Au coeur d’hexatrust Brainwave, de l’intelligence dans la cyber
De l’intelligence dans la cyber
Un vieux proverbe dit qu’il ne faut pas confondre vitesse et précipitation. Cette maxime s’applique parfaitement à Brainwave GRC qui a su avec calme et sérénité s’imposer jour après jour comme l’un des acteurs clés de la gouvernance des identités.
Nous travaillons dans la cybersécurité et nous aidons nos entreprises clientes à identifier et à régler les problèmes liés aux risques de fuites de données et à la fraude informatique. Pour ce faire, nous avons créé des produits nous permettant d’industrialiser ce geste » .
C’est ainsi que Sébastien Faivre, l’un des trois co- fondateurs et directeur général, explique le fonctionnement de son entreprise.
Si l’entreprise va fêter cette année ses dix années d’existence, le projet de création est antérieur. Elle vient d’une réflexion partagée par les trois fondateurs, Sébastien Faivre, Cyril Gollain et Eric Bacher. Le premier et le dernier cités travaillaient ensemble chez un éditeur sur les domaines de la gestion d’identités et du contrôle d’accès.
« La crise financière de 2008 a validé une intuition que nous partagions tous les trois » , poursuit Cyril Gollain. Depuis plusieurs années, nous avions envie de créer une entreprise, et 2008 a permis de mesurer l’importance de la gestion du risque, des contrôles et de la réglementation. Cette crise financière a permis de changer de paradigme, non pas simplement se focaliser sur l’efficacité opérationnelle mais prendre véritablement en compte la conformité, la gestion des identités et le risque, le tout avec des solutions professionnelles adaptées » .
Les trois compères, tous ingénieurs de formation, ont commencé à travailler ensemble le soir et le weekend puis ont décidé de se lancer après avoir réalisé leur propre étude de marché. Ils ont investi 60 000 € à eux trois et une banque leur a prêté le même montant afin de financer le démarrage. Lors de la première année de développement, les fondateurs ont continué d’assurer des prestations de conseil et de services afin de financer l’activité. Une première version bêta du logiciel est arrivée à la fin de l’année 2010 pour une sortie officielle en 2011.
« Nous avons démarré le marketing pour faire connaître la solution et, assez rapidement, le produit a résonné positivement chez un certain nombre de clients. Mais le véritable coup d’accélérateur a été de remporter le prix de l’innovation des Assises de la sécurité
2011. Nous leur en sommes très reconnaissants, car cela nous a permis de franchir plusieurs barrières » , explique M. Faivre.
En effet, si plusieurs grandes entreprises ont manifesté leur intérêt et leur volonté de s’équiper, il fallait encore convaincre les services achats, lesquels sont souvent très frileux par rapport à de jeunes entreprises. « Dès lors que nous avons gagné un prix de l’innovation, sachant que ces grandes entreprises ont elles- mêmes des programmes d’innovation, cela nous a donné de la légitimité et de la crédibilité » , ajoute Eric Bacher. D’importants contrats ont pu être signés ce qui a permis d’effectuer les premiers recrutements, notamment pour la R& D pilotée dès le début et encore aujourd’hui par Eric Bacher.
Ensuite, les récompenses se sont enchaînées comme l’entrée dans le Magic Quadrant de Gartner fin 2012 et la nomination comme « Cool Vendor » , par le même Gartner en 2013. « Pour être honnêtes, ces distinctions sont arrivées un peu tôt dans la vie de l’entreprise car nous n’étions pas structurés pour répondre à de grandes entreprises américaines comme des départements d’etat ou encore des sociétés telles que les chemins de fer Amtrack. Les processus américains de décision sont très rationnels et très structurés. Il convient de cocher un certain nombre de cases et nous ne répondions pas à toutes, notamment le support local » , reconnaît Cyril Gollain.
