Orange, Capgemini, Atos… : les 7 mercenaires français de la cybersécurité

IBM, HP… et une brochette d’acteurs français bien décidés à se faire une place au soleil de la cybersécurité. Un marché en croissance de 10 % par an, qui explique les investissements que consentent ces sociétés pour se renforcer sur le segment.

Mise à jour le 16/02 à 14h20 : correction sur le nom de l’entité Thales

Quand un marché grandit aussi vite, il suscite les convoitises. Tel est le cas de la cybersécurité, qui, ces derniers mois, a vu se multiplier les rapprochements ou décisions d’investissement. Annonces qui ont conforté les acteurs de service français sur cette thématique, comme le montre notre sélection de 7 prestataires (lire ci-dessous) qui, tous, se sont renforcés sur le sujet au cours des 24 derniers mois.

« En dehors de IBM et HP, présents partout en Europe, le marché français est dominé par des acteurs locaux qui sont de plus en plus gros, remarque Matthieu Poujol, un consultant senior du cabinet Pierre Audoin Consultants (PAC) spécialiste des questions de cybersécurité. Cela montre que ce marché de la cybersécurité est un marché ‘glocal’, où on a besoin d’être global pour accompagner de grands clients, mais où la dimension locale reste essentielle. Il est par exemple de plus en plus difficile pour des acteurs non nationaux de remporter un marché auprès d’un OIV (opérateur d’importance vitale, NDLR). »

Choix ou nécessité ?

La consolidation en cours est accélérée par la croissance du marché, qui en fait un secteur d’investissement alléchant pour les SSII. Une progression que PAC estime supérieure à 10 % en 2013, les derniers chiffres compilés par le cabinet d’études. « Et, en 2014, cette tendance va se poursuivre », assure Matthieu Poujol. Mais, pour ce dernier, si les Orange, Capgemini, Atos, Sopra et autre Thales CIS se renforcent sur ce segment, c’est aussi… qu’ils n’ont pas le choix. « Pour remporter les contrats de transformation numérique auprès des grands comptes, disposer de capacités en cybersécurité est devenue une nécessité », assure Matthieu Poujol.

PAC décrit le marché de sécurité comme une série de 3 cercles concentriques. Au centre, les logiciels et les services (au total 1,5 milliard d’euros en France en 2013). « Dans ce premier cercle, les sociétés de services françaises sont aussi les plus importantes en Europe », note le consultant. En y greffant la sécurisation des réseaux et le matériel, le marché grandit à 3 milliards. Et atteint les 4 milliards si on l’étend à la confiance numérique, autrement dit des segments de marché où la finalité n’est pas la sécurité IT (comme les documents d’identité) et où la France compte également des leaders mondiaux (Gemalto, Morpho pour ne citer qu’eux).

Sur la base du dernier classement de PAC et des rachats ou regroupements d’activités récents, zoom sur les principaux acteurs français d’un marché en plein boom :

1)     Orange Cyberdéfense

Chiffre d’affaires services de cybersécurité 2013 en France : 66 millions d’euros (+ 10 %) ; n°1 du classement PAC

La branche services de l’opérateur, Orange Business Services (OBS), figure au premier rang du classement de PAC en 2013. Le rachat d’Atheos (quelque 130 consultants) va encore renforcer le n°1 hexagonal, dont la taille va grimper de 15 à 20 % suite à ce rachat. Selon Michel Van Den Berghe, le directeur général d’Orange Cyberdéfense – la bannière sous laquelle la société est en train de rassembler toutes ses offres de cybersécurité -, OBS aligne 1 000 consultants spécialisés sur le sujet en France et entend se différencier grâce à la position d’opérateur de réseau du groupe. « Nous sommes habitués à gérer des infrastructures critiques. Et le fait d’être propriétaire de notre réseau nous confère une position d’observation assez unique », fait valoir l’ancien Pdg d’Atheos. Cyberdéfense est identifié comme un des 5 domaines stratégiques d’OBS. « Le marché est en train de s’organiser. On passe d’un monde de marchés de niche et d’experts à des approches plus globales », assure le dirigeant. Selon nos informations, Orange Cyberdéfense vient de remporter un important contrat (environ 10 millions d’euros) auprès de La Poste.

En complément : Orange Cyberdéfense : « 5 % d’attaques ciblées menées par des gens très compétents »

Franck Gréverie2)     Capgemini

45 millions d’euros en 2013 (+ 13 %) ; n°3

Un peu de sécurité managée, du conseil, une activité localisée chez Sogeti, des compétences Scada héritées d’Euriware et une pincée d’expertise sur l’Internet des objets venant de Sogeti High Tech. C’est le cocktail réuni par la première SSII hexagonale pour lancer sa ligne de services mondiale sur la cybersécurité. Cette entité est placée sous la direction de Franck Gréverie (en photo), un ancien de Thales et Bull que Cap a recruté en 2014. Elle regroupe 2 500 personnes dans le monde.

