X
ITrust : l’alliance de l’humain et de l’IA
Christophe Guillemin / lundi 20 mai 2019 / Thèmes: Hexatrust

ITrust : l’alliance de l’humain et de l’IA

Au coeur d'Hexatrust (8)

Près de Toulouse, un père et son fils ont créé une société innovante dont l’ambition est de révolutionner la cybersécurité grâce à l’IA. Levée de fond, création d’une école, d’un centre de recherche… la jeune pousse vogue vers de nouveaux horizons. Mais l’esprit startup perdure, inspiré par la « Silicon Valley » et les bonnes pratiques du rugby. Capitale du ballon ovale oblige !

« Keep calm and a Jedi will you be ». La consigne est placardée sur le haut d’une armoire, juste à côté des équipes du SOC (Security Operation Center). Le calme est en effet de rigueur pour superviser à distance la sécurité d’une cinquantaine de SI. Mais cybersécurité ne rime pas forcément avec austérité. ITrust est une jeune pousse devenue PME. Et elle entend préserver son « esprit startup ». Babyfoot, PlayStation, figurines StarWars, drapeaux californiens… seuls quelques ballons de rugby du Stade Toulousain rappellent que nous sommes en Occitanie et non dans la Silicon Valley.

Une ambiance « à l’américaine », assumée et même alimentée par la direction. Le « boss » se rend au travail en Chevrolet Camaro et partage son bureau avec Yoda, Kylo Ren et R2-D2. « Ce n’est pas juste une posture. La Silicon Valley est une référence pour moi », confie Jean-Nicolas Piotrowski, CEO et co-fondateur d’ITrust. « Comme les startups américaines, nous pensons notre activité avec une approche internationale. Outre la France et l’Europe, nous avons déjà des représentations aux USA, en Afrique et bientôt au Mexique, au Brésil ou dans les pays de l’Est. Les startups californiennes ont également cette volonté de rapidement monétiser leur activité et de ne pas être simplement des labos techniques. C’est aussi notre cas. Nous sommes une entreprise bénéficiaire. Trop de jeunes pousses françaises peinent à concilier innovation et business ».

ITrust compte 200 clients, dont une cinquantaine de grands comptes tels que Total, Airbus, Thales, la Caisse d’Epargne ou encore le ministère des Armées. Afin de poursuivre son développement, la pépite vient de lever 3 millions d’euros. De quoi poursuivre son internationalisation et développer de nouveaux produits. Parmi les investisseurs, figure le groupe Scopelec avec qui ITrust a développé une Box Sécurité dédiée aux PME. Les ambitions sont élevées : « Nous visons 10 millions de chiffre d’affaires d’ici deux ans », indique Jean-Nicolas Piotrowski.

 

De l’Oric 1 à l’IA

Outre les figurines StarWars, le bureau du patron d’ITrust héberge un surprenant vestige des premières heures de l’informatique individuelle : un Oric 1. Commercialisé au début des années 80, ce petit appareil aux touches en caoutchouc était animé par un processeur 8 bits et se connectait à un écran de télévision. « Tout un symbole » pour le patron d’ITrust. « Mon père était ingénieur aéronautique. Il avait accès à des gros calculateurs informatiques qui le passionnaient. Lorsque l’Oric 1 est sorti, il a couru l’acheter. Et il m’a initié au codage sur cet ordinateur », confie Jean-Nicolas Piotrowski. Cette filiation est également la base de la création d’ITrust. Henri Piotrowski est co-fondateur de l’entreprise aux côtés de son fils. Il occupe d’ailleurs toujours le poste de directeur général, même s’il transmet peu à peu ses fonctions, notamment RH ou DAF, à de nouveaux arrivants. Dans les années 90, Jean-Nicolas Piotrowski fait ses premières armes dans le secteur bancaire. Il occupe notamment le poste de responsable sécurité de la salle de marché de BNP Paribas. « J’ai découvert comment les algorithmes pouvaient prédire des tendances de marché et même automatiser certaines tâches afin de faciliter le travail des traders ».

