La cybersécurité est-elle un vecteur de croissance pour Adista ?
Nous observons une très forte réaction du marché. C’est l’activité qui est en fort développement au sein du groupe Adista. Les organisations attendent des expertises nouvelles. Aujourd’hui, on voit bien qu’il y a de la consolidation dans le marché. Les grosses structures ont la capacité à adresser les entreprises du CAC 40 ou du SBF 120, des sociétés dans lesquelles les investissements dans la cybersécurité sont massifs. Mais pour le "Middle Market", les grosses PME et les ETI, c’est beaucoup plus compliqué d’aller les chercher. Sur des segments de marché où la maturité est un peu moins importante et où le client attend de la proximité, des acteurs comme Adista se positionnent, et sont dans l’évolution normale : exploiter le système d’information du client conjointement avec la cybersécurité, ceci rentre naturellement dans le périmètre attendu par le client. Il y a toujours des réticences par rapport au prix. C’est un peu comme l’assurance automobile, on a toujours l’impression de payer trop cher. Mais il suffit d’érafler sa carrosserie pour constater que le prix des pièces représente déjà les deux précédentes années d’assurance. Cette prise de conscience est en marche.
Est-ce qu’Adista pourrait renforcer ses positions dans la cybersécurité par croissance externe ?
La cybersécurité est un vecteur de croissance extrêmement fort, donc c’est un sujet qui est très regardé en interne par nos dirigeants. Notre stratégie, c’est de viser les 500 millions d’euros de chiffre d’affaires pour le groupe en 2025. Notre croissance organique sera accompagnée par une croissance externe. Nous avons déjà mené trois opérations de croissance externe en un peu plus d’un an. Les structures intégrées dans le groupe ont une activité proche de la nôtre. Sur des sujets comme la cybersécurité, nous sommes évidemment attentifs aux possibilités qui se présentent à nous. Miser sur l’expertise, c’est ce que nous avons fait sur beaucoup de sujets, avec réussite, pour accélérer notre croissance.
"Le chiffre d’affaires généré par la cybercriminalité est supérieur au chiffre d’affaires du trafic de drogue."
De quoi parle-t-on quand on évoque les cybermenaces ?
Aujourd’hui, la majorité de la cybercriminalité est organisée. On s’éloigne de plus en plus du schéma du jeune hacker dans le fond de son garage. Les organisations auxquelles nous faisons face sont extrêmement bien structurées, et relèvent de la criminalité. Et il est de notoriété publique que certains États sont assez peu regardants sur les activités des cybercriminels qui opèrent sur leur sol. Au final, nous avons affaire à une espèce de melting pot relativement complexe. D’un côté, vous avez des opportunistes qui vont lancer des attaques de masse et s’appuient sur la loi des grands nombres, en se disant qu’il y a une chance qu’à un moment donné, une attaque donne quelque chose. Et puis vous avez des attaques qui sont ultra-ciblées. Telle entreprise possède des informations stratégiques et je vais m’en servir pour essayer de lui soutirer de l’argent, voire pour adopter une posture concurrentielle différente. La majorité des attaques aujourd’hui sont hautement automatisée, c’est-à-dire que vous n’avez pas des équipes dans le fond d’une pièce sombre en train de préparer un coup. Concrètement, ce sont des machines qui tournent en permanence, à la recherche d’opportunités, que ce soit sur les différents profils Facebook, que ce soit sur les adresses mail stockées, ou encore en scannant des réseaux interconnectés. Le constat que l’on fait, c’est que le chiffre d’affaires généré par la cybercriminalité est supérieur au chiffre d’affaires du trafic de drogue.
Qu’est-ce qui a changé avec la crise sanitaire ?
La dépendance de notre société aux systèmes d’information est de plus en plus grande. On le voit bien à la maison, et c’est également le cas dans les entreprises. Cette dépendance au numérique a augmenté la surface d’attaque. En mars 2020, quand la crise sanitaire est survenue, on a projeté massivement les collaborateurs en dehors de l’entreprise, avec pour impératif de continuer à faire tourner l’activité économique. On a donc ouvert les systèmes d’informations pour que les collaborateurs puissent continuer de travailler et on l’a fait en mettant un peu de côté les règles de sécurité, en privilégiant l’opérationnel. En parallèle, les attaquants ont bien compris que c’était plus facile de s’attaquer à l’utilisateur plutôt que d’essayer de passer par les lignes technologiques, parce que globalement, les lignes technologiques, au cours des dix dernières années, se sont fortement sécurisées. Les attaquants, de façon générale, cherchent à utiliser l’utilisateur comme une porte d’accès au système d’information. Plus de 90 % des attaques commencent par cibler l’utilisateur.
"Aujourd’hui, la parole se libère, il n’y a plus rien de honteux."
Une PME qui estime être protégée des cybermenaces peut-elle se détourner du sujet ?
C’est la pire erreur à faire. Parce que la menace évolue en permanence et face à nous, nous avons des organisations qui sont à la recherche permanente d’astuces, de nouvelles arnaques. La question n’est pas de savoir si je vais être attaqué, mais bien quand. La promesse consistant à dire qu’il est possible de mettre en place des lignes de défense et qu’il n’arrivera rien, c’est une promesse irréaliste. Mon discours, vis-à-vis des clients et des prospects c’est de dire : on va réduire votre risque, on va réduire votre exposition, on va faire en sorte que s’il y a un incident, vous serez en capacité de le détecter le plus tôt possible et en capacité de réagir. Évidemment, pour un fabricant de chips ou pour une entreprise qui fabrique des missiles, la cybersécurité sera abordée avec des approches différentes. Mais prenons l’exemple du fabricant de chips, sa chaîne de fabrication est très probablement hautement automatisée, reliée à l’informatique, que ce soit pour la fabrication, pour le packaging ou encore pour la logistique. Et si son informatique s’arrête, son activité est paralysée. Je pense que c’est un mythe qu’il faut absolument déconstruire que de penser qu’une entreprise n’intéresse personne. Si, à un moment donné, vous êtes une opportunité, l’attaquant se moque de la taille ou de la situation géographique. Ce qu’il veut, c’est faire de l’argent. Aujourd’hui, la parole se libère, il n’y a plus rien de honteux. Les gens commencent à comprendre que le risque que ça se produise est extrêmement important. Si je dis que ça m’est arrivé, ça va être plus facile pour les autres, qui vont pouvoir se servir de cette expérience pour progresser.
Que vous demandent les clients d’Adista ? D’abord un bon système d’information et ensuite de la sécurité s’il reste du budget ?
Globalement, la première préoccupation est plutôt opérationnelle. Mais tout le monde commence à prendre conscience de la valeur de son patrimoine informationnel. Aujourd’hui, la donnée, c’est le nouveau pétrole. Idéalement, la sécurité doit passer "By Design", c’est-à-dire dès la conception de la solution. Aujourd’hui, nous sommes vraiment dans cette logique, notamment autour de tout ce qui est environnement collaboratif. Ces fameux environnements collaboratifs qui permettent de partager des fichiers avec ses collaborateurs, avec ses partenaires, partager de la vidéo, etc. Donc c’est ouvert de partout. Et la réflexion sur la sécurité a posteriori, elle est extrêmement compliquée. Dans notre approche, à partir du moment où l’on parle d’espace collaboratif avec nos clients, on parle de sécurité, tout en étant très centré sur l’utilisateur puisque ça reste un sujet d’expérience utilisateur. Mais le sujet, c’est également la disponibilité du service et la protection du patrimoine informationnel.
