X
ÉGÉRIE : la nouvelle égérie de la cyber !
Christophe Guillemin / mercredi 4 septembre 2019 / Thèmes: Hexatrust

ÉGÉRIE : la nouvelle égérie de la cyber !

Au coeur d'Hexatrust (10)

Depuis près de 20 ans, deux anciens ingénieurs du groupe Bull partagent une vision commune autour de la sécurisation du SI via l’analyse des risques cyber. Une vision qui les a menés à créer EGERIE, première entreprise à recevoir aujourd’hui le label EBIOS de l’ANSSI. Retour sur cette pépite toulonnaise à la réputation conviviale, portée par deux capitaines qui entendent continuer à « mouiller le maillot » aux côtés de leur équipe.

Les locaux du siège social et de la R&D en plein coeur de Toulon.

La convivialité. Ce vocable résume aussi bien l’ambiance régnant dans les locaux d’EGERIE que le principal axe de développement de son produit phare : "Risk Manager". Cette plateforme de pilotage des risques cyber évolue progressivement de l’outil technique pour RSSI vers une solution accessible au plus grand nombre, notamment les dirigeants. Son interface est donc de plus en plus intuitive et conviviale. 

Et lorsque l’on entre dans les locaux de cette PME, c’est également la convivialité qui est au rendez-vous, avec une direction et une équipe souriantes, qui semblent manifestement épanouies dans leur travail. « Nous avons la réputation d’être une entreprise conviviale. Jean et moi sommes heureux d’avoir fondé cette entreprise et de venir y travailler chaque jour. Et je crois que cela se transmet à nos collaborateurs, mais aussi à nos partenaires et clients », explique Pierre Oger, qui co-dirige l’entreprise avec Jean Larroumets, occupant respectivement les postes de VP Sales et CEO. 

Situés au deuxième étage d’un très chic immeuble haussmannien, non loin de la gare de Toulon (83), les locaux d’EGERIE arborent un design très industriel, avec poutres métalliques et béton ciré au sol. Mais le plus frappant reste l’îlot central, à l’entrée d’un open space de 100 m2, qui fait office de lieu de restauration et de détente. Cet îlot est le point de rassemblement des équipes. Pas de salle de repos avec consoles de jeux et baby-foot, pas de cafète… tout se passe ici, dans cet espace ouvert. « Cela est représentatif de la manière dont nous organisons l’entreprise. Tout le monde peut parler avec tout le monde, et être force de proposition. Nos solutions sont issues d’un travail collaboratif entre la R & D, les commerciaux, l’avant-vente et le marketing. Ils ont chacun leur mot à dire dans l’orientation des développements », confie Jean Larroumets. L’équipe dirigeante participe également aux débats techniques. « Nous sommes tous les deux des ingénieurs de formation et restons donc très impliqués dans le développement des solutions », souligne Pierre Oger.

 

Les deux fondateurs d'Egérie lors de la remise du label EBIOS par l'ANSSI.

Un duo de 20 ans !

L’histoire d’EGERIE est celle d’une collaboration entre deux anciens ingénieurs du groupe Bull, qui mènent un projet commun depuis près de 20 ans. « Travailler en binôme est une force. En tout cas, cela fonctionne pour nous. Nous avons tous les deux beaucoup d’idées et nous les structurons grâce au débat. Nous acceptons d’être contredits par l’autre, dans un esprit de respect mutuel. C’est en confrontant nos idées que nous avançons », poursuit Pierre Oger. « Nous échangeons très régulièrement, avec parfois de vifs débats mais toujours dans une démarche positive et avec bienveillance », précise en souriant Jean Larroumets.

La rencontre a lieu à la fin des années 90, au sein de la cellule cybersécurité du groupe Bull. Jean travaille sur des firewalls et Pierre sur des outils de cryptologie. Ils partagent alors un même constat : les outils de sécurité classiques, basés uniquement sur la protection du SI, ne suffisent plus. Les entreprises doivent anticiper les risques auxquels elles sont confrontées, en identifiant des scénarios d’attaques, afin de développer une véritable stratégie de sécurité. Cette gestion de la cybersécurité par les risques est alors très novatrice. Peut-être un peu trop pour le groupe Bull. « Nous leur avons proposé de créer une cellule interne dédiée au conseil en cybersécurité, avec cette démarche autour de la gestion des risques. Mais ce n’était pas le bon moment pour le groupe, car il traversait une phase difficile », se souvient Jean Larroumets.

