Peut-on encore parler de cybersécurité si l’on doit confier cette mission à des solutions qui ne sont pas souveraines, et qui font transiter les informations par des solutions numériques conçues et hébergées hors du territoire ?
Par ailleurs, peut-on encore maitriser les coûts dans un tel contexte ?
Le CESIN s’inquiète de cette situation.
Après les rachats de Ping Identity et Sailpoint, spécialisés dans l’IAM, de Proofpoint pour la sécurité des messageries, de Sophos pour la protection des endpoints et réseaux, d’Imperva et de Veracode pour la protection applicative, c’est maintenant Darktrace qui intègre le portefeuille de Thoma Bravo, une société d’investissement américaine.
Ces acquisitions de leaders de la cybersécurité s’ajoutent à d’autres rachats notables tels que Barracuda, Blue Coat, Entrust, ForgeRock, Illumio, LogRhythm et Sonicwall.
En examinant de près ce portefeuille, il est clair que cette stratégie vise à couvrir l’ensemble du spectre de la cybersécurité. Bien que l’on s’inquiète souvent à juste titre du monopole des GAFAM dans le numérique, il serait sage de porter attention à la domination croissante de Thoma Bravo dans le secteur hautement sensible de la cybersécurité.
La concentration de tant de solutions sous une seule entité pourrait entraîner une hausse des coûts une fois la concurrence éliminée (comme ce fut le cas avec VMware). De plus, les flux sensibles des activités digitales des entreprises mondiales seraient contrôlés par un acteur unique.
Les solutions de cybersécurité actuelles, principalement en mode SaaS, sont de plus en plus intrusives et ont une visibilité importante sur les actifs qu’elles protègent. Elles disposent de capacités d’action sur les systèmes d’information via des fonctions de blocage, filtrage, mise en quarantaine, modification des accès, ou simplement en étant des composants critiques pour l’accès au SI.
Ainsi, l’ensemble des solutions acquises par Thoma Bravo fait de ce fonds un acteur stratégique dont les décisions peuvent avoir un impact majeur.
Un contrôle permanent des flux d'informations
Cette situation concerne les flux réseau, les flux applicatifs, les e-mails, et les flux Internet. Ce ne sont certes pas directement les données d’entreprises stockées chez les GAFAM qui seront contrôlées par Thoma Bravo, mais peut-être pire encore, tous les flux d’utilisation de millions de salariés d’entreprises.
Un autre sujet de préoccupation est l’évolution de ces solutions en général. Les solutions de cybersécurité nécessitent une dynamique d’innovation constante pour faire face à des menaces qui évoluent rapidement. Il est crucial que les efforts de maintenance, de sécurité, de R&D et d’agilité ne soient pas freinés par une politique de rentabilité à court terme d’un fonds d’investissement, car cela augmenterait inévitablement les vulnérabilités.
De nombreuses entreprises tentent d’éviter de dépendre d’un seul fournisseur de cybersécurité, mais se retrouvent finalement piégées par ces acquisitions successives.
La croissance rapide du secteur devrait encore accentuer cette pression sur le marché européen, fragilisant ainsi la capacité de l’Europe à protéger ses intérêts stratégiques et augmentant sa dépendance technologique envers des acteurs étrangers. Cela constitue un obstacle supplémentaire au développement d’une cybersécurité souveraine et indépendante.
Les inquiétudes du CESIN partagées par les utilisateurs
Selon une enquête réalisée par le CESIN en mai 2024, 75 % des répondants se déclarent inquiets de cette concentration de solutions.
C’est pourquoi le CESIN appelle les pouvoirs publics et les entreprises à prendre conscience des risques de cette concentration extrême. L’offre de cybersécurité “made in France” reste heureusement diversifiée et indépendante, et peut dans certains cas offrir une alternative. Toutefois, face à la multiplication des grandes acquisitions étrangères, il est nécessaire de se demander pour combien de temps cette situation pourra perdurer.
L’Europe doit agir de manière proactive pour protéger ses organisations, garantir une cybersécurité indépendante et robuste, et permettre à l’innovation de rivaliser. Il est essentiel de mettre en place des mesures adaptées pour prévenir la dépendance involontaire et sécuriser les infrastructures critiques face à des menaces croissantes.
Pour en savoir plus :
le communiqué du CESIN
