Friday 14 Dec 2018


CyberArk, la pépite qui ne s’est pas vendue


FLORIAN DEBES      Le 08/02 à 16:39

Contrairement à d’autres jeunes pousses de la « start-up nation », la deuxième plus grosse entreprise de cybersécurité d’Israël défend son indépendance.

Flambant neuf, l’immeuble en banlieue de Tel Aviv (Israël) porte le nom de son occupant sur la façade. CyberArk vient d’y faire emménager ses spécialistes de la sécurité informatique. L’arrivée dans de nouveaux locaux doit clore la période ou l’entreprise pouvait encore être confondue avec une des start-up dont le pays hébreu est si fier.

« Israël est connu pour être la ‘start-up nation’, mais nous voulons être un exemple pour la ‘scale-up nation’ », assure Udi Mokady, le PDG de CyberArk, en référence aux jeunes pousses devenue grosses. Il a déjà quelques arguments.

D’après ses dernières prévisions communiquées au marché en fin d’année dernière, la société cotée au Nasdaq devrait annoncer au marché la semaine prochaine avoir vendu pour plus de 256 millions de dollars de logiciels de cybersécurité en 2017, soit une croissance des revenus de plus de 18 % sur un an. « Nous sommes la deuxième entreprise de cybersécurité du pays, derrière Check Point, l’inventeur du pare-feu informatique », poursuit le patron.

Au-delà de la « start-up nation »

Sur le marché de la sécurité informatique, CyberArk a trouvé la niche dans la niche. Ainsi, sur le segment porteur du contrôle des accès informatiques, les solutions de l’Israélien protègent spécifiquement les dirigeants et les informaticiens qui administrent les réseaux internes des entreprises.

Leurs comptes sont les plus sensibles car ils permettent de se connecter à tous les autres ordinateurs du système . En prenant la main dessus, un attaquant peut voler d’énormes quantités d’information, comme l’ont appris à leurs dépens Equifax ou Sony Pictures.

Fondé en 1999, CyberArk a bien profité de la « start-up nation », l’écosystème israélien mêlant formation militaire, connaissance académique et culture de l’entrepreneuriat . Udi Mokady a découvert le cyberespace au sein de l’unité 8200 des services de renseignement.

Issues des universités israéliennes, ses équipes de recherche continuent de publier leurs travaux. Refusant de s’enfermer sur le petit marché local, CyberArk s’est rapidement développé à l’international.

Indépendance

Mais CyberArk n’a jusqu’ici pas cédé aux sirènes des entreprises américaines qui font leur marché en Israël. « Au début des années 2010, nos premiers investisseurs nous poussaient à nous vendre, mais nous avons préféré faire appel à Goldman Sachs en tant qu’investisseur de long terme pour rassurer nos clients », se rappelle Udi Mokady.

En 2016, la rumeur disant CyberArk en discussion avec Check Point s’est aussi éteinte sans se confirmer. Contrairement à d’autres pépites israéliennes ( Google a racheté Waze , Intel a mis la main sur Mobileye ), CyberArk s’accroche à son indépendance.

 

L’Etat français va s’assurer de la sécurité des « opérateurs de services essentiels »

Des centaines d’organisations publiques ou privées, considérées comme indispensables au fonctionnement normal de la société, vont se voir imposer des contraintes sécuritaires.

« La cybersécurité du pays, c’est trop grave pour ne pas être obligatoire ! » tonne régulièrement Guillaume Poupard. Le directeur général de l’Agence nationale de la sécurité des systèmes d’information (Anssi) va bientôt être satisfait.

Mardi 6 février, les parlementaires du Sénat et de l’Assemblée nationale se sont mis d’accord en commission mixte paritaire sur un texte transposant, en droit national, la directive européenne de 2016 « Network and Information Security ». Celui-ci applique des contraintes aux acteurs économiques critiques du pays.

Baptisées « opérateurs de services essentiels » (OSE), ces centaines d’organisations publiques ou privées vont être considérées comme indispensables au fonctionnement normal de la société. Et elles vont, à ce titre, devoir se plier aux règles de sécurité édictées par l’Etat, elles qui sont sous la menace accrue d’attaques visant leurs systèmes informatiques et leurs installations industrielles.

Contrôle des dispositifs de protection

Ces devoirs vont être précisés par décret. L’usage de matériels et de logiciels certifiés par l’Anssi pourra notamment être prescrit.

Autres obligations, les OSE devront soumettre leurs dispositifs de protection au contrôle de l’Etat et l’avertir de tout incident sur leurs réseaux, « sans délai après en avoir pris connaissance ». Si elles gardent pour elles cette information sensible (souvent par crainte de l’impact sur leur réputation) les organisations concernées s’exposeront à une amende de 75.000 euros. Ce nouveau texte de loi doit être promulgué prochainement.

La France ne part pas de zéro

La France ne part cependant pas de zéro. Les OSE les plus critiques ont l’habitude des relations avec l’Anssi depuis que la loi de programmation militaire de 2013 les considère comme des « opérateurs d’importance vitale » ou « OIV ». Pour ces 200 organisations environ ( énergéticien, banque, opérateurs télécoms, ministères régaliens), rien ne changera.

 

En cours d’élaboration, la liste non publique des OSE va intégrer plusieurs centaines d’autres entreprises et administrations. Au Forum International de la Cybersécurité de Lille, fin janvier, Guillaume Poupard citait les exemples de Pôle emploi et des réseaux de grande distribution. Pour la suite, il veut encore durcir ses exigences vis-à-vis de certaines entreprises : « Nous commençons à parler d’un rang pour les opérateurs supercritiques dans les secteurs de l’énergie et des télécommunications. »

Design par Kromogen