Convaincus du potentiel de leur approche, les deux acolytes décident alors de voler de leurs propres ailes. Ils créent en 2002 le cabinet Fidens, dédié au conseil, à l’audit et à la formation autour de la cybersécurité. Trois ans plus tard, Jean Larroumets est le premier auditeur certifié en France sur le standard ISO27001 (BS-7799), qui intègre justement cette notion de pilotage de la sécurité IT par les risques. Leur approche séduit rapidement plusieurs grands comptes, dont Thales, la Société Générale, Orange ou le ministère de l'Intérieur. « Ces structures avaient le niveau de maturité suffisant pour comprendre l’intérêt d’anticiper les risques de sécurité, de localiser les vulnérabilités des systèmes et surtout : de savoir combien leur coûterait un incident », se rappelle Pierre Oger.

Bien que Fidens enregistre une croissance honorable, les deux hommes font un nouveau constat : le pilotage par les risques reste très consommateur en ressources humaines. À mesure que les SI gagnent en complexité, il faut toujours plus de consultants et d’experts en sécurité pour analyser les risques et construire les scénarios. « L’humain seul commençait à atteindre ses limites. Il lui fallait des outils pour l’accompagner dans sa tâche. Nous avons donc cherché à développer une solution technique automatisant certains process. C’est ainsi que nous avons réalisé, en 2013, la première version de notre plateforme Risk Manager qui était d’abord un outil interne », indique Jean Larroumets. La solution est bâtie autour d’un « moteur d’analyse » exploitant des bibliothèques recensant les nombreuses possibilités de vulnérabilités et d’attaques. Elle peut ainsi « auto- diagnostiquer » la sécurité du SI afin de prédire et calculer les risques réels, présentés sous la forme de rapports et autres graphiques. Ensuite, l’utilisateur peut planifier et suivre l’ensemble des mesures de sécurité mises en place, au sein du même outil. Il dispose ainsi d’une vue complète sur l’exposition du SI et son niveau de protection.

La console d'analyse des risques.

Le label de l’ANSSI :  la reconnaissance d’une décennie de travail

Rapidement, l’idée de vendre la solution à des tiers s’impose comme une évidence. Une nouvelle structure est alors créée en 2016. Elle est baptisée EGERIE et devient, à l'époque, une filiale à 100 % du cabinet Fidens. Le socle technique de Risk Manager est totalement redéveloppé pour standardiser la solution. Sa dimension « collaborative » est également renforcée, en permettant par exemple au plus grand nombre de collaborateurs. de transmettre à la plateforme des informations alimentant le moteur d’analyse. « Nous avons également travaillé au développement de notre réseau de partenaires revendeurs, qui intègre aujourd’hui plus d’une trentaine de cabinets en sécurité. Cela nous a pris près de deux ans », confie Pierre Oger. En 2017, EGERIE se diversifie dans la gestion des données personnelles, répondant ou intégrant les exigences du RGPD, en développant un nouveau module : « Privacy Manager ». Ce dernier facilite le travail du DPO notamment pour réaliser le fameux registre recensant les traitements des données personnelles dans l’entreprise (lire encadré).

En mai 2019, l’entreprise franchit une nouvelle étape. Les deux fondateurs acquièrent 100 % du capital de la société auprès de Fidens. « Cela nous donne une maîtrise complète dans l’orientation que nous voulons donner à l’entreprise, qui est désormais celle d’un pure player sur le marché de solutions de cybersécurité », explique Jean Larroumets.

