À travers ce travail de recherche et d’analyse de la French Tech, nous souhaitons comprendre les grandes tendances de l’investissement en France et identifier les secteurs de demain. Suite aux précédents volets dédiés à la biotech, l’IA, l’IoT et les fintechs, nous vous proposons aujourd’hui une étude de l’investissement dans les startups françaises dans le secteur de la cybersécurité. Echanges croisés sur le sujet avec François Mattens, directeur de l’innovation du GICAT et responsable de GENERATE, un accélérateur de start-up dédié à la sécurité et la défense.
La crise du COVID-19 et son confinement ont obligé des millions de personnes à faire usage du télétravail pour maintenir leurs activités. Cette situation les a de facto exposé à des malveillances numériques et différents hackers y ont vu une opportunité pour agir. Depuis, acteurs institutionnels, industriels comme sociétés de cybersécurité constatent une recrudescence des cyberattaques.
Les menaces en ligne liées au Coronavirus (Données : The Economist)
1. Qu’est-ce que la cybersécurité ?
Le terme cybersécurité vient de la contraction des termes “cyber” et “sécurité”. Ce terme apparaît dès la fin du XXème siècle en prenant en compte les prémices de que l’on désigne cyber-univers : les réseaux informatiques, les satellites, et téléphoniques. Il désigne la protection de l’ensemble des systèmes d’informations connectés à internet.
Avec l’avènement de l’IoT, la cybersécurité est aujourd’hui au coeur de la stratégie des entreprises. L’approche des sociétés avec la cybersécurité a une très forte connotation “risque” et s’intègre dans l’écosystème de la chaîne de valeur des entreprises. En effet la sécurité numérique s'érige comme la protection de demain face aux attaques externes en protégeant ce qu’une entreprise à de plus sensible : ses données. Les entreprises font l’objet d’attaques informatiques via des virus ou des techniques d'hameçonnage. L’objectif de la cybersécurité est donc très important, car en plus d’éviter le vol de données, elle va permettre d’éviter les usurpations d’identités et permettre une bonne gestion des risques digitaux par exemple. Il est donc nécessaire pour toute société d’être proactive en faisant preuve de cyber-résilience et d’avoir cette capacité à réagir rapidement en cas d’attaque. Cette prise de conscience collective est telle que le marché de la cybersécurité ne cesse de grandir et pourrait atteindre selon les estimations de Precise Security la taille critique de 150 milliards de dollars en 2023 dans le monde.
Le secteur de la cybersécurité en France regroupe un large éventail de domaines techniques mêlant données, cybercriminalités, cloud, applications ou encore management du risque :
-
Sécurité de données : qui comprend le Secure Data Exchange, le Watermarking, l’Anonymization avec des startups comme YouSign ou encore Ledger.
-
Sécurité du cloud : via la Blockchain et l’IOT Security, la sécurité du cloud assure des stratégies de contrôle afin de protéger les données et autres éléments réseaux associés au cloud computing.
-
Sécurité des applications : comprend ici les mesures prises afin de prévenir et corriger les failles de sécurité sur une application avec des startups telles que Sqreen ou Cryptosens.
-
La gestion des identités et accès : elle permet de gérer l’identité utilisateur ainsi que sa protection et les technologies liées avec des startups telles que ZenyWay ou Trustpair.
-
La connaissance des menaces : la collecte au sein d’une entreprise de toutes les informations sur une cyber-menace afin d’en établir un portrait et en dessiner les tendances.
La sécurité réseau : afin de surveiller les différents accès autorisés ou non ainsi que les utilisations abusives.
Radar des startups françaises dans le domaine de la cyber-sécurité en 2019 (Données : Wavestone)
Il s’agit d’un combat permanent contre les cyber-attaques. La marque d’intérêt pour les startups du domaine de la cybersécurité est donc naturellement présente et s’illustre globalement par des levées de fonds conséquentes côté capital-risque français. Sur ces dernières années, il y a eu 18 levées de fonds en 2018 pour 114 millions d’euros puis 29 pour 311 millions d’euros en 2019, soit un peu moins du triple de l’année précédente. Nous pouvons nous attendre à une année record en 2020, qui enregistre déjà 40 millions d’euros pour 4 levées. Cependant il sera nécessaire de prendre en compte l’impact du Covid-19 sur les levées de fonds en cours ou prévue pour l’année 2020.
