels dans l’énergie, l’eau ou la défense), dont la liste exacte est classifiée, ont désormais deux ans pour s’équiper de ces outils informatiques conçus pour détecter les attaques cyber. Ces sondes, de la taille d’un plateau de table, seront branchées sur les serveurs informatiques les pus stratégiques. Cette obligation, inscrite dans la loi de programmation militaire votée en décembre 2013, n’a rien d’une coquetterie administrative. Les cyber-attaques font rage sur les sociétés européennes. Le rançongiciel NotPetya a coûté 220 millions d’euros de chiffre d’affaires et 80 millions de résultat à Saint Gobain, touché en 2017. Airbus a annoncé avoir été visé par une cyberattaque en janvier dernier, une offensive très probablement chinoise. Dernier touché, le géant allemand de la chimie Bayer, qui a indiqué le 4 avril avoir été ciblé début 2018 par une attaque de grande ampleur.
Défi technique
Le problème, c’est que le développement de ces précieuses sondes de détection est un énorme défi technique. Pour répondre aux exigences de l’ANSSI, ces équipements doivent d’abord être capables de repérer les signaux faibles générés par une cyberattaque. “La sonde recherche en temps réel les marqueurs d’une éventuelle attaque en s’appuyant sur une base de signatures connues”, explique Pierre Jeanne, vice-président en charge des solutions cyber chez Thales Communications et Security. Autre difficulté, la sonde doit aussi être capable de résister aux tentatives d’intrusion dans ses propres systèmes, pour que les assaillants ne découvrent pas les stratégies de détection adoptées. Les sondes sont donc “durcies”, selon le terme consacré, pour être totalement imperméables aux attaques. Enfin, elles doivent être “souveraines”, c’est-à-dire 100% produites en France, pour éviter d’éventuelles fuite de données sensibles.
La tâche est tellement complexe que de grands noms de l’industrie se sont cassé les dents sur le sujet. Atos avait rapidement décidé d’arrêter son projet, suite au refus des investissements d’avenir (ex-grand emprunt) de financer son programme de sonde en 2015. Plus récemment, c’est Airbus Defence & Space qui a jeté l’éponge. Selon nos informations, le groupe européen a arrêté le développement de sa sonde baptisée Keelback Net. L’activité sondes a été stoppée suite au départ chez Naval Group de piliers des équipes cyber du site d’Airbus DS à Elancourt (Yvelines). L’ANSSI assume cette exigence. “Il est très important que le niveau de sécurité de ces prestataires soit extrêmement élevé, indiquait Guillaume Poupard, patron de l’ANSSI, lors d’une audition à l’Assemblée nationale en mars 2018. C’est l’intérêt de la qualification, et de la vie dure que nous leur menons. Nous avons une très bonne relation avec eux, mais je sens bien que nous les fatiguons un peu.”
Gatewatcher veut devancer Thales
Airbus et Atos out, Thales et la start-up Gatewatcher restent donc seuls en course pour équiper les 250 OIV. La puissance R&D du premier (1 milliard d’euros par an en R&D autofinancée) pourrait faire croire que Thales est le favori de la course. Mais la lutte pourrait se révéler bien plus âpre que prévu : Gatewatcher est un spécialiste de la détection de cyberattaques, qui a investi entre 3 et 4 millions d’euros sur sa sonde. Et la jeune pousse n’a aucun complexe : “Nous avons remporté neuf des dix appels d’offres organisés ces derniers mois, assure Jacques de la Rivière, fondateur de Gatewatcher. Nous estimons avoir la meilleure sonde du marché, avec des capacités de détection qui vont bien au-delà des exigences de l’ANSSI. Et la plateforme de management de notre sonde a été qualifiée, ce qui n’est pas le cas de la concurrence.”
Gatewatcher est, de fait, une des plus belles success stories du secteur cyber français. Déjà rentable, la société a atteint 4 millions d’euros de chiffre d’affaires en 2018, dont 20% à l’export. Elle vise 10 millions cette année, dont 30 à 40% hors de France, et au moins 15 millions en 2020. Pour accélérer encore sa croissance, Gatewatcher compte lever 10 millions d’euros en fin d’année. 2 millions seront consacrés à la R&D, et 8 millions au recrutement de commerciaux et au marketing pour accélérer à l’export. La société pourrait être une cible de choix pour le fonds cyber de 150 millions d’euros monté par ACE Management (Tikehau).
Intelligence artificielle
Thales répond avoir tous les atouts en main pour être leader du marché des sondes. “Nous pouvons capitaliser cinq centres opérationnels de cybersécurité (SOC) dans le monde, nos spécialistes de Cyber Threat Intelligence (menaces cyber) et notre expertise en intelligence artificielle”, assure Pierre Jeanne. Thales souligne avoir déjà placé sa sonde chez des clients prestigieux. Le groupe a signé un partenariat avec la Poste, et va également équiper les centres de sécurité du système satellite Galileo, le GPS européen. La lutte entre les deux champions s’annonce donc rude. Le marché a de quoi faire saliver : une sonde est facturée au minimum 90.000 euros, et l’addition peut monter à 1,5 million d’euros pour un système complet, indique Gatewatcher.