Début juin, EGERIE a également été la première entreprise à recevoir le label EBIOS de l’ANSSI pour sa plateforme Risk Manager. Il distingue des solutions respectant la méthode EBIOS Risk Manager (Expression des Besoins et Identification des Objectifs de Sécurité). Son principe : gérer la cybersécurité en « appréciant et en traitant les risques » tout en « fournissant tous les éléments nécessaires à la communication au sein de l’organisme et vis-à-vis de ses partenaires, ainsi qu’à la validation du traitement des risques », indique l’ANSSI.

Pour obtenir cette distinction, EGERIE a notamment ajouté une couche d’interface à sa solution pour qu’elle soit encore plus accessible. « Avec EBIOS, notre solution devient un outil d’aide à la décision, utilisable notamment par les dirigeants. Pour nous, le label de l’ANSSI est une reconnaissance de notre savoir-faire, une validation de notre approche, qui devrait constituer un formidable levier de croissance pour l’entreprise », estime Jean Larroumets.

Aujourd’hui, EGERIE ne semble plus avoir besoin de convaincre, après une décennie de webinaires, conférences et autres prises de paroles pour promouvoir son approche. « Le marché de la cartographie des risques cyber est désormais une réalité. Et je crois que nous avons largement contribué à le créer. Ce sont les cabinets de sécurité qui viennent aujourd’hui nous solliciter pour revendre notre solution, et plus l’inverse », se félicite Pierre Oger.

Une équipe sérieuse et décontractée.

Deux capitaines sur le terrain

Le management d’EGERIE se fait à deux voix. Est-ce parfois déconcertant pour les salariés ? « Nous veillons à bien répartir les rôles dans ce "co-management" afin que nos collaborateurs sachent à qui s’adresser. Je traite plutôt des questions techniques et Pierre des questions commerciales. Mais au final, nous prenons toutes les grandes décisions à deux », confie Jean Larroumets.

Les deux fondateurs se veulent accessibles, même s’ils prévoient de recruter prochainement des managers intermédiaires, afin de les accompagner dans la croissance de l’entreprise. « Nous resterons sur le terrain. Nous sommes plutôt des capitaines d’une équipe sportive, que des présidents de club. Nous préférons mouiller le maillot au côté des autres joueurs », tient à préciser Jean Larroumets.

Les références sportives sont nombreuses dans le discours des deux responsables. Jean est un ancien sportif de haut niveau (ski) et Pierre est passionné de course à pied (marathon, triathlon…). Plusieurs fois par an, des week-ends au ski sont organisés avec les équipes. Et le midi, les collaborateurs font régulièrement un détour par la salle de gym ou enfilent leurs basquettes pour aller courir. « Plus que le jeu vidéo, nous sommes en effet portés sur les sports collectifs et leurs valeurs, notamment l’esprit collaboratif », précise Pierre Oger. Proximité de la mer oblige : une fois par an, une « soirée plage » est aussi organisée. « Nous privatisons une plage et invitons les collaborateurs, ainsi que les partenaires et clients autour d’un bon verre de vin », confie Jean Larroumets.

Cette convivialité, qui est donc centrale dans la culture de l’entreprise, permet notamment de fédérer les équipes. « Nous avons très peu de turn-over. Nous faisons en sorte de faciliter les évolutions en interne car nous croyons beaucoup au développement personnel. Notre actuel directeur de la R & D est par exemple arrivé sur un poste d’ingénieur avant-vente, à sa sortie de l’école, il y a moins de deux ans », explique Pierre Oger (lire également le témoignage ci-contre). Récemment, l’entreprise a également mis en place un dispositif de gestion de l’innovation. Il permet de favoriser les créations de chacun en rétribuant les collaborateurs par transfert de leur projet permettant à EGERIE de rester maître de sa propriété intellectuelle. La convivialité est également source d’attractivité pour les futurs recrutements, qui sont nombreux. EGERIE compte aujourd’hui 17 collaborateurs, répartis entre des bureaux à Toulon et Paris. D’ici 2020, les effectifs devraient atteindre 32 salariés, puis 45 à l’horizon 2021.

