Challenges – Par Vincent Lamigeon le 11.07.2018 à 17h32

La start-up française Gatewatcher mène la vie dure aux géants Thales et Airbus sur un marché ultra-stratégique : les sondes informatiques de détection de cyberattaques, destinés à protéger les entreprises et administrations vitales.

La PME Gatewatcher mène la vie dure à Thales et Airbus sur le segment des sondes de détection des cyber-attaques. Des outils stratégiques, qui doivent équiper les entreprises et administrations françaises les plus vitales (défense, eau, nucléaire, transport…). Kacper Pempel

C’est un peu l’histoire de David contre Goliath, version cyber. Une guerre technologique impitoyable, restée jusqu’à présent sous les radars, entre les géants Thales et Airbus et une petite start-up d’une quarantaine de salariés, Gatewatcher. L’enjeu du combat n’a rien de symbolique : il s’agit d’équiper les entreprises et administrations françaises les plus vitales de sondes informatiques de détection de cyber-attaques. Des outils d’une rare complexité, de la taille et de l’épaisseur d’un plateau de table, qui se branchent sur les serveurs informatiques les plus critiques, et analysent en temps réel les flux de données pour y repérer des attaques potentielles. Ces sondes, dites « souveraines » (car 100% développées et qualifiées en France), sont en cours de qualification par l’ANSSI (Agence nationale de la sécurité des systèmes d’information), l’agence de cybersécurité française.

Pour bien comprendre l’affaire, un petit retour en arrière est nécessaire. Face au spectre de cyber-attaques générant un black-out total sur les services essentiels, la loi de programmation militaire (LPM) votée en décembre 2013 a renforcé drastiquement les exigences de cybersécurité pour un peu plus de 200 entreprises et administrations, dits opérateurs d’importance vitale (OIV). Parmi les obligations de ces OIV, dont la liste exacte est classée secret défense (entreprises de transports, d’énergie, de gestion de l’eau, ports, industriels stratégiques…) figure l’installation, dans leurs serveurs informatiques, des fameuses sondes souveraines, développées par des industriels et qualifiées par l’ANSSI. La nouvelle LPM, votée fin juin, renforce encore l’importance de ces sondes : celles-ci devront également pouvoir être installées, sur demande de l’ANSSI, dans les serveurs des opérateurs télécoms.

« Plus performants que Cisco »

Pour aider les industriels à développer les fameuses sondes, l’Etat lance dès 2014 un appel à projets dans le cadre des investissements d’avenir. Dès le départ, l’idée est de se limiter à des acteurs français, d’où le terme « sondes souveraines ». « Nous ne pouvons exclure la possibilité que des sondes étrangères soient aveugles à une partie des menaces », justifiait le patron de l’ANSSI, Guillaume Poupard, devant les députés de la commission de la défense en mars dernier. Trois gros bonnets du secteur y répondent : Airbus, Thales et Atos-Bull. Les projets d’Airbus et Thales sont finalement retenus, pas celui d’Atos-Bull. Faute de financement, le groupe dirigé par Thierry Breton décide de jeter l’éponge. On s’oriente tout droit vers un duel de titans entre Thales (sonde Cybels), et Airbus (sonde Keelback Net). Mais un troisième larron, totalement inattendu, s’invite à la fête : Gatewatcher, une start-up parisienne spécialisée dans la détection des intrusions informatiques.

Le patron de la société, Jacques de la Rivière, reçoit dans un bureau vitré du siège du groupe, dans l’énorme complexe d’affaires Washington Plaza, à deux pas des Champs-Elysées. La concurrence des géants Thales et Airbus ? « On est une PME au milieu de grands groupes, c’est ça qui est marrant, assure-t-il. On va beaucoup plus vite, avec des coûts bien plus bas. » Avec son associé Philippe Gillet, Jacques de la Rivière avait commencé à travailler sur les techniques de masquage des hackers quand il était étudiant à l’ESIEA, une école d’ingénieurs spécialisé dans le monde numérique.Il assure n’avoir aucun complexe face à la concurrence. « En termes de détection et de performance, on est largement devant, jure-t-il. Vu les spécifications de l’ANSSI, très exigeantes, on est même plus performants que des géants comme Cisco. »

De fait, la start-up est en train de prouver qu’elle n’a rien à envier aux grands. De sources concordantes, sa sonde est la plus avancée dans le processus de qualification de l’ANSSI. « Sa qualification est retardée pour des raisons politiques : laisser le temps à Thales, voire Airbus, de rattraper leur retard »,assure un spécialiste du secteur. Interrogée par Challenges à plusieurs reprises sur ce sujet, l’ANSSI n’a pas répondu à nos questions.

Airbus aux abonnés absents 

L’avance technologique de Gatewatcher se retrouve en tout cas au plan commercial. Selon nos informations, les sondes de Gatewatcher ont gagné cinq des sept appels d’offres déjà organisés par les OIV, s’imposant notamment chez une grande banque française, un géant de l’énergie, un groupe de défense et deux grands industriels. De sources concordantes, la start-up serait également bien placée pour remporter un appel d’offre de l’armée pour des sondes destinées à une dizaine de frégates de la Marine nationale, dont les futures frégates de taille intermédiaires (FTI). Interrogé, Gatewatcher ne commente pas, arguant des clauses de confidentialité avec ses clients.