En complément : Capgemini regroupe ses activités cybersécurité

3) Atos-Bull

Bull : 25 millions d’euros en 2013 (+ 4 %), n°5 

Atos : 20 millions d’euros en 2013 (- 5 %), n°11

C’est assurément la prise de guerre la plus importante de ces derniers mois. En mettant la main sur Bull, Atos renforce considérablement ses positions dans la cybersécurité. En France particulièrement, où la SSII dirigée par Thierry Breton est à la peine et où l’apport de Bull est le plus significatif. « L’ambition d’Atos est de s’affirmer comme le leader des services de cybersécurité en Europe, dit Christophe Moret, le vice-président cybersécurité d’Atos.Très peu d’acteurs combinent une couverture de l’ensemble des services et une capacité à couvrir de nombreux pays. En France, où l’intégration de Bull renforce significativement nos positions, nous figurons déjà parmi le trio ou quatuor de tête. »

Les équipes cybersécurité de Bull et Atos – soit au total 1 000 personnes dans le monde – sont intégrées depuis le 1er janvier dernier. « Mais nous n’avons pas attendu cette date pour travailler ensemble », assure Christophe Moret. Aux activités de services (conseil, intégration, sécurité infogérée), le groupe ajoute une offre matérielle et logicielle (gestion des identités, HSM pour créer, stocker et contrôler l’usage des clefs de cryptographie, terminaux mobiles sécurisés Hoox…), issue largement de Bull.

En complément : Atos-Bull : les raisons d’un mariage de raison

4) SFR

34 millions d’euros en 2013 (+ 4 %), n°4

Le rachat de Telindus France il y a tout juste un an a considérablement renforcé SFR Business Team, la SSII du second opérateur français, en matière de sécurité. Reste que le rachat de SFR par Altice, la holding de Patrick Drahi, a fait entrer le n°4 de la cybersécurité en France dans une période d’incertitudes. Dans un tract récent, la CFDT de SFR parle de « flou » et « d’incompréhension » face à la réorganisation des activités de services aux entreprises décidée par Altice. Dans un autre tract incendiaire, la CFE CGC alerte la nouvelle direction sur cette même activité : « Nous avons sept entreprises, isolées, qui ne savent toujours pas comment travailler ensemble ».

En complément : SFR rachète Telindus France pour renforcer sa Business Team

5) Sopra Steria

23 millions d’euros en 2013 (+ 13 %) pour Steria, n°8

Bien implanté sur le créneau de la sécurité, Steria concentre l’essentiel des forces du nouveau groupe dans le domaine. Sopra amène toutefois sa connaissance de nombreux comptes publics clefs, en commençant par le ministère de la Défense. Fin 2012, la SSII de Pierre Pasquier avait été choisie par l’administration pour réaliser l’architecture et l’intégration du Système d’Information des Armées (SIA), visant à aboutir, en 2017, à un système d’information opérationnel interarmées.

A la mi-janvier, le groupe Sopra Steria a aussi signé un accord avec le pôle recherche technologique du CEA (CEA Tech), visant à transférer les  technologies génériques issues du CEA vers le laboratoire cybersécurité de Sopra Steria, situé à Toulouse. Dans le cadre de ce partenariat de 3 ans, la SSII indique travailler sur deux sujets : la détection de signaux faibles et la création d’une nouvelle génération de ‘war room’ adaptée à la gestion de crises de cybersécurité.

6) Thales

23 millions d’euros en 2013 (+ 14 %), n°8

Forte de 1 500 consultants spécialisés dans le monde, Thales Systèmes d’Information critiques et Cybersécurité vient de se renforcer avec la reprise des services de cybersécurité et de sécurité des communications d’Alcatel-Lucent. Soit une centaine de personnes supplémentaires pour le groupe et une palette de services qui complète le porte-feuille existant (conseil, sécurité managée, sécurité du Cloud, cryptographie, gestion de l’information classifiée). Thales a récemment remporté le contrat de sécurisation du RIE, le réseau interministériel de l’Etat, dont il assure l’infogérance et la supervision 24/7.

En complément : Thales met la main sur les services de cybersécurité d’Alcatel-Lucent

7) Airbus Defence & Space

Absent du top 15 du classement PAC

JM Orozco AirbusPour PAC, l’ex-Cassidian (intégré à Airbus Defence & Space) n’est pas en tant que tel un acteur de la cybersécurité, mais évolue plutôt sur le marché de la confiance numérique (le 3ème cercle concentrique). Reste que Airbus Defence & Space demeure un acteur de référence de la cybersécurité en France, ne serait-ce que parce le groupe a mis la main sur les deux fleurons français de la sécurité périmétrique, Netasq (repris en octobre 2012) et Arkoon (avril 2013). La fusion des deux entités a donné naissance à l’offre Stormshield.

Selon la société, 60 % de l’activité cybersécurité (100 millions de CA en 2014, quelque 600 personnes) provient des services. Avec un focus affirmé sur la lutte contre les menaces avancées (APT). La société compte 3 SOC (Allemagne, France, Grande-Bretagne), reflétant son positionnement avant tout européen, et a développé des services de réponse aux incidents dans ces trois mêmes pays. « Pour être pertinent face aux menaces haut de gamme, il faut des experts bien sûr, mais également des outils performants permettant de démultiplier leurs actions car, dans ces métiers, la rapidité est un facteur clef et les compétences demeurent rares », détaille Jean-Michel Orozco, qui dirige les activités cybersécurité d’Airbus Defence & Space (en photo ci-dessus). Le groupe cible avant tout les OIV, le secteur de la défense et les gouvernements.

En complément : Arkoon-Netasq fédère la sécurité autour de Stormshield Network Security

Note : IBM, HP et BT Global Services sont respectivement n°2, 5 et 7 du classement de PAC (portant sur le chiffre d’affaires cybersécurité en 2013). Le Français Solucom est 10ème.

A lire aussi :

Sécurité des Scada : pourquoi la côte d’alerte est atteinte
FIC 2015 : les hackers ont gagné une bataille, pas la guerre

crédit photo © GlebStock – Shutterstock