Pour soutenir sa croissance, la PME est en cours de levée de fonds auprès de multiples investisseurs. De quoi permettre à EGERIE de consolider sa présence sur ses marchés existants (France, Suisse et Benelux) tout en étendant son rayonnement en Europe. La levée de fonds doit également permettre de poursuivre les investissements en R & D, qui totalisent déjà plus de 4 millions d’euros depuis la création de l’entreprise. Une V3 de Risk Manager est notamment attendue courant 2019. « Nos bibliothèques s’étoffent continuellement, grâce au partage d’informations de nos clients, réunis au sein d’un club utilisateurs. Nous travaillons également sur l’exploitation de technologies issues de l’intelligence artificielle (IA) pour automatiser davantage la construction des scénarios. L’IA pourrait ainsi créer dynamiquement des scénarios et des cartographies de risques, en complément de l’analyse humaine », souligne Jean Larroumets. Mais, pour l’heure, l’urgence reste le recrutement de nouveaux collaborateurs. « Nous cherchons des profils dans tous les domaines :  R & D, commerce, marketing, services aux professionnels. Je pense que nous sommes porteurs d’un projet réellement passionnant, sur un marché en plein essor. Alors rejoignez-nous ! », conclut Pierre Oger. Depuis 2016, EGERIE affiche une croissance annuelle de 90 % de son chiffre d’affaires qui dépasse désormais le million d’euros.


SIMON AMIOT, 27 ANS, PROFESSIONAL SERVICE MANAGER

En seulement neuf mois, Simon est passé du poste d’ingénieur avant-vente, accompagnant les commerciaux, à celui de Professional Service Manager. « C’est très gratifiant pour moi d’avoir évolué aussi vite. Mais c’est une prise de responsabilités plus qu’une prise de pouvoir. Plus que des "chefs", il y a surtout des "responsables" chez EGERIE qui acceptent de prendre en charge des tâches transverses », confie cet ancien professeur de mathématiques. Le parcours de Simon est en effet atypique. Agrégé en mathématiques à la faculté de Besançon, il peine d’abord à trouver un poste dans la cryptographie. Il se tourne alors vers le métier d’enseignant, qu’il exercera un an, avant de reprendre des études de cybersécurité à l’ENSIMAG. Il réalisera son stage de fin d'études à Toulon où il décroche, fin 2017, son premier poste en cybersécurité chez EGERIE. « Parmi les réponses à mes candidatures, celle d’EGERIE a été la plus "humaine". Jean m’a directement appelé sur mon téléphone. C’est une démarche plutôt rare ». Simon a été convaincu par le projet de l’entreprise, l’ambiance très dynamique qui y régnait et les perspectives d’évolution. Aujourd’hui, il apprécie également le rapport hiérarchique « d’une grande simplicité » et la dimension très collective des projets.


LES DOMAINES D’ACTIVITÉ D’EGERIE

Pilotage intégré des risques cyber (Risk Manager) : gestion de la sécurité IT via la construction de scénarios permettant de prédire les risques réels pesant sur le SI, d’évaluer les coûts d’éventuels incidents et d’identifier la mise en place de solutions. L’outil permet également un suivi et une planification des mesures de sécurité. La solution intègre les différentes étapes de la méthode EBIOS et est conforme aux concepts et à l’esprit de cette méthode.

Protection et gestion des données personnelles (Privacy Manager) : outil à destination des DPO, notamment pour la mise en conformité avec le RGPD. Il intègre des fonctions autour de la gestion des registres et des fiches de traitement, la cartographie des mesures, la génération de rapports et de workflows, le suivi de conformité RGPD, la préclassification du risque de vie privée ainsi que l’automatisation des PIA (« Privacy Impact Assessment » - « Etude d’Impact sur la Vie Privée ») et DPIA (« Data Protection Impact Assessment » - « Analyse d’impact relative à la protection des données »).


EGERIE EN CHIFFRES

• 2016 : création de l’entreprise

• 17 collaborateurs

• 1 million de CA en 2018

• Une centaine de clients grands comptes en France, Suisse et Benelux

• 2 bureaux :  Paris (commerce) et Toulon (R&D et autres activités)

Print
945

x