LA TRIBUNE - Quel est l'approche défendue par eShard au sein du vaste champ de la cybersécurité ?

HUGUES THIEBEAULD - Il s'agit de la sécurité "in depth", en profondeur, qui consiste à considérer que la sécurité d'un objet connecté est constituée de plusieurs couches successives dont la première est sa puce électronique qui doit comporter des éléments de cryptographie. Cette première couche est essentielle puisque c'est à partir de là que l'on tisse l'ensemble de la sécurité de l'objet ou du système concerné. Dans cette perspective, notre marché c'est celui de l'IoT (internet of things), des objets connectés, et au sein de ce marché nous ciblons les semi-conducteurs. En clair, notre enjeu de donner les moyens à nos clients, grâce à des logiciels et notre expertise, de s'assurer que leurs outils de cybersécurité sont bien là et fonctionnent bien, que ce soit au niveau de la puce, du logiciel et de l'objet lui-même. Concrètement, on fournit à nos clients, qui sont des grands noms de la tech tels que Google, Thales, Visa ou Qualcomm, une suite logicielle qui leur permet de tester leurs puces par rapport aux myriades d'attaques potentielles.

Dans la même logique, on a lancé en décembre dernier une application en Saas (software as a service / logiciel sur abonnement) pour cibler les applications mobiles avec le même principe : s'assurer que la sécurité de l'application est là et fonctionne bien ! Et pour cela on se met dans la position d'une attaque pour vérifier si l'application réagit correctement. Enfin, la 3e activité concerne l'objet connecté lui-même avec une couche logicielle qui vient vérifier que cet objet fonctionne bien.

Lire aussi 4 mn"La cybersécurité est une course sans fin" (Hugues Thiebeauld, eShard)

Avec ces trois offres, à quel niveau se situe l'activité d'eShard, six ans après sa création ?

Nous sommes une trentaine de salariés principalement à Pessac, près de Bordeaux, et Marseille mais nous avons aussi une antenne à Singapour. On fait 85 % de notre business à l'international et 1,6 million d'euros de chiffre d'affaires en 2020. Pour 2021, on vise autour de 2,4 millions d'euros et on cherche à recruter quatre à cinq personnes, notamment en alternance, sur des postes de leader technique, de développeur en Saas et de commercial

La pandémie et la généralisation du télétravail ont-elles enfin entraîné une prise de conscience des entreprises vis-à-vis de la cybersécurité ?

Oui, ces enjeux ont progressé dans un temps relativement court ! Aujourd'hui, les entreprises ne sont plus à se demander s'il faut faire face au risque cyber, elles sont entrées dans le comment faire face. La tension est actuellement beaucoup sur la lutte contre les ransomwares (rançongiciels), dans laquelle Tehtris est spécialisée. Chez eShard, on se préoccupe de la vague suivante, celle des multiples objets connectés qui nous entourent et sont autant de portes d'entrée potentielles pour des cyberattaques. D'autant que ce sont des portes qui permettent d'entrer dans le système de l'objet lui-même mais aussi d'entrer dans votre domicile, votre entreprise, votre application bancaire ou votre véhicule connecté !

Lire aussi 5 mnCybersécurité : une chaire créée à Bordeaux pour accélérer sur la formation continue

C'est ce qui vous amène sur le secteur de la santé avec le projet Nucléus. De quoi s'agit-il ?

On se concentre pour l'instant sur le diabète qui concerne 500 millions de personnes dans le monde dont une partie non négligeable est équipée d'une pompe à insuline. Il y a aujourd'hui un basculement vers un fonctionnement automatisé où le capteur et la pompe sont connectés et ajustent automatiquement le niveau d'insuline nécessaire au patient en fonction de son taux de glucose, le tout grâce à des algorithmes. Aux Etats-Unis, la FDA (food and drug administration) considère que les fabricants de ces équipements médicaux connectés sont responsables de la cybersécurité de ces équipements. Notre enjeu est donc de leur apporter des solutions en intégrant un logiciel dans ces équipements pour répondre toujours à la même question : votre équipement est-il bien protégé et est-ce qu'il réagit bien à une attaque ?

Quel est le calendrier de ce projet ?

Les travaux ont démarré en mars 2020 et nous avons douze mois pour présenter un MVP (minium valuable product / produit minimum viable). Nous aurons un point d'étape en octobre pour présenter une preuve de faisabilité. L'idée est de développer une technologie mais surtout de mettre au point un produit qui corresponde aux besoins du marché. On va donc en parallèle interroger les clients, les patients, les industriels pour connaître leurs attentes et valider que la technologie et son intégration dans l'équipement médical seront effectivement utiles. D'autant que c'est logiquement un marché très régulé puisqu'il touche à la santé des patients. Bpifrance nous aide à financer la technologie et, à l'issue du programme, on aura donc une meilleure idée du business model qu'il peut y avoir derrière et on réfléchira ensuite à l'étape de l'industrialisation. Le premier appareil qui bénéficiera de cette solution est un glucomètre, destiné à mesurer le taux de glucose dans le sang. Il ouvrira la voie à d'autres appareils médicaux très prochainement.