L’équipe SOC surveille en temps réel et à distance la sécurité d’une cinquantaine de SI pour le compte d’entreprises clientes.

En 2007, il décide de voler de ses propres ailes et créer ITrust, dont l’activité première est l’expertise en sécurité. L’IA n’est pas encore au programme. Mais un épisode décisif va inspirer une nouvelle orientation technologique à la startup. « Nous avons été contactés par le groupe E.Leclerc qui était victime d’une attaque. Le virus est arrivé le lundi sur leur SI, s’est propagé jusqu’au vendredi et a lancé une attaque DDoS juste quand l’enseigne allait signer un important contrat. C’était une attaque ciblée, qui n’a pas été détectée par les solutions classiques de sécurité. Pourtant, nous nous sommes dit que tout cela aurait pu être évité. Car il y avait des signes avant-coureurs, comme des échanges de fichiers la nuit, des scans de ports ou un pic de bande passante suspect ». ITrust aidera l’enseigne de grande distribution à remonter la piste de l’attaquant. Henri Piotrowski fait alors une remarque à son fils. « Mon père nous a rappelé que dans l’aéronautique, la détection d’anomalies techniques, se fait par analyse des conditions de vol, notamment la météo, croisée avec celle du comportement de l’avion. On ne décèle pas directement l’anomalie. Elle est identifiée par des éléments de contexte, des signaux anormaux. Notre idée de traiter les menaces de cybersécurité par l’analyse comportementale, plutôt que par des patterns ou des scénarios, est venue de là ».

Jean-Nicolas Piotrowski, CEO et co-fondateur d’ITrust.

ITtrust se rapproche alors de laboratoires de recherche pour développer un moteur d’analyse comportementale. Ce projet de R & D prendra huit ans et sera la base de l’offre Reveelium (lire encadré). Mais parallèlement, l’entreprise développe une solution d’automatisation de la gestion des vulnérabilités (IKare) qui lui permet d’obtenir ses premiers clients. La solution est toujours commercialisée aujourd’hui. A la tête de l’entreprise, le père et le fils Piotrowski sont rejoints

par David Ofer. Il renforce la stratégie commerciale de la startup et développe sa dimension internationale. Il est aujourd’hui Vice-Président. « Nous sommes très complémentaires. David se charge de nombreuses problématiques commerciales, ce qui me permet de me concerter davantage sur la R & D », explique Jean-Nicolas Piotrowski. Une décennie plus tard, ITrust commence à se faire remarquer dans le petit milieu de la cybersécurité. Ses solutions se distinguent par l’exploitation de briques d’IA, qui automatisent la surveillance de la sécurité des SI et aident les ingénieurs à déceler des failles ou menaces. « C’est l’alliance de l’humain et de l’IA qui rend nos solutions efficaces », précise cependant le responsable. Bien que précurseur, ITrust doit désormais compter avec une nouvelle génération de startups surfant sur la vague IA. « Nous avons trois ans d’avance techniquement et la majorité de ces nouveaux arrivants ne font pas réellement de l’IA. Dans le monde, nous ne sommes que cinq entreprises à proposer de véritables services de cybersécurité basés sur l’IA », assure-t-il. Pour faire évoluer ses algorithmes, ITrust doit les alimenter en nouvelles données. Pour cela, la PME va déployer au premier trimestre 2019 un « centre de recherche » en intelligence artificielle et cybersécurité. L’objectif est de travailler avec des partenaires de certaines filières, comme la santé, pour développer des solutions spécifiques à leur secteur. « Nos algorithmes seront encore plus efficaces avec ces données sectorielles », souligne-t-on chez ITrust.

Les valeurs du rugby sont une source d’inspiration pour le management d’ITrust.

Les schémas tactiques du rugby comme modèle

De l’avis de plusieurs collaborateurs, l’ambiance est plutôt « bon enfant » chez la PME toulousaine, même si leur travail est rigoureusement encadré. Par exemple, les horaires sont souples, mais dans une certaine limite. Les équipes SOC sont ainsi tenues de respecter les SLA (Service Level Agreement) prévus par les contrats clients, dont certains prévoient une surveillance « 24/7 ».