Les tours de table du secteur sont particulièrement élevés, expliqués par une forte marque d’intérêt de la part d’investisseurs internationaux.
Parmi les levées de fonds de l’année dernière, nous pouvons observer trois startups importantes dans la cybersécurité :
-
Dashlane : Dashlane, spécialisée dans la gestion de mot de passe, a bouclé un tour de table en Avril 2019 de 98 millions d’euros mené par Sequoia Capital, Rho Ventures, FirstMark Capital et Bessemer Venture Partners afin d’améliorer son produit, ses caractéristiques et nouvelles fonctionnalités.
-
Vade Secure : Vade Secure édite des solutions de protection des emails contre phishing, malwares et ransomwares. La startup Vade Secure a sécurisé en Juin 2019 une levée de fonds de 70 millions auprès de General Catalyst, qui devient actionnaire majoritaire. L’objectif de cette levée de fonds est de conquérir définitivement le marché américain, où la startup réalise déjà près de 30% de son chiffre d’affaires.
-
Sqreen : la startup Sqreen a mené une levée de fonds de 12,5 millions d’euros en Avril 2019 auprès de Greylock Partners, Y Combinator, Alven, et Point Nine Capital. Sqreen édite une application security management (ASM) qui permet aux développeurs de repérer les failles de leurs applications et de les armer pour faire face aux attaques.
Par ailleurs, il est à noter que Vade Secure a été nominée à l’édition 2019 du Next40, montrant ainsi un attrait grandissant des pouvoirs publics dans la cybersécurité.
2. Les acteurs qui investissent dans la cybersécurité en France
Sur l’ensemble de l’année 2019, les startups présentes sur le marché de la cybersécurité en France ont levé près de 311 millions d’euros, sur des deals en moyenne de 13,7 millions d’euros. En comparaison, c’est 6,3 millions d’euros de différence en plus par rapport aux autre secteurs d’investissement. La France possède désormais plus de 140 start-up dans ce domaine, en croissance de plus de 10 % par rapport à 2018 (source : Radar des start-up cybersécurité françaises, Wavestone). Le secteur montre donc une très forte dynamique, avec un marché de plus en plus innovant et des problématiques évolutives qui correspondent de mieux en mieux aux besoins des entreprises.
Le top 3 des investisseurs français les plus actifs dans le secteur en 2019 est le suivant :
-
ACE Management (2 deals)
-
Crédit Agricole (2 deals)
-
BNP Paribas (2 deals)
A noter également l’activité de Starquest Capital, Idinvest Partners, 360 Capital, Alven ou encore Point Nine, avec des participations uniques. Similairement au secteur de l’IA français et de l’IoT, il s’agit d’un palmarès peu différencié, qui s’explique par la faible proportion d’acteurs financiers possédant une réelle practice cybersécurité dans leur thèse d’investissement. On note toutefois l’activité du fonds en ACE Management, qui a ainsi créé récemment un nouveau fonds d’investissements baptisé Brienne III. "Ce fonds a pour stratégie de financer de jeunes entreprises proposant des technologies innovantes de sécurisation du digital et d’accompagner leurs dirigeants dans leur stratégie de croissance externe", indique-t-il dans son communiqué de presse. Sur les 12 derniers ce dernier a investi dans trois sociétés : Egerie, TrustInSoft et Dust mobile.
“Malheureusement, ACE Management fait figure d’exception dans l’écosystème des investisseurs français.” commente François Mattens. “Présidé par Marwan Lahoud, ingénieur de formation et fin connaisseur de l’industrie de défense et de sécurité, ce fonds s’appuie également sur les compétences d’un ex-directeur de programme cybersécurité au ministère des armées, capable de comprendre et challenger techniquement les start-up qui souhaitent lever. Les fonds français manquent aujourd’hui encore trop souvent de compétences techniques et industrielles. C’est d’autant plus vrai dans la cybersécurité où la compréhension des enjeux et du business model sont très particuliers. Les premiers à l’avoir compris sont les Israéliens qui ont été capables de faire émerger une industrie de la cybersécurité qui est devenue une référence mondiale”.