Dès lors, Brainwave GRC prend la décision de lever de l’argent pour pouvoir répondre aux nombreuses demandes du marché américain. L’entreprise lève 2,5 millions d’euros en septembre 2014 auprès d’entrepreneur Venture, un fonds composé uniquement d’entrepreneurs à succès et de capitaines d’industrie. « À ce moment précis, un virage s’opère et l’équipe passe de 10 à 20 personnes très rapidement pour arriver à plus de 40 aujourd’hui » , déclare Sébastien Faivre. « Depuis, nous nous sommes implantés au Canada avec des bureaux basés à Montréal. Brainwave génère 30% de son chiffre d’affaires rien que sur le territoire américain. La filiale Nord- Américaine est l’une de nos plus grandes fiertés » , ajoute- t- il. Brainwave a pour ambition de poursuivre son développement américain et, pour ce faire, envisage d’ouvrir de nouveaux bureaux dans l’état de New- York. L’objectif – étant donné que le continent américain représente déjà 30% du CA – est de poursuivre ce développement pour ensuite rayonner en Europe. « L’europe n’existe pas d’un point de vue économique. Il faut à chaque fois une équipe locale. Et c’est coûteux. Pour le moment, nous ne pouvons pas adresser 4 ou 5 pays en même temps. Se pose donc la question du ratio entre l’investissement et le potentiel et clairement le choix est de renforcer le développement US. 60% de notre marché adressable est aux USA. Donc c’est la logique » précise Sébastien
Faivre
Une ambiance de travail sereine
Comme toutes les entreprises du secteur de la cybersécurité, Brainwave éprouve des difficultés de recrutement. « Nous sommes plus qu’au plein emploi. Recruter quelqu’un qui n’est pas déjà en poste n’existe pas » , affirme Cyril Gollain. Aussi pour attirer les talents Brainwave mise sur plusieurs facteurs. « Faire venir des collaborateurs n’est pas uniquement basé sur les aspects financiers, même si cela reste
une donnée essentielle. C’est un équilibre global avec une projection dans la carrière et aussi une ambiance de travail. Nous avons un très faible turnover au sein de l’entreprise car les collaborateurs ont des perspectives » , précise M. Bacher. « Brainwave est sensible à cet environnement de travail. Nous créons une ambiance où les succès comme les échecs sont collectifs. Il y a une vraie solidarité entre les équipes » , renchérit M. Faivre. Pour les recrutements Brainwave recherche des personnes curieuses avec la tête bien faite et pas forcément avec le CV adéquat. Par exemple le patron du support est docteur en géologie et dans son équipe figure Amélie, titulaire d’un doctorat en langues asiatiques. « Nous avons des profils très divers car cela permet d’avoir un regard différent, des idées neuves » , précise M. Gollain.
La répartition des rôles entre les dirigeants est très naturelle. Eric Bacher est patron de l’innovation et de la R& D. Sébastien Faivre s’occupe du produit et de l’avant- vente. Il est près du produit dans sa définition, dans sa communication et sa promotion. Enfin Cyril Gollain prend en charge les services juridiques et administratifs ainsi que le delivery.
Un comité exécutif se réunit tous les lundis avec les trois fondateurs, le directeur commercial Lionel, le patron qualité & support, Mathieu et le responsable administratif et financier. Les décisions opérationnelles sont prises avec une volonté de collégialité.
De la banque à l’industrie
Les premiers clients de Brainwave étaient majoritairement des sociétés dans les secteurs de la banque, de l’assurance et des sociétés de trading, conséquence de la crise financière de 2008. Mais à partir de 2013, les impacts liés à une cybersécurité défaillante sont devenus très médiatisés et c’est devenu un sujet préoccupant les directions générales. L’usurpation des droits, le contrôle d’accès, la gestion des identités, autant de domaines qui ont commencé à sensibiliser un nombre croissant d’industries.
