164 startups, 31 scale-ups, 1 FT120 et 1 licorne cyber et 341M€ de fonds levés : tels sont les chiffres de l’édition 2023 du radar de l’innovation cybersécurité français de Wavestone en partenariat avec Bpifrance. Les résultats complets de l’étude seront dévoilés le 15 juin 2022 à 13h à l’occasion de l l’évènement Vivatech. Les critères pour définir les différentes catégories sont décrits ci-dessous. L’étude porte sur la période du 1er juin 2022 au 31 mai 2023.

341M€ de fonds levés, une année exceptionnelle dans un contexte économique tendu

En 2021/2022, le chiffre était encore meilleur (630M€) mais influencé largement par la levée de Ledger de 330M€.

Cette année, la tendance est positive à deux niveaux : un nombre plus important de tickets autour des 40M€ et beaucoup plus de levées en-dessous des 10M€ (61M€ levés par 21 structures au total).

L’arrivée de fonds spécialisés en cyber permet d’apporter une des briques manquantes jusqu’ici pour permettre à l’écosystème de continuer à mûrir. À titre d’exemple, Auriga Partners a récemment levé 50M€ d’euros pour réaliser 25 prises de participation sur des jeunes pousses. Tikehau Capital quant à lui est un véhicule dédié aux startups plus matures. Et les pouvoirs publics interviennent toujours, notamment sur les startups via le fonds Innovation Défense, géré par Bpifrance pour le compte du ministère des Armées ou le fonds Digital Venture. Ces acteurs s’organisent progressivement pour former un tout cohérent, efficace et qui permet d’assurer la continuité dans le développement de nos pépites au moins dans leurs premières années.

En revanche, le contexte économique actuel tendu, en particulier à l’étranger, rend toujours plus difficile l’accès aux séries B et C et pousse les entreprises concernées à chercher à l’étranger les fonds nécessaires.

La dynamique de levée de fonds observées cette année est particulièrement impressionnante et démontre l’attractivité de la thématique cyber ». Gérôme BILLOIS, Partner Wavestone

La France voit naître chaque année en moyenne 25 nouvelles startups cyber, et ces dernières sont de plus en plus innovantes…

La France prouve cette année encore qu’elle dispose d’un écosystème florissant en matière d’innovation cyber. Depuis 4 ans, elle génère annuellement environ 25 nouvelles startups par an, et pas moins de 32 ont été créées de juin 2022 à juin 2023.

De plus, d’après notre analyse, la tendance à l’innovation est en nette hausse. Par "innovation", notre analyse considère ici comme particulièrement innovante une entreprise qui se positionne sur la création d’un nouveau marché (nouveau produit, sécurisation de technologie nouvelle, ciblage clients inédits) ou par la conduite de recherches appuyées afin d’élaborer une nouvelle technologie. Cette année, 53% des nouveaux arrivants s’inscrivent dans une de ces tendances.

Mais ce taux d’innovation pourrait encore largement être amélioré en s’appuyant sur les acteurs de la recherche privée (15% sont en relation avec de telles structures) et de la recherche publique (17%). L’exploitation de ces leviers permettra à l’écosystème de passer ce nouveau cap de la Deeptech. »

« De véritables ruptures technologiques sont devant nous, en particulier le quantique et l’intelligence artificielle mais pas que... Il est clé que nos start-ups se mobilisent sur ces sujets et soient à la pointe technologiquement. Cela passera forcément par un meilleur lien avec l’écosystème de la recherche déjà très actif sur ces sujets ». Gérôme BILLOIS, Partner Wavestone

… et l’innovation est un des leviers clés pour la croissance

L’écosystème cyber donne naissance à de plus en plus de scale-ups (11 en 2021 vs. 24 en 2022, vs. 31 en 2023). Nous observons que les entreprises à succès savent utiliser un ou plusieurs des 3 leviers clés suivants :

– Elles innovent sur l’approche technologique ;

– Elles innovent sur le business modèle, en adressant notamment le segment PME ou en visant des marchés d’experts ;

– Elles exécutent parfaitement leur phase de passage à l’échelle et l’exportation de leur solution ;

« Nous sommes convaincus qu’une société numérique de confiance, gage de compétitivité et de souveraineté, passe par la création d’un écosystème de cyber sécurité français puissant. Pour cela nous disposons de savoir-faire d’excellence sur l’ensemble du territoire. L’ambition de Bpifrance est de faire émerger de plus en plus d’entreprises dans ce domaine, de leur permettre de se développer, notamment par la conquête de marchés à l’international, et de créer des synergies entre les acteurs. Notre contribution, aux côtés de Wavestone, à l’élaboration de cette cartographie participe à cette ambition afin de mieux accompagner la croissance des start-up dans le domaine. » déclare Paul-François Fournier, Directeur exécutif Innovation de Bpifrance

Les startups développent le réflexe d’internationalisation et d’export de leur solution

Cela étant dit, une solution innovante s’exportera plus facilement à l’international. Aujourd’hui, 59% des startups interrogées - qui ont donc moins de 7 ans - ont déjà des clients en dehors des frontières de la France. Pour celles qui exportent, les marchés Français et Européen restent des cibles prioritaires.