Pour retrouver la liste des fonds français VC spécialisés, poursuivez la lecture ici !
Les investisseurs étrangers se montrent toutefois très timides en France, malgré la volonté importante d’internationalisation de ces startups. La participation des acteurs étrangers se fait en majeure partie sur un très faible nombre de grosses levées. Ainsi il est naturel de retrouver des investisseurs américains sur des deals à 170 millions d’euros cumulés avec une participation seulement dans 10% des deals recensés ou encore les britanniques dans 5% des deals en 2019. Pour autant, il est intéressant de retrouver parmi ces investisseurs Sequoia Capital, Bessemer Venture Partners, Greylock Partners, General Catalyst ou encore Balderton Capital.
Quant aux profils d’investisseurs, celui-ci est éclaté. Bien qu’ils soient principalement constitués de VC (62%), les profils des investisseurs restant est très homogène. Celui-ci est constitué en second lieu de Business Angels (15%). Puis viennent ensuite les Banques, les Corporate et les Family Office avec respectivement 12%, 8% et 4%.
Les besoins de financement du secteur étant encore relativement insatisfaits, les entrepreneurs lèvent des tours de tables limités : le seed et la Série A constituent ainsi la grande majorité des opérations recensées depuis janvier 2019. Ce constat montre que le secteur reste très attractif auprès d’investisseurs capable d’accompagner des entrepreneurs à un faible stade de maturité. Il sera intéressant d’observer dans quelques années, la montée en puissance d’acteurs présents à des stades de maturité plus élevés.
3. Quels sont les risques d’investissement propres au secteur ?
Dans un premier temps, il convient de revenir sur les facteurs clés de succès généraux du secteur. Comme toute industrie reposant sur un produit fortement technologique, l’expertise de l’équipe et la diversité des talents sont essentiels.
Les startups de cybersécurité françaises sont des startups créées par des experts. L’expertise technique, qui découle du niveau excellent en mathématiques de nos écoles et de nos infrastructures techniques, permet de voir l’émergence de startups positionnées sur des sujets très complexes telles que CerbAir qui offre solution de protection de sites sensibles contre les drones, CybelAngel sur une solution qui permet à ses clients d’être alertés en cas de faille de sécurité ou de fuite de documents sensibles ou encore Olvid qui propose une messagerie, type Whatsapp, chiffrée pouvant garantir la sécurité totale des communications.
Un des nombreux facteurs clés de succès dans le secteur réside dans ses nombreuses tendances. Les tendances en matière de cybersécurité sont très larges et résultent d’un très fort dynamisme de marché, expliqué par un monde informatique de plus en plus trouble. 2020 sonne la montée en puissance du cloud et du détournement des mises à jours automatiques. Les startups de la cybersécurité sont donc au fait de l’accélération des malwares et des nouvelles méthodes d’hameçonnage ou de « phishing ». Ces tendances n’étaient pas celles qui étaient mises en avant en 2019, préférant par exemple la consolidation du marché avec les règles RGPD.
Enfin la dimension internationale des startups est un relais de croissance intéressant, où très vite, des startups possèdent des opportunités à l’international, enregistrent des marques d’intérêts de la part d’investisseurs internationaux et possèdent une partie de leur activité à l’étranger.
Mais les startups de la cybersécurité en France sont confrontés à de nombreux challenges qui ne permettent pas une explosion des investissements dans le secteur.
Il y a une dichotomie réelle qui s’opère dans le recrutement, entre les besoins des startups et les jeunes diplômés. Avec des demandes clients de plus en plus fortes, ces startups recherchent des jeunes diplômés de qualité, et très qualifiés. Or, à ce jour, les écoles françaises ont encore du mal à former des étudiants correctement à la cybersécurité. Cette problématique réelle du marché s’ajoute bien évidemment au fait que ces startups ont du mal à avoir une politique salariale capable de s’aligner avec les prétentions de ces futurs jeunes actifs.
