X
Christophe Guillemin / mercredi 17 juillet 2019 / Thèmes: Hexatrust

Rohde & Schwarz Cybersecurity : l’esprit d’équipe au cœur de l’innovation

Au coeur d'Hexatrust (9)

Rachetée en 2017 par le groupe allemand Rohde & Schwarz, la pépite française DenyAll entend garder son « âme » d’entreprise innovante à taille humaine. Innovation, esprit d’équipe, agilité… telles sont les valeurs défendues par cette PME devenue « Business Unit ». Et grâce à l’assise financière de Rohde & Schwarz elle entend aujourd’hui accélérer sa croissance pour s’imposer comme un leader européen de la cybersécurité.

La grande salle de réunion dispose d’un écran Surface Hub de Microsoft pour les visioconférences avec Montpellier et l’Allemagne.

Calme et sérénité. Ce sont les premiers mots qui viennent à l’esprit pour définir l’ambiance régnant dans les locaux de Rohde & Schwarz Cybersecurity SAS. Situés dans une zone d’activité de Meudon (92), ses bureaux sont flambant neufs suite à de récents travaux. Rien ne dépasse, ou presque, dans cet étage de plus de 600 m2 où la veste de costume est bien plus courante que le T-Shirt. Seules quelques figurines Star Wars, des ballons sièges et un palmier gonflable accroché au plafond apportent une note « Geek » à cette ambiance plutôt studieuse. « Il y a surtout des équipes commerciales ici, qui se rendent en clientèle, donc l’ambiance est forcément moins décontractée qu’à Montpellier où nous avons nos principales équipes de développement. Mais je ne porte que rarement la cravate ! », lance en souriant : Stéphane de Saint Albin, patron de Rohde & Schwarz Cybersecurity SAS.

Cela fait un an que ses équipes ont emménagé dans l’immeuble meudonnais de Rohde & Schwarz (R&S). Ce groupe allemand, fondé il y a plus de 80 ans, s’est d’abord spécialisé dans les outils de tests et de mesure, notamment pour l’électronique industrielle. Il commercialise également des solutions de transmission des contenus audiovisuels ainsi que des produits de communications sécurisées pour l’aérospatial et la défense.

En 2017, Rohde & Schwarz a décidé de se diversifier dans la cybersécurité en rachetant plusieurs entreprises innovantes. Parmi elles : la pépite française DenyAll. Présente depuis 20 ans sur le marché de sécurité applicative, cette PME a construit sa notoriété sur sa solution WAF (Web Application Firewall ou Pare-feu pour Applications Web), domaine dans lequel elle fut un des pionniers mondiaux.

 

Rappelons le principe du WAF : un pare-feu dédié aux applicatifs placé en frontal du serveur web qui va filtrer les requête HTTP / HTTPS et les modèles de trafic. « Le WAF est une solution complémentaire au firewall réseau classique. Le pare-feu réseau filtre l’accès au SI et le WAF surveille ce qui se passe à l’intérieur », résume Edouard Viot, Product Manager. La solution se distingue notamment par un système évaluant la réputation des utilisateurs, avec un niveau de confiance noté sur 100. Ce calcul prend en compte la manière dont l’utilisateur accède et utilise l’application (méthode d’authentification, pages visités, temps écoulé, géolocalisation, tentatives d’attaques, etc). Il intègre également des éléments de contexte comme la réputation de l’adresse IP utilisée pour se connecter. Si le niveau de réputation d’un l’utilisateur descend en dessous d’un certain seuil, son accès peut être automatiquement bloqué, selon la politique de sécurité fixée par le client. « Notre approche par scoring reste unique sur le marché », souligne Edouard Viot.

Les locaux de Rohde & Schwarz accueille les anciennes équipes de DenyAll depuis un an.

