ENTRETIEN – Ludovic de Carcouët, PDG de Digitemis : « La cybersécurité, un sujet sans frontières »

Quel est votre parcours ?

Né à La Roche-sur-Yon, j’ai fait l’école d’ingénieur Ponts et Chaussées à Paris. J’ai commencé à travailler en Inde via des missions humanitaires, puis j’ai enchaîné avec un contrat de technico-commercial chez un équipementier télécom français dans plusieurs pays d’Asie dont l’Inde, le Sri Lanka, le Bengladesh ou encore la Chine (Pékin), mais aussi en France. En 2011, à la suite du décès de mon père, je suis revenu m’installer en Vendée. Je recherchais un poste d’ingénieur cadre dans les nouvelles technologies mais il semblait y avoir assez peu de besoins sur le territoire dans ce domaine. En 2014, j’ai créé la start-up Digitemis, chez moi, à la campagne, dans les dépendances de l’ancienne maison familiale, dans la petite commune de La Merlatière[1]. Mon ambition : innover dans le domaine de la cybersécurité.

Pourquoi ?

Parce que dans mes précédentes expériences professionnelles, j’avais connu des problèmes de cybersécurité et j’avais alors pris conscience que les dirigeants n’étaient pas du tout préparés à ces menaces auxquelles ils étaient pourtant d’ores et déjà confrontés. Ils ignoraient tout ou presque des risques, des aspects réglementaires… Il y avait vraiment des choses à faire pour les sensibiliser et les accompagner. J’ai commencé à me former à Paris, à approfondir le sujet car, jusqu’ici, je n’avais que des notions. J’ai passé un master spécialisé en cybersécurité, ainsi que d’autres certifications complémentaires. J’ai effectué la partie pratique au sein de ma société.

Quelle a été votre stratégie pour devenir un acteur de référence ?

Quand j’ai lancé Digitemis, mon objectif premier était d’accompagner les organisations locales (PME, collectivités), en commençant par un état des lieux et du conseil. Très rapidement, j’ai voulu adjoindre à cette stratégie des valeurs d’humilité, de simplicité et d’excellence. Je me suis donc entouré de personnes expertes sur les différentes facettes de la cybersécurité et j’ai placé l’innovation et la recherche au cœur de l’entreprise en collaborant avec l’ESIEA, une école d’ingénieur en numérique basée à Laval, et son laboratoire Confiance numérique et sécurité. Parallèlement, j’ai souhaité faire qualifier notre activité par l’Agence nationale de la sécurité des systèmes d’information (Anssi), autorité de référence en matière de prévention, de protection et de sécurité informatiques, pour être reconnu comme prestataire de confiance. Cette certification repose sur la sécurisation de l’information de l’entreprise, ses méthodes de travail et les compétences des collaborateurs. En 2017, après deux ans d’efforts et d’investissements, nous avons été le premier prestataire de confiance à être reconnu en province.

Quel rôle a joué cette qualification dans votre développement ?

Être certifié par l’Anssi, c’est un peu le Graal en matière de cybersécurité. Le simple fait d’être engagé dans cette démarche nous a permis d’obtenir la confiance des acteurs de notre territoire. Ce fut aussi un élément déterminant pour recruter et fédérer les collaborateurs. Nous avons pu poser des fondations saines et adopter les bonnes méthodes de travail. Tous les 18 mois, cette qualification est en effet remise en jeu lors d’un audit, ce qui implique une montée en compétences permanente de chaque collaborateur.

Comment accompagnez-vous les entreprises ?

Une première équipe technique en cybersécurité simule des attaques pour découvrir les vulnérabilités, les exploiter et les corriger. Puis, une deuxième équipe d’experts en protection se met en position de défense en organisant des mesures de sécurité. Elle a un rôle de gouvernance et de conseil. Depuis 2016, une troisième équipe de juristes a rejoint l’aventure. Sa mission consiste à auditer et accompagner les clients sur la protection des données. Nous étions précurseurs car la RGPD est arrivée en 2018. Jusqu’ici, le sujet de la protection des données était abordé uniquement sous l’angle juridique. L’originalité et la force de Digitemis est d’avoir combiné l’aspect technique et juridique, d’avoir décloisonné ces deux univers pour aller en profondeur et apporter de la cohérence sur ce sujet de la protection des données personnelles. En proposant cet accompagnement complet, nous nous sommes différenciés de nos concurrents.

