Alain Bouillé (CESIN) : « les RSSI choisissent des œufs qui se retrouvent dans le même panier »

Pouvez-vous nous rappeler ce qu’est le CESIN ?

Le CESIN (Club des Experts de la Sécurité de l’Information et du Numérique) est une association d’experts en cybersécurité avec des objectifs de professionnalisation, de promotion et de partage autour de la cybersécurité. Elle regroupe plus d’un millier de membres issus de nombreux secteurs d’activités, du privé comme du public, de l’ETI au CAC40.

Le CESIN compte également parmi ses membres plusieurs organismes et institutions, comme l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI), le Commandement Cyber de la Gendarmerie, la Commission Nationale de l’Informatique et des Libertés (CNIL), Cybermalveillance.gouv.fr, des ministères, etc.

Le CESIN s’est ému des rachats massifs d’acteurs de la cybersécurité par un fonds américain, Thoma Bravo. Quelle est l’ampleur de cette politique de rachats ?

Il est difficile de faire une liste car ce fonds procède à de nombreux rachats mais aussi à des reventes. Ainsi, récemment, Imperva a été revendu par Thoma Bravo à Thales.

Comme exemples d’entreprises rachetées, on peut noter parmi les plus connues : Barracuda, Blue Coat, Entrust, ForgeRock, Illumio, LogRhythm ou encore Sonicwall. Deux spécialistes de l’IAM, Ping Identity puis Sailpoint, ont aussi été rachetés. Et nous pouvons également mentionner Proofpoint pour la sécurité des messageries, Sophos pour la protection des endpoints et des réseaux, Veracode pour la protection applicative, et, plus récemment, Darktrace.

Quelles sont les conséquences de ces rachats ?

Nous ne voulons bien sûr pas faire un procès d’intention à Thoma Bravo mais sa politique est de procéder à de l’achat, à de la maximisation de valeur financière puis à de la revente. Ce fonds achète une entreprise saine en pleine croissance, à un montant suffisamment élevé pour rendre difficile un refus de vente, puis procède à des optimisations financières. Cela passe en premier lieu par une politique d’économies considérables. La suppression des budgets marketing, la première étape, ne pose pas de vrai problème. Mais, par contre, la réduction de la R&D est, elle, vite catastrophique. En effet, les cyber-attaquants innovent sans cesse et les éditeurs de solutions de cybersécurité ont une obligation absolue d’innover en retour. Si la R&D diminue voire disparaît, la solution devient petit à petit moins efficace mais on ne le perçoit pas forcément tout de suite.

Les entreprises clientes ont souvent des contrats sur une certaine durée, en général trois ans. Et elles sont donc engagées sur cette durée, rendant certains les revenus de l’éditeur, même si la solution est moins pertinente.

Enfin, bien entendu, les tarifs augmentent.

Au final, la valeur financière de l’éditeur augmente et le fonds peut alors chercher à le revendre.

La concentration des acteurs est un phénomène courant en informatique et nous savons tous ce que cela implique. La situation avec Thoma Bravo et les éditeurs de cybersécurité n’est guère différente du cas VMware/Broadcom.

Dans la cybersécurité, nous aimons bien éviter de mettre tous nos œufs dans le même panier en choisissant des solutions partiellement redondantes issus de fournisseurs différents. Mais, de fait, les RSSI choisissent des œufs qui se retrouvent en fin de compte dans le même panier, celui de Thoma Bravo.

Avez-vous d’autres exemples de tels rachats préjudiciables tant aux clients qu’à la qualité des solutions ?

L’épisode du rachat de Symantec par Broadcom est encore dans toutes les mémoires.

Broadcom a une autre politique : ce fonds « essore » le produit en supprimant marketing, R&D, etc. et en vivant uniquement sur la rente des contrats en cours (licences et maintenance) tout en augmentant les tarifs. Au bout d’un certain temps, le produit meurt. McAfee et Symantec ne sont plus les fleurons qu’ils étaient…

Quels acteurs pourraient échapper à de tels rachats ?

Sur le marché des EDR, il y a beaucoup trop de solutions et une consolidation est inévitable.

Pour échapper à de tels rachats, il est sans doute nécessaire d’être d’une taille trop importante pour être d’un prix pouvant être payé. Par exemple, Palo Alto.

Et, bien entendu, un acteur tel que Microsoft ne peut pas être racheté par un tel fonds. Microsoft possède un EDR d’un niveau tout à fait satisfaisant.

Peut-être que, à terme, il n’y aura plus que trois ou quatre éditeurs sur le marché. Mais est-ce que cela sera bénéfique à la cybersécurité ?

Quels sont les risques liés à de telles concentrations ?

Les solutions de cybersécurité sont, par nature, très intrusives dans les systèmes d’information. Elles collectent énormément de données. C’est l’une des raisons pour lesquelles les RSSI évitent de mettre tous leurs oeufs dans le même panier : un éditeur donné n’a qu’une vue parcellaire.

Comme Thoma Bravo a une optique de revente, il ne semble pas, a priori, qu’il procède à des consolidations techniques des solutions. Mais, de fait, s’il tentait une telle consolidation, il détiendrait une masse de données bien plus sensibles que Microsoft avec Office 365.

L’alternative aux solutions américaines, c’était Kaspersky. Est-ce toujours possible ?

Depuis la guerre en Ukraine, plus personne n’achète cette solution. La plupart des entreprises qui l’utilisaient décommissionnent cette solution qui est en voie d’interdiction totale aux Etats-Unis.

De fait, on peut dire que cet éditeur est rayé de la carte en Europe et aux Amériques.

Est-ce que tout cela ne pourrait pas être bénéfique à des solutions européennes voire françaises ?

Eset est slovaque, Bitdefender est roumain, Wallix, Harfanglab et Tehtris sont français. Thales possède quelques solutions aussi, dont, désormais, Imperva.

Toutes ces entreprises pourraient bénéficier d’un effet d’aubaine mais les effets sont longs. Les contrats sont souvent signés pour trois ans. Et, au bout des trois ans, la solution peut très bien avoir été revendue à un industriel, comme Imperva à Thales.

Et puis rien n’interdit à Thoma Bravo ou Broadcom d’acheter français…