Une transition en douceur

Le passage sous le giron de Rohde & Schwarz n’a pas entraîné de vague de départ au sein de la cinquantaine de collaborateurs de DenyAll. « Cela a été plutôt bien vécu et la transition s’est faite en douceur. Nous profitons désormais de l’assise financière de Rohde & Schwarz et nous avons étoffé notre catalogue produit grâce à certaines de leurs technologies, notamment dans le domaine de la sécurisation des échanges de fichiers de plateformes collaboratives, le chiffrement des flux réseaux ou la protection de la navigation web. Commercialement, cela nous ouvre de nouveaux horizons », confie Alexis Zourabichvili, commercial grand compte (lire plus bas).

Stéphane de Saint Albin confirme l’absence de « choc culturel » lors du rachat de son entreprise. « Rohde & Schwarz Cybersecurity s’est construit depuis 2017 grâce à l’acquisition de diverses sociétés telles que Sirrix, GateProtect ou DenyAll. Nous ne sommes donc pas arrivés dans une structure déjà ancienne et établie, avec ses process, sa stratégie, etc. Rohde & Schwarz Cybersecurity s’est construit avec nous. Nous avons justement passé les 12 derniers à nous structurer. Aujourd’hui, nous travaillons en étroite collaboration avec des équipes de R & D allemandes, dont j’ai également la direction en tant que "VP Business Unit : Application and Cloud Security", qui est mon autre casquette. Il y a aussi une seconde business unit, sous-direction allemande, dédiée à la sécurité du poste de travail, des appareils mobiles et du chiffrement réseau. Ces deux BU forment Rohde & Schwarz Cybersecurity ».

Stéphane de Saint Albin, Président de Rohde & Schwarz Cybersecurity SAS.

De la Société Générale à Rohde & Schwarz Cybersecurity

À l’origine, DenyAll est une spinoff de la Société Générale. À la fin des années 90, une équipe interne développe un pare-feu permettant de sécuriser les applications financières. En 2001, la Société Générale décide de commercialiser cette solution innovante auprès d’autres banques. Elle crée pour cela une structure externe, qui prendra le nom de DenyAll en 2003, avec le soutien des fonds Truffle Capital et Omnes Capital (alors baptisé Crédit Agricole Private Equity). « La solution se présentait alors sous la forme d’un toolkit de sécurité. Ce n’était pas encore un produit standardisé », indique Stéphane de Saint Albin.

Dans les années 2000, l’entreprise va se structurer et la solution gagner en maturité. En 2011, soit dix ans après la création de l’entreprise, la solution de DenyAll protège plus de 30 000 applications Web, Web Services SOAP/XML et serveurs FTP à travers le monde. Elle est sortie du secteur bancaire et intéresse désormais des acteurs de l’énergie, des télécoms, des transports ou même du secteur public. Pour renforcer sa croissance, la PME étoffe son équipe dirigeante et accueille Stéphane de Saint Albin au poste de Directeur Marketing & Business Development.

« J’avais auparavant travaillé pour Microsoft, Symantec et 4D, en Europe et aux Etats-Unis. Je voulais quitter ces grands groupes et me positionner sur le secteur de la sécurité applicative qui était en train de décoller. J’ai hésité entre deux entreprises : Beeware et DenyAll. J’ai finalement choisi la seconde, car elle me semblait plus prometteuse. Mais déjà, j'avais en tête un regroupement de ces deux acteurs évoluant sur le même marché », se rappelle le dirigeant.

Ce rapprochement aura lieu deux ans plus tard. En mai 2014 : DenyAll rachète ainsi son concurrent Beeware. Une opération qui ne se fera pas sans certaines difficultés. « Les équipes commerciales ont eu du mal à collaborer, car c’étaient d’anciens concurrents. Cela a entraîné de nombreux départs », indique Stéphane de Saint Albin. « Ce fut effectivement une période très complexe pour les commerciaux, mais côté R & D en revanche, le rapprochement a été plus facile », se souvient un développeur présent depuis 13 ans dans l’entreprise.

Pendant les années suivantes, les produits de DenyAll et de Beeware vont converger. Le principe étant d’exploiter la plateforme Beeware et d’y ajouter les moteurs de sécurité de DenyAll. En 2017, la société cherche un repreneur, sous l’impulsion de ses investisseurs qui souhaitent mieux valoriser leurs actifs. « Nous avons eu quatre ou cinq propositions sérieuses. Mais Rohde & Schwarz était la seule émanant d’un groupe européen. Cela a pesé dans la balance, car nous nous sommes construits sur l’idée que nous étions capables de faire aussi bien, si ce n’est mieux, que des sociétés américaines. Etre finalement racheté par l’une d’entre-elles aurait été très sans doute moins pérenne », poursuit Stéphane de Saint Albin.