Dans l’après-midi, il y a la « transhumance » de certains développeurs vers le Babyfoot. « Mais la porte de la salle de repos est fermée, pour ne pas gêner les autres », explique un employé. Dans cette même salle de repos, un écran affiche d’ailleurs un « tableau KPI » qui présente les performances commerciales et techniques de l’entreprise. Et sur un mur adjacent on peut lire la mention : « Work hard Play Hard », juste à côté d’une PS3 et de la Nintendo Switch. Autant d’éléments qui rappellent que l’entreprise n’est tout de même pas une cour de récré ! « C’est une ambiance startup, mais avec des règles strictes », résume Manon Maillard, chargée du recrutement. « Elles sont énoncées dans une charte des valeurs et dans un texte, baptisé "modèle de jeu ", rédigé en collaboration avec des employés ». La charte des valeurs intègre notamment des notions incontournables pour une société de cybersécurité comme la confidentialité, l’intégrité, l’indépendance ou la transparence avec le client. Le « modèle de jeu » donne quant à lui des règles de travail et de « vivre ensemble » inspirées de tactiques terrains du rugby. Quelques morceaux choisis : « Le capitaine donne les consignes et ne doit pas avoir à les répéter » ; « Faire des erreurs est humain, l’enjeu pour des équipiers de qualité est de ne pas reproduire 2 fois la même erreur » ; « Pas plus de 3 passes : au-delà de 3 allers-retours par mail sur un sujet, en parler en direct ou par téléphone ». Comme dans de nombreuses startups, ITrust multiplie également les opérations de « team building ». Tous les mois, une soirée « IFun » est proposée. Au programme : apéro, restaurant ou même escape game. Des partages d’expériences, baptisés « IRex », sont aussi régulièrement organisés. A tour de rôle, les équipes présentent leurs projets, leur savoir-faire ou leurs réalisations.

Rester en Occitanie

Le centre de recherche d’ITrust aurait pu s’installer en Chine ou aux États-Unis. La PME hexagonale y a reçu des offres plutôt alléchantes. Columbus lui proposait 5 millions d’euros pour y implanter son centre. Les subventions de Shanghai grimpaient à 50 millions d’euros. Mais la Chine voulait accéder au code source des solutions. Et les États-Unis sont marqués par le Patriot Act et le Cloud Act. L’entreprise a donc préféré rester sur le centre économique de Labège, près de Toulouse, où son siège social occupe le dernier étage d’un immeuble. La PME dispose également d’un bureau international à Issy-les-Moulineaux et d’une représentation commerciale à New-York.

ITrust cherche aujourd’hui de nouveau locaux, toujours à Labège. Pourquoi tant d’intérêt pour ce site ? Outre des laboratoires de recherche, comme le CEA Tech Occitanie, Labège bénéficie d’un riche écosystème d’entreprises IT, souligne-t-on chez ITrust. Une rapide visite des alentours, en Camaro, permet d’apercevoir le siège de Sigfox, la tour de Thales Services ou encore le bâtiment hébergeant l’« IoT Valley », une communauté d’entreprises fondée en 2011.

La salle de détente avec l’ambiance « startup US » autour du classique babyfoot.

Des compétences, ITtrust en trouve sur place sans trop de difficultés, sauf pour certains profils multi-casquettes, comme des experts en sécurité, maîtrisant les technologies d’IA et disposant d’une connaissance générale de certains secteurs économiques. Un mix entre technique et business. « Devant la difficulté que nous avons à trouver ces profils, nous avons décidé de créer notre propre école, baptisée "AN21" pour "l’Académie numérique du 21ème siècle" », indique Jean-Nicolas Piotrowski. Le projet est mené en partenariat avec l’Esaip, école d’ingénieurs en informatique et prévention des risques d’Angers. L’école doit ouvrir ses portes à la rentrée 2019, toujours dans l’agglomération toulousaine, avec une première promotion prévue de 50 étudiants. « Nous allons former des ingénieurs avec la double compétence : cybersécurité et IA. Ils pourront aussi développer leur culture générale dans des domaines comme la santé, les télécoms ou l’administration publique. Ces profils représentent l’avenir de la cybersécurité », estime Jean-Nicolas Piotrowski. Et pour les garder chez ITrust, dont plusieurs ingénieurs ont été récemment débauchés par de plus gros acteurs : « Nous leur proposons de participer à un projet ambitieux, qui est de révolutionner la cybersécurité grâce à l’IA. Je suis passé par des grands groupes. Il est plus difficile de trouver un sens à son travail dans ces grosses structures. Ici nous développons une alternative aux produits traditionnels dont les éditeurs ne font plus le job ». Et d’ajouter d’un air complice : « Leur empire s’effrite et la Force est avec nous ».


