"En matière d'applications et d'objets connectés, la problématique de la cybersécurité reste encore relativement neuve. Ce champ d'application casse la logique historique que l'on a connu avec les antivirus : c'est désormais celui qui apporte le service qui est responsable de la sécurité, et plus l'utilisateur." En quelques mots, Hugues Thiebeauld résume le changement de paradigme né avec l'explosion des smartphones et de leurs applications, des enceintes connectées, des machines reliées à Internet, des travaux sur les véhicules autonomes... La société qu'il a cofondée il y a quatre ans, eShard, est basée à Pessac en Gironde mais elle est aussi présente à Marseille et à Singapour. Elle planche précisément sur ces sujets. Son champ de compétences embrasse les applications mobiles, les objets connectés et/ou embarqués développés par une large typologie d'entreprises qui souhaitent mesurer le "risque cyber" afin de le combattre.

"Ces dernières années, les attaques se sont largement complexifiées et il est donc de plus en plus difficile de les comprendre et de les anticiper, explique Hugues Thiebeauld. Notre objectif est donc de générer nous-mêmes des attaques cyber et de vérifier les capacités de résistance des produits ou applications qu'on nous soumet, pour les renforcer. Cette expertise nous a amené à nous positionner de plus en plus comme un éditeur de logiciels destinés à faciliter le travail des analystes. Nos clients sont principalement des grands comptes très internationalisés dans le monde de la Défense, du spatial, du paiement... pour qui la question du risque est native. Nous nous intéressons également à la domotique et à la e-santé, dont les problématiques sont proches mais dont la cybersécurité n'est pas le métier."

Quant à l'industrie automobile, avec le développement des véhicules autonomes, tout reste à faire : "Ce marché s'appuie sur des notions très industrielles et des logiques de volume donc d'abaissement des coûts autant que possible. Or, la cybersécurité a un coût. C'est la logique du château fort : ça coûte cher à construire, mais pour se protéger c'est mieux de faire avec que sans."

eShard teste les capacités de résistance des objets connectés et des applications pour les renforcer (crédit photo eShard)

"Faire peur ne sert à rien"

Comme d'autres, Hugues Thiebeauld considère qu'en matière de cybersécurité, "faire peur à l'utilisateur ne sert plus à rien. Monsieur tout le monde a compris que le risque existe, la difficulté est qu'il se sent lui-même impuissant. Même si le « risque humain » reste fort, le discours culpabilisant ne peut suffire et il est réducteur. Prenons l'exemple d'un accident de la route : potentiellement, le conducteur, le fabricant de l'airbag, celui qui a construit la route peuvent être responsables, ensemble ou séparément. Les entreprises, elles, sont plus mûres sur le sujet ou vont devoir s'y mettre sérieusement car la cybersécurité doit être une brique, parmi d'autres, de leur transformation digitale."

Mais rien n'est gagné, toutes les entreprises n'ont pas fait leur analyse de risque et les conséquences d'une attaque ne sont visiblement pas toujours bien mesurées. Hugues Thiebeauld cite ainsi en exemple un cadenas connecté sur lequel eShard a travaillé : "On a trouvé des trucs dingues. On arrivait non seulement à l'ouvrir mais à trouver les coordonnées de tous les autres cadenas ainsi que leurs mots de passe !" Le dirigeant rappelle aussi que "rien n'est inviolable" :

"La réflexion doit être la même que celle que l'on doit avoir lorsqu'on utilise une application mobile qui collecte des données : qu'est-ce qui a de l'importance ? Les objets connectés comme les smartphones sont de plus en plus complexes : y trouver un chemin pour exploiter une faille est plus difficile, mais dans le même temps les vecteurs d'attaque sont plus nombreux... Le sujet est donc de maîtriser le risque, l'éradiquer n'est pas possible. C'est une course sans fin."

eShard s'attache donc avec ses clients à "établir des scénarios de réponse" en cas d'attaque. Ses prochains programmes seront tous des logiciels afin d'élargir son catalogue et sa niche de marché. Employant 23 personnes pour un chiffre d'affaires de 1,4 M€ réalisé à 70 % à l'international, la société est en nette croissance et compte recruter à court terme, notamment en marketing produits, tout en poursuivant ses efforts de R&D. Autofinancée depuis le début, la société, accompagnée dans le cadre du programme UpGrade de la Région Nouvelle-Aquitaine opéré par Unitec, n'en fait pas un dogme. "Tout en étant disruptif, nous voulons construire une entreprise solide et pérenne. S'il faut lever des fonds pour assoir notre stratégie et notre développement européen, nous le ferons mais ça ne sera qu'un outil financier, pas une finalité. Rien n'est décidé à ce stade", affirme Hugues Thiebeauld. D'ici là, la PME girondine compte cultiver sa compréhension du monde industriel et jouer sa carte d'entreprise européenne, rassurante pour les clients alors que les sociétés américaines trustent le marché.