Préserver la cohésion et l’esprit d’équipe

Aujourd’hui, Rohde & Schwarz Cybersecurity pour la BU Cloud & Application Security ne compte plus aucun membre de l’équipe initiale de DenyAll. « Je suis la troisième génération de dirigeant », indique Stéphane de Saint Albin. Ses effectifs se sont étoffés pour atteindre la cinquantaine, avec une trentaine de collaborateurs à Meudon, 25 à Montpellier et plus d’une vingtaine de développeurs et commerciaux en Allemagne.

Pour maintenir « la cohésion et l’esprit d’équipe », la société mise sur un management très participatif. La porte du bureau du patron reste ainsi toujours ouverte, sauf en cas de réunion. « Nous devons rester une structure agile et je dois rester un dirigeant accessible ».

Les locaux disposent également de cinq salles de réunion, plus ou moins grandes, pour favoriser le « brainstorming » et les échanges. La plus grande salle de réunion intègre un écran géant Microsoft Surface pour réaliser les visioconférences avec Montpellier et l’Allemagne. « Nous capitalisons sur un maximum de participation des salariés aux projets, y compris en ce qui concerne l’évolution technique de nos solutions. Cela prend la forme d’ateliers participatifs, auxquels sont conviées l’ensemble des équipes, de la R&D aux commerciaux, en passant par le marketing », explique Edouard Viot. « En 2018, nous avons par exemple établi une roadmap de nos évolutions techniques pour l’horizon 2020. Elle s’est faite en collaboration avec tout le monde ».

 Cet « esprit d’équipe » est un peu l’héritage de DenyAll, expliquent les salariés. « Nous sommes très soudés. Cela date de DenyAll et perdure toujours aujourd’hui », indique ainsi une chargée d’administration des ventes et des évènements internes. « Nous continuons régulièrement à aller boire un verre à nos anciens locaux de Sèvres. Nous nous retrouvons également une fois par an pour un kickoff meeting qui mêle travail et détente, avec les équipes de Montpellier. En 2017, nous sommes allés faire du ski à l'Alpe d'Huez et en 2018 du Segway dans Paris. En 2019, nous allons continuer d’organiser ces moments de convivialité qui sont essentiels ».

La direction entend également favoriser cet esprit d’équipe par un management basé sur la cohésion et non la compétition. « J’ai travaillé dans des grosses entreprises américaines dont le management possède des avantages et des inconvénients. J’ai gardé la pression de la rentabilité, même si elle est moins forte depuis le rachat par Rohde & Schwarz. Mais nous évitons la compétition entre les équipes ou les collaborateurs, pour créer plutôt une émulation. Vous ne trouverez pas de tableau comparatif avec les performances de chacun. Il n’y a pas ce côté presse-citron que l’on peut parfois observer dans des grands groupes anglo-saxons », souligne Stéphane de Saint Albin.

IA et API :  l’avenir du WAF

Pour 2019, le premier objectif de Rohde & Schwarz Cybersecurity sera de consolider sa présence en Allemagne. La société prévoit également de poursuivre son internationalisation en dehors de l’Europe. Mais en développant sa force de vente à distance, depuis la France et l’Allemagne. « Nous sommes présents dans 35 pays et réalisons aujourd’hui un tiers de notre chiffre d’affaires en dehors de l’Hexagone, notamment aux États-Unis. Une fois que nous aurons consolidé notre capacité de vente depuis l’Europe, nous envisagerons d’investir localement ». Techniquement, la solution va bien entendu continuer d’évoluer. « Nous travaillons notamment sur la sécurité des API qui devient incontournable dans les applications Web », explique Edouard Viot. « Certaines familles de vulnérabilités qui existent sur un site web (comme XSS) n’existent pas sur les API, par contre les SQL injection peuvent concerner à la fois les sites web et les API, qui doivent aussi être sécurisés. Nous intégrons déjà une gestion des API en option dans nos solutions. Nous envisageons de proposer un produit spécifique autour de ces API. Il pourrait s’adresser aux équipes Devops, qui sont de plus en plus nos interlocuteurs, en parallèle du RSSI ». Autre évolution : l’exploitation grandissante des technologies issues de l’intelligence artificielle (IA). « L’IA va prendre une part de plus en plus importante dans les solutions WAF afin d’améliorer la performance des algorithmes mathématiques historiques. L’IA est par exemple le meilleur moyen de réduire les faux positifs ».

