Placéco Béarn, le média qui fait rayonner l’écosystème

Votre édition locale

Découvrez toute l’actualité autour de chez vous

000CT de SitinCloud : la solution pour éviter les ennuis numériques - Premium

Stratégie
mercredi 12 juillet 2023

Damien Lescos, PDG de SitinCloud. Crédits : PhC Placeco

Créée en 2014 et installée à Chéraute, SitinCloud est spécialisée dans la détection de vulnérabilités dans les applications d’entreprises. Née avec le cloud, l'entreprise a fait évoluer son offre pour proposer aux PME d’évaluer leur exposition à la cybercriminalité. 000CT ressemble à un nom de code. Cela signifie 1.000 cités en anglais.

Lorsqu’il est sorti de son école d’ingénieurs, les entreprises découvraient et migraient toutes leurs données sur le cloud. À quoi bon stocker en local sur des serveurs qu’il faut climatiser et qui prennent de la place lorsque l’on peut mettre ses données sur un serveur distant ? La belle époque d’AWS (Amazon Web Services) et de bien d’autres.

Damien Lescos a très vite compris, comme d’autres, que cette migration pouvait générer des problèmes liés à la sécurité des données. On ne parlait pas encore de cybercriminalité. Mais on parlait déjà de souveraineté : « Il est clair qu’il faut bien choisir le serveur sur lequel on stocke ses données. Pour parler des États-Unis par exemple, la législation du Patriot Act leur permet d’accéder à des données extra-territoriales pour peu qu’elles soient stockées sur des serveurs américains. Cela veut dire que même en France, ces données peuvent être analysées, par exemple par la NSA, dès lors qu’elles sont sur un serveur américain. »

Les PMI et leurs ERP les plus exposées

L’essor du cloud computing (comprendre informatique dans les nuages) s’est développé avec l’apparition des solutions dites en SaaS (software as a service), des applications en ligne. Pour SitinCloud, les ERP (programmes de gestion intégrée) sont le terreau fertile de la cybercriminalité dans la mesure où ces solutions gèrent tous les flux de l’entreprise. Chez un industriel, cela commence avec le bureau d’étude et cela finit avec l’administration des ventes.

« La situation est plus délicate encore pour les sous-traitants, qui peuvent exploiter une partie des savoir-faire de leurs donneurs d’ordres. Il y a un véritable marché, bien organisé, autour de l’espionnage industriel et tout est bon à prendre. C’est la raison pour laquelle les grands groupes internalisent toutes leurs données. Ici, c’est bien évidemment le cas par exemple, pour Total Énergies et tout ce qui tourne autour du supercalculateur du centre Jean Féger. » Il existe de multiples façons de collecter des données. En premier lieu, la reconnaissance sur cible, dans une base de données, un identifiant, un mot de passe. Cela peut passer par du fishing, un mail que l’on ouvre et qui se répand dans le système d’exploitation. Cela peut aussi, selon Damien Lescos prendre des formes plus subtiles : « on repère le lieu de la pause des salariés et le soir, on vient déposer une simple clef USB qui sera trouvée le lendemain et qu’on introduira dans le système, juste pour savoir à qui elle appartient. Le ver est entré dans le fruit, dans le système. A partir de là, l’objectif va être de trouver le moyen de devenir administrateur. Changer les coordonnées bancaires d’un fournisseur devient dès lors un jeu d’enfant. »

Inverser la proposition

Qui, en surfant sur Internet, n’a jamais reçu une invitation pour installer un logiciel de protection des données. Se protéger est une chose. La solution que SitinCloud s’apprête à mettre sur le marché inverse la proposition : elle l’inverse. « Nous sommes en phase de beta test avec cinq entreprises pour parfaire l’expérience utilisateur. 000CT permet de vérifier sa vulnérabilité à la cybercriminalité, et ce tous les mois. Les créateurs de sites web savent que l’absence de mises à jour peut être particulièrement critique. Les ERP, nous en avons eu l’expérience, peuvent aussi comporter des failles qui exposent leurs utilisateurs. Notre application de détection va donc de pair avec notre solution de protection contre les signaux faibles. »

Damien Lescos a testé son offre sur LinkedIn en publiant deux posts. Une offre de détection gratuite. La demande a été telle (3.000 entreprises) que lui et ses ingénieurs ont eu du mal à répondre dans des délais rapides et que le modèle a très vite été attaqué. « Le retour d’expérience marque clairement la pertinence de l’offre mais un mauvais positionnement. Certains testeurs nous ont reproché de ne pas traiter assez vite. D’autres nous ont envoyé leurs avocats pour attaquer la gratuité. Nous avons donc décidé de nous repositionner et la version finale qui va sortir sera sur abonnement mensuel, à un tarif que nous allons définir dans une fourchette de 50 à 200 euros. La solution est pleinement fonctionnelle. Nous sommes en phase de définition du marketing associé. »

SitinCloud a par ailleurs offert sa solution au campus régional de cybersécurité de Nouvelle-Aquitaine et à celui de la CCI Pau Béarn, des négociations étant en cours avec la gendarmerie.

L’impact de la directive NIS 2

Les clients de SitinCloud sont principalement des PME, souvent sous-traitantes, du secteur de l'aéronautique et de la défense. Le marché est français et anglais car la startup s'est financée via du crowdfunding issu exclusivement d'anciens élèves, comme lui, de l'EISTI dont un est basé à Londres. Pour Damien Lescos, les perspectives s'annoncent prometteuses avec l'entrée en vigueur prochaine de la directive NIS 2. 

En 2016, l’Europe a effet adopté la directive "Network and Information Security" (NIS) transposée au niveau national en 2018, avec pour objectif d’augmenter le niveau de cybersécurité des acteurs majeurs de dix secteurs. Cette directive pose l'obligation pour les entreprises concernées de déclarer leurs incidents de sécurité à l’ANSSI et de mettre en œuvre les mesures de sécurité nécessaires pour réduire fortement l’exposition de leurs systèmes les plus critiques aux risques cybers. Le volet 2 de la NIS, qui entrera en vigueur en France au maximum au 2e semestre 2024 va changer d’objectifs et de périmètre.

NIS 2 s’appliquera à des milliers d’entités appartenant à plus de dix-huit secteurs qui seront désormais régulés. Environ 600 types d’entités différentes seront concernés, parmi eux, des administrations de toutes tailles et des entreprises allant des PME aux groupes du CAC40. Un marché qui pourrait largement profiter par anticipation à SitinCloud. La société a été lauréate des trophées Epy de nos confrères de Pyrénées Presse en juin dernier dans la catégorie Innovation numérique. Elle prévoit un installation prochaine sur la technopole Hélioparc.

SitinCloud
Création 2014
Siège à Chéraute
10 ingénieurs, dont 8 en R&D
CA : NC

traits blocage
Cet article premium vous intéresse ?
Sa lecture est réservée à nos adhérents Béarn. Rejoignez la communauté Placéco pour accéder à ce contenu et profitez de nombreux services exclusifs.
Déja adhérent ? Se connecter