L’écosystème se décentralise progressivement en région

Avec plus de 5000 emplois directs, l’écosystème d’innovation cyber en France reste un domaine à taille humaine à l’échelle du marché de l’emploi en France, en particulier dans la tech. Aujourd’hui, 70% se concentrent sur 3 pôles : Paris, Lille et Rennes. L’écosystème en région gagne du terrain : presque la moitié des structures sont situées hors de Paris et de sa région (contre un tiers l’année dernière) et depuis 2021, la moitié des entreprises ont été créées en région. De plus, les initiatives locales telles que l’arrivée de campus cyber dans plusieurs régions pourront certainement faire évoluer cette tendance.

Les structures d’accompagnement, essentielles au développement de l’écosystème et à l’émergence de pépites françaises, doivent suivre le rythme : d’une part, en s’affirmant dans ces régions, et d’autre part, en se spécialisant de manière plus spécifique dans le domaine cyber. Leur approche généraliste et générique leur est souvent reprochée par les startups interrogées.

Trois approches particulièrement porteuses pour l’avenir

La cybersécurité, et son écosystème d’innovation, doivent aussi et surtout répondre aux futurs défis technologiques, réglementaires et sociétaux des prochaines années. Ces approches sont des leviers commerciaux majeurs L’arrivée de solutions simples et adaptées à ces cibles est également un enjeu pour sécuriser le tissu économique de notre pays. Trois sujets clés émergent :

– L’intelligence artificielle : 26 structures revendiquent d’utiliser l’IA pour proposer des outils plus performants, rapides, automatisés ou pour mieux analyser les données. Pour certaines, il est parfois difficile de voir le vrai apport de l’IA dans la proposition de valeur, tandis que pour d’autres, l’apport est clair et efficace. Mais au-delà de cet argument de vente, il y a une vraie opportunité de marché pour créer des solutions qui viendraient sécuriser l’usage de l’IA. Développer ces solutions dès maintenant est essentiel : les systèmes d’IA se déploient dans de très nombreuses structures et l’on découvre jour après jour de nouvelles méthodes d’attaques qui peuvent détourner ces systèmes. Des startups se positionnent sur ce sujet.

– La sécurité des données Next Gen : le sujet de la sécurité des données, et en particulier du chiffrement, va connaître une transformation sans pareille avec l’arrivée prochaine à maturité de technologies comme le chiffrement post-quantique (qui ne peut être cassé par la puissance de l’ordinateur quantique, contrairement à une large partie des algorithmes utilisés actuellement) ou le chiffrement homomorphique (qui permet de réaliser des opérations sur des données chiffrées sans les déchiffrer au préalable, et apporte des réponses essentielles à la problématique de souveraineté, en particulier dans les relations avec les fournisseurs cloud). Couplé à de nouvelles manières de sécuriser les données, via la fragmentation entre plusieurs clouds et des systèmes de chiffrement novateurs, l’ensemble de ces technologies offre de nombreuses perspectives.

– Offre dédiée aux PME : la construction d’offres dédiées aux PME, permettant d’adresser un marché beaucoup plus large que le CAC40, commence à être abordée plus largement. L’arrivée de la directive NIS 2, qui devrait toucher plusieurs milliers, voire dizaines de milliers de structures en France, représente une opportunité de croissance forte.

Enfin, il faut noter un domaine encore largement inexploité par les entrepreneurs : le domaine de la sécurité des produits. Les produits, allant de l’ensemble des équipements numériques de notre quotidien (bornes wifi, box...) jusqu’aux produits connectés tels que les trains, les avions, les équipements médicaux... Les nouvelles réglementations européennes, en particulier le règlement CRA, vont imposer un niveau minimum de sécurité à ces produits. Vu leur spécificité, leur contexte d’usage, leur faible puissance et leur longue durée de vie, de nombreuses solutions de cybersécurité vont devoir être inventées. Malheureusement, à ce jour, ce sujet n’est que trop peu couvert en France.

L’écosystème cyber fait plus que résister au contexte économique incertain, il continue à croitre et à ouvrir le chemin pour les résolutions attendues dans les années futures. De notre point de vue, 3 leviers sont à activer dans la durée pour progresser dans le futur :

– Pour les startups : différenciez-vous en innovant, en vous appuyant sur la recherche publique et le secteur privé, et saisissez les prochains relais de croissance de la cyber

– Pour la réglementation : Elevez la dynamique au niveau supérieur et visons l’Europe ! Et appuyons-nous sur la réglementation européenne (NIS2, DORA, CRA) pour faire la différence

– Pour les investisseurs : Continuez à financer l’écosystème de façon dynamique, allez chercher les 100M€, en une levée et profiter du Momentum sur l’investissement cyber

C’est en combinant l’ensemble des forces de l’écosystème et en évoluant sur ces différents axes que l’écosystème d’innovation cybersécurité continuera sa croissance.

Démarche et critères de sélection des startups et des scale-ups

Les startups et les scale-ups doivent disposer d’un siège social en France et la vente de produit de sécurité doit représenter au minimum 50% de leur chiffre d’affaires.

Les startups ont moins de 7 ans d’existence et un nombre d’employé inférieur à 35.

Les scale-ups, quant à elles, doivent répondre à une des trois conditions suivantes :

– soit avoir perçu un financement sur 3 ans par levées de fonds d’au moins 10M€ en une fois

– soit disposer d’un CA d’au moins 2.5M€ et une croissance annuelle supérieure à 25% durant les 3 derniers exercices fiscaux, sur chaque exercice.

Nos chiffres sont arrêtés au 01/06/2023.

Cette étude est basée également sur des entretiens qualitatifs avec la majorité des startups présentes dans ce radar et des acteurs du secteur de l’innovation.