Pour Rohde & Schwarz Cybersecurity, l’année 2019 s’annonce donc riche en enjeux techniques et business. Mais à l’image de l’ambiance régnant dans ses locaux, la direction française affiche calme et sérénité. « Nous sommes une entreprise mûre, bénéficiant de 20 ans d’expérience et désormais d’une forte assise financière grâce à Rohde & Schwarz. Notre challenge : c’est la croissance, afin de nous imposer comme un leader européen de la cybersécurité. En France comme en Allemagne, nous sommes convaincus que cette ambition est aujourd’hui à notre portée », conclut Stéphane de Saint Albin.

Les locaux flambant neufs de Rohde & Schwarz Cybersecurity SAS sont répartis sur un étage complet de plus de 600 m2.


LES DOMAINES D’ACTIVITÉ DE ROHDE & SCHWARZ CYBERSECURITY SAS

WAF applicatif (R&S Web Application Firewall) : protection des applications web internes, sites web publics et API. Sécurisation contre tous types d’attaques, y compris les attaques automatisées (robots). Déploiement on-premise et en mode cloud hybride/multi-cloud. Existe aussi en version allégée et uniquement en mode SaaS, pour protéger par exemple un site Web institutionnel (R&S Cloud Protector).

Protection des données dans les Clouds publics (R&S Trusted Gate) : sécurisation des clouds publics et des outils collaboratifs, en conformité avec les exigences relatives à la protection des données, notamment le RGPD. Optimisation de l’infrastructure par la mise en miroir virtuelle sur site ou en multi-cloud. Existe aussi en versions spécifiques pour SharePoint ou Office 365, ainsi que pour le chiffrement de données (R&S Trusted Gate - Secure Data Room et R&S Trusted Gate - Data Diode).


ALEXIS ZOURABICHVILI, 25 ANS, COMMERCIAL GRANDS COMPTES SECTEUR INDUSTRIE ET SERVICES

En 2018, Alexis a été embauché après trois années en contrat d’alternance avec l’école de commerce Euridis Business School. « À l’origine, ce qui m’avait séduit chez DenyAll était sa solution innovante ainsi que sa structure à taille humaine où régnait un esprit start-up », explique-t-il. Lors du rachat par Rohde & Schwarz, il n’a jamais pensé à quitter l’entreprise. « Nous avons gardé une grande autonomie et il n’y a pas eu de coup de pression. Par ailleurs, cette opération nous a ouvert de nouvelles perspectives commerciales et l’assise financière de Rohde & Schwarz va nous permettre d’accélérer les développements techniques de nos solutions ». Sur l’ambiance, plutôt éloignée des poncifs de certaines jeunes pousses : « Cela est moins hypocrite. Nous sommes ici pour travailler. Cela n’empêche pas d’avoir une équipe soudée et de partager des moments de convivialité comme les KickOff annuels ». Enfin, il apprécie le management participatif mis en place par la direction. « Je participe concrètement à l’évolution technique des produits. Je ne fais pas que les vendre. C’est pour moi un gage de confiance et de reconnaissance de mes compétences IT », conclut-il.


ROHDE & SCHWARZ CYBERSECURITY SAS EN CHIFFRES

  2017 : création de l’entreprise (2001 pour DenyAll).

  55 collaborateurs.

  600 clients dans 35 pays.

  Bureaux : Meudon, Montpellier, Allemagne, Espagne et bientôt Benelux.

Print
813

x