Une étude interne et conjointe avec Auriga Cyber Ventures, menée auprès des membres du CESIN, révèle le besoin d’un élan collectif vis-à-vis des startups cyber.
Le CESIN, club des experts de la sécurité de l’information et du numérique, et Auriga Cyber Ventures, Fonds d’investissement dédié aux startups early-stage de cybersécurité européennes, ont mené une étude interne conjointe auprès de 175 responsables cybersécurité d’organisations françaises. L’étude porte sur l’analyse de la nature réelle de la relation entre CISO et startups du secteur cyber. Cette démarche inédite, centrée sur les pratiques et les dynamiques d’adoption, dresse un tableau contrasté mais porteur d’enseignements.
L’étude rapporte qu’une majorité de CISO a déjà expérimenté des collaborations avec des startups ; 70% des répondants déclarent avoir engagé des interactions, principalement dans le cadre d’achats ponctuels ou pour des preuves de concept. Pourtant, les startups ne représentent en moyenne que 4% du budget cybersécurité des organisations, tandis que 63% des CISO reconnaissent ne pas encore effectuer une veille active sur ces acteurs.
Cette posture s’explique par de multiples facteurs, comme la complexité des processus internes, la lenteur des cycles de validation, la difficulté à obtenir l’information, un marché fragmenté, ou encore une frilosité liée à la perception d’un risque d’immaturité ou de non-conformité des solutions. Néanmoins, les CISO identifient clairement les limites de l’approche traditionnelle des grands offreurs (manque de flexibilité, coûts élevés, réponses peu adaptées à des besoins spécifiques), et considèrent les startups comme leviers potentiels d’innovation ciblée.
Des signaux d’ouverture à renforcer
Si la majorité des organisations n’est pas encore prête à s’engager dans une relation plus étroite avec l’écosystème startup, un noyau actif se distingue. Près de 30% des CISO se disent ouverts à des échanges réguliers avec les acteurs du financement ou de l’innovation. Tandis que 59% se déclarent prêts à initier des collaborations approfondies pour co-développer des solutions sur mesure.
Cette volonté de logique contributive suppose à la fois des critères adaptés à la maturité des jeunes pousses, et une reconnaissance institutionnelle du rôle des CISO dans le développement de l’écosystème cyber.
Une responsabilité stratégique pour l’avenir
Les CISO ne sont pas seulement des garants opérationnels de la sécurité. Ils sont aussi en position de valider l’entrée des startups dans les chaînes de confiance numérique. À travers leurs arbitrages, leurs exigences techniques et leur capacité à ouvrir un carnet de commandes, ils participent directement à la consolidation des acteurs émergents.
Dans un contexte de dépendance technologique croissante, les choix du CISO deviennent stratégiques
Il ne s’agit pas de faire primer la souveraineté sur la performance, mais bien de créer les conditions rationnelles et concrètes pour que des acteurs européens innovants puissent répondre aux besoins des entreprises, dans la durée, avec les exigences de sécurité et de fiabilité que le contexte impose.
Repenser les conditions de la collaboration pour faire évoluer la relation, plusieurs leviers sont identifiés :
-
mieux structurer les cycles de collaboration, encore trop longs (6 à 12 mois en moyenne) ; créer des cadres d’engagement clairs et reproductibles.
-
encourager la veille stratégique collective, entre experts de la cybersécurité et écosystèmes innovant, afin d’identifier rapidement les solutions les plus prometteuses. Notamment, le recours aux fonds ou aux accélérateurs de startups, qui reste marginal, signe d’un écosystème encore en silo.
-
collaborer en amont via des programmes de « design partnership » pour aider à façonner des solutions qui répondent à des enjeux concrets.
L’étude montre qu’une dynamique d’évolution est bien présente, mais qu’elle ne peut s’amplifier qu’à la condition d’une prise de conscience et d’un engagement collectif. D’une part, rappelons que sans commandes il n’y a pas d’offre pérenne, d’autre part, soutenir l’innovation n’est pas un acte idéologique mais rationnel. Les CISO ont véritablement un rôle moteur pour faire émerger des champions européens. C’est en s’impliquant dans la structuration de l’écosystème cyber que les grandes entreprises contribueront demain, à l’émergence de solutions européennes plus adaptées, plus innovantes, et plus compétitives.
A propos du CESIN
Le CESIN (Club des Experts de la Sécurité de l’Information et du Numérique) est une association loi 1901, créée en juillet 2012, avec des objectifs de professionnalisation et de promotion de la cybersécurité. Lieu d’échange, de partage de connaissances et d’expériences, le CESIN permet la coopération entre experts de la sécurité de l’information et du numérique, et entre ces experts et les pouvoirs publics. Il participe à des démarches nationales et est force de proposition sur des textes réglementaires, guides et autres référentiels.
Le CESIN compte parmi ses membres plusieurs organismes et institutions, comme l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI), Gendarmerie Nationale, Commandement Cyber, Gendarmerie, Commission Nationale de l’Informatique et des Libertés (CNIL), Gimelec, Préfecture de Police, Police Judiciaire, Cybermalveillance.gouv.fr, Ministère de la Justice, Ministère de l’Intérieur. Le CESIN compte plus de 1 200 membres issus de tous secteurs d’activité, industries, Ministères et entreprises, dont CAC40 et SBF120.
Pour en savoir plus www.cesin.fr
A propos de AURIGA CYBER VENTURES
Créé en 2022, Auriga Cyber Ventures est un fonds de capital-risque early stage de 55 M€, dédié aux startups européennes de la cybersécurité et de la confiance numérique. Issu d’un partenariat entre Auriga Partners et plusieurs entrepreneurs de référence du secteur, le fonds s’appuie sur un réseau actif de plus d’une centaine d’experts : investisseurs, revendeurs, intégrateurs, accélérateurs… tous issus de l’écosystème cyber. À ce jour, Auriga Cyber Ventures a investi dans 20 startups à travers l’Europe, couvrant un large éventail d’innovations : cryptographie post-quantique, sécurité et confidentialité de l’IA générative, sécurité embarquée, GRC ou encore Pentest-as-a-Service.
Pour en savoir plus https://www.aurigacyberventures.com/