Quelle est la cybermenace la plus fréquente ?

C’est le rançongiciel. Depuis 2020, ces attaques explosent. En 2021, en France, 1 633 entreprises et 312 collectivités ont déclaré des attaques par rançongiciel[2]. Le cybercriminel chiffre les données, empêche les systèmes de fonctionner et exige une rançon. Ces criminels ne sont pas des indépendants mais des organisations structurées avec des rôles bien répartis, qui brassent beaucoup d’argent. Cette activité criminelle est mondiale et furtive. Pour les services de l’État, les actions sont donc compliquées.

Face à ces dangers, quelle place occupe l’innovation chez Digitemis ?

« Les menaces continuent de se professionnaliser, de s’industrialiser. Plus ça va, plus la chaîne de criminalité est efficace et difficile à combattre », souligne Ludovic de Carcouët. ©Benjamin Lachenal

Elle fait partie de notre ADN. Nous investissons 30 % de notre CA dans l’innovation et la recherche. Parallèlement, chaque collaborateur consacre 25 % de son temps à faire de la veille, c’est contractuel. Ces investissements sont une nécessité car les cybermenaces évoluent en permanence.

Dès le départ, nous avons lancé un certain nombre de projets de recherche avec plusieurs laboratoires. Certains sont très techniques et portent sur la sécurisation et le durcissement des terminaux mobiles, sur la sécurité des objets connectés, ou encore sur la sécurité technique et la protection des données personnelles.

Nous avons aussi travaillé sur la simplification du pilotage des risques pour les organisations étendues, à savoir les filiales et les fournisseurs, quels que soient leurs rangs. En effet, tout est lié : le risque peut provenir d’une filiale, d’un partenaire, d’un client, et se propager dans les écosystèmes d’organisation de l’entreprise. Il ne faut pas se limiter à la seule protection de son entreprise mais étendre sa vigilance à ses organisations dans le monde entier. C’est ce que j’appelle la responsabilité cyber des entreprises en analogie avec la responsabilité sociétale des entreprises (RSE). Tous les acteurs peuvent devenir interdépendants, interconnectés. La responsabilité est partagée. Les grandes entreprises ont le devoir d’aider les TPE et PME avec lesquelles elles collaborent à grandir en matière de cybersécurité dans un intérêt commun. Il faut donc définir des écosystèmes de confiance, déterminer le niveau de confiance exigé par chacun.

Où s’arrêtent ces écosystèmes de confiance ?

C’est LA grande question. S’arrêtent-ils à un groupe, à un territoire, à un secteur d’activité ? La cybersécurité et la protection des données personnelles sont des sujets sans frontières, avec des acteurs présents dans plusieurs pays. Mais les réglementations et les enjeux métiers sont différents d’un pays à un autre, d’une entreprise à une autre. C’est là toute la difficulté.

C’est pourquoi, depuis 2018[3], nous avons développé un logiciel collaboratif pour identifier les risques, les réduire et assurer leur conformité pour ces organisations étendues. Depuis janvier 2023, cette activité est séparée de Digitemis. Elle se trouve désormais au sein d’une société dédiée, Make it safe, car ce sont des métiers différents. De plus, les perspectives de croissance de cette activité de logiciel de sécurité sont très fortes, le champ des possibles est immense. Cette nouvelle organisation permet donc d’avoir des feuilles de route et des objectifs distincts. Notre prochaine innovation : automatiser certaines tâches pour répondre au manque d’expertise (humaine et technique) en matière de cybersécurité, dans un monde où les technologies sont de plus en plus complexes.

Quels conseils donneriez-vous à une entreprise victime d’une cyberattaque ?

Déconnectez les systèmes d’internet mais laissez allumés les serveurs et les ordinateurs pour garder des traces de l’attaque, tout en coupant les interconnexions avec le reste du système informatique pour éviter que cela ne se propage. La difficulté, c’est de savoir où se trouve le mal, car on ne connaît ni le patient zéro ni la provenance du virus.

Ensuite, sollicitez l’assistance des pompiers de l’informatique pour les premiers secours. Si vous avez une cyber assurance, contactez-la immédiatement. Sinon, orientez-vous vers le site Cybermalvaillance.gouv.fr qui recense des professionnels de confiance ou vers d’autres prestataires de votre choix. Le troisième réflexe, c’est de porter plainte.