La start-up est plus diserte sur son plan d’affaires, ultra-ambitieux : Jacques de la Rivière veut passer de 2 millions d’euros de chiffre d’affaires en 2017 à 7 millions cette année, 14 millions en 2019 et 20 millions en 2020. « En termes de performance, la sonde Gatewatcher a un an et demi d’avance sur Thales et deux ans sur Airbus, assure un client, fin connaisseur du secteur. Elle est meilleure sur la détection, mais aussi sur le durcissement [capacité à ne pas être piratable, NDLR]. »

Les concurrents semblent loin derrière. Thales ? Le groupe aurait remporté l’appel d’offres de la Poste. Une source proche assure qu’il pourrait aussi s’imposer chez Naval Group, sa filiale à 35%. « Ils galèrent sur leur sonde, qui a du retard », assure pourtant un responsable cyber de grand groupe. Quant à Airbus, il semble dans le flou le plus total. « Cela fait trois ans qu’ils ne savent pas où ils crèchent sur la cybersécurité, estime la même source. On ne sait même pas s’ils travaillent toujours sur leur sonde, on ne les voit plus sur les appels d’offres. » Interrogé par Challenges, Airbus s’est révélé incapable de donner une réponse claire. « Airbus conçoit des capteurs, et va continuer à les développer », s’est contenté de répondre le groupe par email. Quant à l’ANSSI, interrogée à de multiples reprises par Challenges, elle n’a pas répondu à nos demandes.

Le black-out, scénario noir

Il faut dire que les sondes sont un sujet sensible. Pour les qualifier, l’ANSSI impose des tests extrêmement exigeants aux fabricants. Réalisés par des laboratoires indépendants, ces tests mesurent à la fois les capacités de détection des sondes et leur résistance au piratage. « Il est très important que le niveau de sécurité de ces prestataires soit extrêmement élevé, indiquait Guillaume Poupard, patron de l’ANSSI, lors de son audition à l’Assemblée nationale. C’est l’intérêt de la qualification, et de la vie dure que nous leur menons. Nous avons une très bonne relation avec eux, mais je sens bien que nous les fatiguons un peu. »

L’idée est de protéger au mieux les opérateurs stratégiques français d’un scénario à l’estonienne. En 2007, l’Estonie avait été confrontée à une cyberattaque majeure attribuée à la Russie, avec des milliers d’attaques simultanées provenant d’ordinateurs basés dans une soixantaine de pays. L’offensive avait saturé les serveurs d’institutions publiques et privées estoniennes (ministères, banques, médias) pendant plusieurs jours, un black out partiel de leurs services à la clé.

Les sondes souveraines qualifiées par l’ANSSI doivent également être « durcies », c’est-à-dire qu’elles ne doivent pas être piratables. Pour leur apprendre à reconnaître les traces de cyber-assaillants, ces sondes sont en effet « nourries » avec les signatures (techniques d’attaques caractéristiques) de groupes de hackers repérées par l’agence de cybersécurité française. Il faut que ces bases de données de signatures, véritables marqueurs des différents groupes de cyber-attaquants et trésor de guerre de l’ANSSI, ne puissent pas être récupérées par des acteurs malveillants. Les sondes sont donc conçues pour devenir totalement muettes en cas de vol. Sitôt déconnectées de leur serveur, leurs données sont effacées.

Gatewatcher, trop petit parmi les grands ?

La qualification des sondes par l’ANSSI est prévue en deux étapes : une première qualification temporaire, dite QE, fin 2018, et la qualification définitive, dite QS, en 2019. L’agence semble vouloir qualifier au moins deux sondes en même temps, pour offrir un choix aux opérateurs d’importance vitale. Une fois ces qualifications obtenues, les appels d’offres vont se multiplier au sein des 200 OIV. « Il n’est pas du tout exclu que Gatewatcher prenne la part du lion », assure un grand compte. Ce qui ferait de la start-up un acteur incontournable, mais poserait aussi quelques questions. « Le fait qu’ils soient encore petits peut effrayer certains OIV, inquiets de dépendre d’un acteur dont ils n’ont pas de garantie sur la pérennité, souligne un expert de la cyber. Il n’est pas exclu que certains gros acteurs tentent de les racheter. »

Jacques de la Rivière ferme résolument la porte à ce scénario. « Nous sommes plus petits que les autres, mais nous sommes focalisés sur les sondes de détection, qui ne sont pas noyées dans d’autres activités comme dans les grands groupes, souligne-t-il.Nous sommes aussi en train de grossir rapidement.Nous n’avons aucune intention de vendre. » La start-up préfère collaborer avec de grands partenaires, comme Orange Cyberdéfense, avec qui il travaille sur les Security Operations Center (SOC), les centres de réaction rapide cyber.