Il se passe quelque chose sur le marché romand de la cybersécurité. Si aucune cyberattaque d’ampleur n’a été annoncée ces derniers jours – la dernière étant celle ayant affecté Winbiz et ses milliers de clients –, c’est au niveau des entreprises de sécurité que la situation évolue. En peu de temps, trois acquisitions et fusions ont eu lieu, impliquant des entreprises de ce secteur. La demande de protection croissante des PME contre les piratages, ainsi que le manque de spécialistes, expliquent ces opérations.

La dernière transaction en date a eu lieu le 7 décembre, lorsque les sociétés e-Xpert Solutions, basée à Plan-les-Ouates (GE), et One Step Beyond, basée à Gland (VD), fusionnaient pour donner naissance à Swiss Expert Group (SEG), réunissant plus de 80 collaborateurs spécialistes en cybersécurité et en cloud. Trois semaines auparavant, le 14 novembre, Orange Cyberdefense, filiale du géant français des télécoms Orange, s’emparait des deux sociétés SCRT et Telesys, comptant au total une centaine d’employés. Les deux firmes, basées à Morges (VD), sont respectivement actives dans la cybersécurité et la gestion de solutions des technologies de l’information. Le 6 juillet dernier, c’est La Poste qui faisait son entrée sur ce marché, en rachetant le spécialiste en cybersécurité Hacknowledge. Basé lui aussi à Morges (VD), ce dernier compte 46 collaborateurs. Signalons aussi que le 22 novembre, ELCA Cloud Services et EveryWare fusionnaient pour donner naissance à l'un des principaux fournisseurs suisses indépendants de services cloud.

Un portfolio élargi

Pour Paul Such, directeur de Hacknowledge, «une consolidation est en cours, et pas uniquement au niveau de la Suisse romande. Avec l’arrivée d’acteurs étrangers en Suisse, des évolutions de la réglementation et de la demande croissante des clients, de nombreuses sociétés sont en vente ou cherchent à se rapprocher du meilleur partenaire possible.» De son côté, Sergio Alves Domingues, directeur technique de SCRT, identifie deux raisons à ces rapprochements. «D’abord, les événements de ces dernières années ont mis en lumière les besoins – et les opportunités – en cybersécurité, autant en Suisse qu’à l’échelle internationale. Des sociétés fournissant des prestations informatiques et souhaitant ajouter rapidement des services de protection à leur portfolio s’intéressent donc au rachat de sociétés spécialisées.»

Et il y a aussi un souci de taille, poursuit Sergio Alves Domingues: «Depuis plusieurs années, le marché de la cybersécurité se consolide. Les clients sont, à juste titre, de plus en plus demandeurs de prestations de sécurité globales et consolidées, généralement livrées sous forme de «managed services» [services proposés à distance, ndlr]. Or ces prestations sont évidemment plus aisées à fournir lorsque l’on bénéficie d’une certaine taille critique. Il est donc parfois intéressant de s’allier avec d’autres sociétés spécialisées – comme nous l’avions nous-mêmes fait en rachetant la société vaudoise Telecom Systems (désormais Telesys), il y a un peu plus de deux ans – ou de s’adosser à un plus grand groupe actif dans le même secteur.»

24h/24

Un avis que partage en grande partie Cédric Enzler, directeur d’e-Xpert Solutions: «Du point de vue des prestataires informatiques de grandes tailles, l’acquisition de petites structures établies depuis plus de dix ans représente une opportunité de développement là où un projet de croissance organique serait freiné par la difficulté de trouver du personnel qualifié.» Le spécialiste note aussi que «les entreprises romandes font face à une spécialisation des métiers de la sécurité. Elles recherchent de plus en plus fréquemment des prestataires pouvant prendre soin de leur sécurité de manière complète, à distance. Cela se traduit naturellement par des exigences de plus en plus fortes envers les fournisseurs de sécurité (opérations 365 jours par année, 24h/24, etc.) Cela induit une consolidation du marché où plusieurs acteurs établis et de tailles moyennes uniront leurs forces pour créer des offres compétitives par rapport à celles de leurs concurrents, mastodontes de la sécurité œuvrant souvent depuis l’étranger.»

Tous les acteurs notent une hausse sensible de la demande. A l’image de Steven Meyer, directeur de la société Zendata, basée à Genève, qui a «reçu plusieurs propositions de rachat, mais sans y donner suite, car vendre ma société n’est pas dans mes objectifs». Ce spécialiste note que la demande pour des services de protection «est en croissance exponentielle. La menace augmente et la surface d’attaque, via la numérisation des entreprises, grandit. En plus, les régulateurs ainsi que les lois sont de plus en plus exigeants. Beaucoup de PME qui n’étaient pas intéressées par la cybersécurité il y a deux ans la considèrent maintenant comme une priorité.»

Ouvrir l’œil

C’est qu’en l’espace de trois ans, note Cédric Enzler, «le nombre d’attaques a explosé: on ne parle pas de 10 à 30% de hausse annuelle, mais de croissance à trois chiffres du nombre d’attaques. Les tests de pénétration ont le vent en poupe, de même que les projets de gestion des identités numériques. En plus de l’informatique traditionnelle, post-covid, de nombreuses organisations ont accéléré leur adoption de solutions basées sur le cloud. Cela implique un paysage informatique hybride où la sécurité du cloud devient tout aussi importante et doit être gérée de manière intégrée avec tous les aspects de la cybersécurité.»

Mais attention, poursuit Steven Meyer, les PME doivent ouvrir l’œil: «Beaucoup de sociétés informatiques décident d’ouvrir une branche cyber, voyant l’opportunité financière. Mais c’est très dangereux, car vu que ce n’est pas une profession régulée, beaucoup de personnes non qualifiées se positionnent comme expertes. Et ce n’est que trop tard que l’entreprise cliente découvre la réalité…»

Un grand manque de spécialistes

En parallèle, il y a ce manque criant de spécialistes. «Diverses études montrent qu’il manque plus de 300 000 experts en cybersécurité en Europe pour pouvoir répondre à la demande, note Quentin Toussaint, responsable des ventes internationales d’Orange Cyberdefense. La Suisse fait face à la même pénurie de talents que ses voisins, alors que les demandes de la part des entreprises, collectivités ou organisations internationales basées en Suisse croissent de manière exponentielle. En complément des acquisitions, comme celle récente de SCRT et Telesys, Orange Cyberdefense investit également dans les partenariats avec les universités pour y développer l’expertise cyber et recruter les futurs stagiaires et apprentis de l’entreprise.»

Cédric Enzler complète: «La pénurie de personnel qualifié est clairement un défi majeur pour les entreprises romandes. Il n’est pas rare que des annonces d’emploi pour des postes spécialisés de la sécurité cherchent preneurs pendant plus d’une année.»

Lire aussi: Contre les cyberattaques, la Suisse est trop lente