À quoi faut-il s’attendre en 2023 en matière de cybersécurité ?

Les menaces continuent de se professionnaliser, de s’industrialiser. Plus ça va, plus la chaîne de criminalité est efficace et difficile à combattre. D’un côté, la sécurité des organisations s’améliore globalement. De l’autre, il y a encore des chantiers colossaux à mener dans le secteur public (administration, fonction publique territoriale et hospitalière) et du côté des PME et ETI. C’est alarmant.

Le sujet de la cybersécurité s’invite aussi dans deux grandes compétitions sportives organisées en France prochainement : la Coupe du monde de rugby 2023 et les Jeux olympiques 2024. Difficile de prédire ce que l’on va voir apparaître en termes d’attaques. Une certitude : il sera nécessaire de protéger l’ensemble du territoire français et pas seulement Paris.

Quelle croissance affiche votre start-up ?

Depuis la création de Digitemis il y a près de neuf ans, notre croissance est à deux ou trois chiffres. Elle était de plus de 100 % entre 2014 et 2018. En 2021, notre CA affichait une croissance de 30 % sur un an. La tendance est similaire pour 2022.

En 2020 et 2021, Digitemis a été pensionnaire de Station F. Que vous a apporté cet accompagnement ?

Station F est un immense campus de start-up créé par Xavier Niel à Paris en 2017. Sa vocation est d’accompagner et d’accélérer l’innovation. Être une start-up en province peut constituer un handicap pour suivre les tendances du numérique. Intégrer Station F devait logiquement nous aider à favoriser notre immersion dans l’écosystème parisien, à améliorer notre visibilité. Malheureusement, il y a eu le Covid et nous n’avons pas pu bénéficier de l’accompagnement que nous avions imaginé. Il était plus difficile de développer notre réseau car les gens travaillaient à distance. Notre passage à Station F reste malgré tout une expérience positive et a forcément contribué à notre cheminement.

Les start-up vendéennes ont souvent des profils émergents et poursuivent généralement leur développement dans les grandes métropoles. Quel est votre regard sur ce point ?

Parfois, une start-up doit sortir de son territoire pour recruter ou conquérir des nouveaux marchés. Mais la Vendée est un département attractif qui commence à avoir un écosystème capable d’accompagner la croissance des jeunes pousses. Aujourd’hui, les conditions sont en effet réunies pour les conserver et les faire grandir ici : les technologies (la fibre), les infrastructures (formations, laboratoires, transport) … Après, cela reste toujours un défi. Je pense que la solution est mixte : un pied ici et des antennes dans des grandes villes.

C’est d’ailleurs le choix que vous avez fait en conservant votre siège social en Vendée alors que vous êtes l’un des leaders français dans votre domaine. Pourquoi ? Est-ce un atout ?

Je suis attaché à ce territoire, à son dynamisme et à ses valeurs de simplicité. J’ai bien conscience que, pour une start-up, il y a des obstacles à rester dans un territoire rural, notamment pour des questions de recrutement. Pour croître, il nous faut des talents et ces talents ne souhaitent pas forcément déménager là où nous sommes. C’est d’ailleurs pour étendre notre bassin de recrutement que nous avons ouvert un bureau à Rezé en 2016, un deuxième à Paris en 2019 et un troisième ce mois-ci, début 2023, à Angers.

À l’heure où beaucoup de gens quittent Paris pour vivre dans des villes de taille moyenne, je suis convaincu qu’il y a aussi des bénéfices à en tirer, que cela fait sens. Et puis, le télétravail facilite grandement le fait de conserver notre siège social en Vendée. Sa localisation peut faire partie du parcours professionnel. Que l’on ait 20, 30 ou 40 ans, que l’on ait ou non des enfants, les aspirations et les choix de vie sont différents. Être présent de La Merlatière à Paris, est un atout pour diversifier et attirer des nouveaux talents. C’est un bonus pour notre développement.

[1] Commune entre la Roche-sur-Yon et Essarts-en-Bocage.

[2] Rapport annuel 2021 du site Cybermalveillance.gouv.fr.

[3] Année de commercialisation des premiers prototypes.