LES DOMAINES D’ACTIVITÉ D’ITRUST

Evaluation du niveau de sécurité
Audit intrusif, PEN TEST (interne, externe), audit organisationnel de conformité (SSi, PSSi, EBIOS), audit de code, audit forensic (piratage informatique), accompagnement PSSI, PCA et PRA, LPM, RGPD, DPO, accompagnement certification ISO 20700x.

Automatisation de la gestion des vulnérabilités
Cette activité correspond à l’offre IKare. Cette solution intègre le monitoring réseau ainsi que la gestion et le contrôle des principaux facteurs de sécurité.

Protection par analyse comportementale
Cette activité correspond à l’offre Reveelium. Elle repose sur un moteur d’analyse comportemental qui va étudier les signaux faibles et les anomalies au sein du SI pour déceler les APT, virus et autres attaques inconnues.

SOC
ITrust propose une surveillance de la sécurité du SI, selon le principe du Centre de contrôle de sécurité, avec des SLA en 24h/24 et 7j/7. Le service est assuré par une équipe d’analystes qui vont prévenir, détecter et analyser les menaces, trouver des réponses aux éventuels incidents et également évaluer la conformité réglementaire du SI.


AURÉLIE GRELLIER, 35 ANS, RESPONSABLE D’AFFAIRES COMMERCIALES

Avec cinq ans dans l’entreprise, Aurélie est la plus ancienne collaboratrice d’ITrust. D’abord assistante de direction, elle a évolué vers l’activité commerciale. « Je n’ai pas stagné, c’est l’avantage des startups. On nous en demande beaucoup, mais on peut vite évoluer ». Le fonctionnement interne, elle l’a vu se structurer. « Au début, nous étions vraiment en mode startup, en travaillant jusqu’à 22 heures et en mangeant des McDo. Maintenant, il y a davantage de process. Et depuis trois ans, nous avons nommé des chefs d’équipes, que nous appelons "capitaines de jeu". C’est mieux. Mais je pense que l’on a préservé l’esprit de départ. Comme il est écrit sur le mur de la cafét’: "Work hard Play Hard". Je crois que c’est un bon résumé de notre état d’esprit ». ITrust est une société de cybersécurité en pleine croissance. Selon Aurélie, le « stress » est donc inévitable. « Nous n’avons pas le droit à l’erreur. Pas dans la cybersécurité. Cela génère bien entendu beaucoup de pression », souligne Aurélie. Mais les moments de détente, comme les soirées « IFun », sont justement là pour relâcher cette pression. Quant au mode de management : « Les dirigeants ont de fortes personnalités, ce qui plait ou pas. Mais la direction reste très accessible et ouverte aux propositions des collaborateurs, qui sont relativement nombreuses. En revanche, quand une décision est prise, on s’y tient. Comme l’indique notre modèle de jeu : "toute idée est discutable… mais toute décision prise est finale" ».


ITRUST EN CHIFFRES

2007 : création de l’entreprise

44 collaborateurs (dont 29 à Labège)

3 millions de CA en 2018

200 clients dont 47 grands comptes

3 bureaux : Labège, Issy-le-Moulineaux  et New-York. Plus des représentations via un réseau de partenaires franchisés au Canada, au Maroc, en Côte d’Ivoire, au Benelux et en Suisse.

Print
1580

x