Le second facteur d’accélération est la transformation numérique vers le Cloud. Deux approches existent dans ce domaine : soit une approche défensive qui consiste à reprendre le contrôle de ses droits, soit une prise en compte de ces risques en amont de la transformation numérique. « Que ce soit « on premise » ou dans le Cloud, notre proposition de valeur est d’analyser qui a accès à quoi et pour quelle raison. Cela passe par une analyse en profondeur qui permet de valider la pertinence des droits d’accès et d’identifier les risques. Cela peut également intégrer un contrôle des différents processus pour identifier les risques de séparation des tâches. Brainwave couvre les mainframes, les gros logiciels SAP, les applis métiers, les données non structurées, les infrastructures Cloud de type Azure, AWS ou Google Cloud, les applications nativement Cloud comme Salesforce ou encore les outils de sécurité Cloud. Nos clients utilisent aussi Brainwave pour analyser comment sont déployées des solutions de PAM ou D’IAM telles que celles proposées par Wallix, Cyberark ou Okta » indique M. Gollain.
Les risques cyber sont de plus en plus importants dans la mesure où pratiquement tous les processus de
l’entreprise ont été informatisés. Dès lors, le risque encouru peut être une malversation ou une fraude mais aussi parfois tout simplement un défaut de conception du process.
« Brainwave permet de prévenir ce problème grâce à l’analyse des droits d’accès couplée à l’analyse des logs afin de détecter si des problèmes sont survenus. Nous sécurisons donc toute la chaîne d’accès » , développe M. Faivre. « Notre métier est d’analyser toutes les portes d’entrée aux applications de l’entreprise et notre valeur ajoutée repose sur la capacité à gérer l’hétérogénéité des systèmes installés » .
Des valeurs bien ancrées
« Nous sommes éditeurs de logiciels dans l’âme et l’envie de créer est toujours présente. Le gène d’innovation
est très fort. Et tout le monde a le droit d’essayer et doit essayer. Il faut innover dans tous les domaines. Même s’il y a des échecs » , souligne M. Bacher « Cela va de pair avec une autre valeur qui est la solidarité dans les équipes et entre les équipes. Cela se traduit aussi dans les rémunérations où tous les collaborateurs ont une partie variable dans leur salaire, et pas simplement les équipes commerciales. Il y a une part variable individuelle mais également une part variable pour tous les collaborateurs sur les résultats globaux de l’entreprise » , déclare M. Faivre.
Cela se traduit également par un décloisonnement. « Nous sommes organisés mais décloisonnés. Tout le monde travaille ensemble » , ajoute M. Gollain. « Nous cultivons également une logique d’expertise et d’excellence. Dans ce monde très vaste de la cybersécurité, nous avons choisi délibérément de nous concentrer sur un seul sujet sur lequel nous sommes très focalisés et c’est grâce à cette spécialisation que nous avons acquis un statut d’expert du domaine. Et cela se reflète dans les valeurs internes et externes. On ne vient pas nous voir par hasard » . , ajoute M. Faivre. « Nous ne transigeons pas sur ce que nous avons vu dans des entreprises plus importantes. On fait la chasse aux comportements individualistes et tout ce qui ressemble à de la politique interne avec les défausses sur d’autres services »
Quelles innovations ?
« J’ai coutume de dire : on a un clou et on tape dessus mais on a un seul clou et la planche évolue. La bascule des infrastructures clients dans le Cloud crée de nouveaux besoins d’analyse et de contrôle ; et donc autant de projets d’innovation à la clé » . Si l’innovation est au coeur de L’ADN de Brainwave, il s’agit par ailleurs que cette dernière reste au service des besoins de ses clients. Il convient notamment d’apporter au bon moment le bon niveau de réponse au problème.
« Par exemple, nous avions implémenté dès le démarrage du produit des analyses avancées à base de « machine learning » , analyses que nous n’avons finalement sorti dans le produit qu’en 2016 car cela ne correspondait pas alors aux préoccupations principales de nos clients » , poursuit M. Faivre.
L’actualité du moment c’est bien sûr le Cloud, c’est pour cela que l’équipe se renforce avec de nouveaux collaborateurs spécialistes du sujet pour à la fois disposer de capacités d’analyse et de contrôle des infrastructures Cloud, mais aussi proposer une offre Brainwave en mode Cloud. « La cybersécurité concerne les infrastructures mais aussi les données que l’on traite et sur lesquelles portent de fortes contraintes réglementaires. Il faut donc s’assurer que ces données ne puissent pas être divulguées » , précise M. Bacher ❍