En ce sens, cette question est symptomatique d’un risque élevé dans la cybersécurité. Un des risques les plus élevés dans la cybersécurité est également … la non-prise de risques. Les fondateurs de startups dans la cybersécurité ont rarement créé une ou plusieurs sociétés dans leurs carrières. Il s’agit d’experts, plutôt que d’entrepreneurs à succès. Aussi, ces entrepreneurs possèdent une vision très franco-française de leurs sociétés et de leur marché. Il est donc nécessaire d’avoir un focus produit bien défini. Et ceci se ressent également sur l’aspect commercial où les startups de la cybersécurité sont composées en grande partie de profil technique, mais moins commerciaux et marketing.
Par ailleurs, près de 70% des nouveaux acteurs qui émanent du secteur réinvente des solutions existantes avec des facteurs clés trop peu différenciants. Ces leviers de différenciations sont à l’image du caractère transversal du domaine de la cybersécurité où les tendances du secteur ont globalement peu évolué depuis deux ans. Pour autant, les startups de la cybersécurité doivent s’adapter aux contextes métiers de leurs clients en délivrant des solutions pertinentes.
De plus tous ces éléments concordent donc des difficultés de croissance réelles malgré des levées de fonds conséquentes. Selon Wavestone, bien que les startups valident très rapidement le marché avec des premiers clients au bout de 6 mois d’activité, les investisseurs ont du mal à suivre pour des tours de financement conséquents, notamment en Serie A. Il y a donc là un réel trou d’air dans la chaîne de financement qui sera comblé dans les années à venir.
François Mattens relève également un dernier élément propre à la France. “Alors que nous avons parmis les meilleures écoles et ingénieurs au monde, paradoxalement, il y a un manque de culture de la cybersécurité dans notre pays. Nous sommes certes en train de rattraper notre retard. D’abord avec la Cyberdéfense Factory à Rennes sous l’égide du ministère des armées et prochainement avec le CyberCampus regroupant en un même lieu les principaux industriels, de PME et de start-up françaises, aux côtés de l’ANSSI. Ce projet s’inspire largement du CyberSpark israélien, complexe situé à Beer Sheva, au sud du pays, qui concentre les acteurs clés publics, privés, universitaires et militaires de la cyberdéfense.”
De l’aveu même de certains Sénateurs dans un rapport, le dispositif de financement de l’innovation de défense "n’apporte pas à ce jour de réponse satisfaisante" et qu’il "ne permet pas de garantir l’autonomie stratégique en gardant françaises des start-up ou jeunes pousses qui peinent à trouver le capital nécessaire à leur croissance". Quelques mois plus tard, en janvier 2020, la ministre des armées annonçait le lancement dans le courant de l’année de DEFINNOV, un fonds d’investissement pour soutenir la croissance et le développement de startups et PME, porteuses de projets d’innovation pouvant intéresser le secteur de la Défense. “A n’en pas douter, la cyber en tant que technologie duale pourra bénéficier d’investissements importants et faire émerger des licornes françaises dans le domaine.”
----
La période troublée que nous vivons actuellement est un environnement propice aux cyber-attaques. Secteur hautement médiatisé aujourd’hui et en pleine dynamique, la Cybersécurité française offre de nombreuses opportunités d’investissements. Les startups de ce secteur possèdent un fort potentiel de croissance depuis quelques années avec des opportunités de marché toujours plus fortes et très évolutives. Pour retrouver les prochaines pépites de la Cybersécurité, découvrez-les vite sur Eldorado !
Pour aller plus loin :
-
La cybersécurité, une nécessité stratégique La Tribune
-
Cybersécurité et start-up : 2019, l'année des levées de fonds Les Echos
-
Cybersécurité : quelles sont les tendances de 2020 ? TOM
-
Cybersécurité : 8 tendances clé à anticiper en 2019 CGI
-
Radar des startups 2019 : quels leviers de développement ? Wavestone
-
Radar des startups 2019 : un écosystème de plus en plus dynamique Wavestone
-
Un fonds d’investissement de 80 millions d’euros pour aider les pépites françaises de la cybersécurité L’Usine Nouvelle
-
Cybersécurité : quel(s) futur(s) ? PWC