Les dangers d’une extrême concentration des fournisseurs de solutions de cybersécurité

Après Ping Identity puis Sailpoint, tous deux spécialisés dans la gestion des identités et des accès (IAM), Proofpoint pour la sécurité des messageries, Sophos pour la protection endpoints et réseaux, Imperva ou encore Veracode pour la protection applicative, c’est au tour de Darktrace de passer dans le giron de Thoma Bravo, société d’investissement américaine. À ces acquisitions de fleurons de la cyber, s’ajoutent au palmarès de Thoma Bravo une série de rachats comme Barracuda, Blue Coat, Entrust, ForgeRock, Illumio, LogRhythm ou encore Sonicwall pour les plus connus.

Lorsque l’on examine de près ce portefeuille, on observe que cette tendance d’acquisitions vise à couvrir tout le spectre de la cybersécurité.

Si l’on a l’habitude de s’inquiéter à juste titre, du monopole exercé par les Gafam sur le numérique, on serait bien avisé de se pencher sur la domination croissante de Thoma Bravo dans le secteur hautement sensible de la cybersécurité. En concentrant autant de solutions sous un seul acteur, cela entraîne un phénomène prévisible d’augmentation des coûts une fois la concurrence éliminée (on a tous en tête le précédent de Vmware), mais surtout, tous les flux sensibles des activités digitales des entreprises mondiales vont être entre les mains d’un unique acteur.

Nous savons que les solutions de cybersécurité actuelles, pour la plupart en mode Saas, sont de plus en plus intrusives. Elles ont, by design, une visibilité importante sur les actifs qu’elles protègent, et une capacité d’action sur ces systèmes d’information (SI) à travers des fonctions de blocage, filtrage, mise en quarantaine, modification des accès, ou simplement parce que ce sont des composants placés sur un chemin critique qui ouvre l’accès au SI. L’ensemble de ces solutions acquises par Thoma Bravo fait ainsi de ce fonds un acteur stratégique dont les décisions pourront avoir un impact important.

Cela concerne les flux réseau, les flux applicatifs, les mails, les flux Internet, … Ce ne sont certes pas directement les données d’entreprises comme celles stockées chez les Gafam qui seront aux mains de Thoma Bravo, mais peut-être pire encore, tous les flux sur les usages de millions de salariés d’entreprises.

Le second sujet d’inquiétude porte sur l’évolution de ces solutions en général. Les solutions de cybersécurité ont besoin de bénéficier constamment d’une forte dynamique d’innovation, pour pouvoir faire face à une menace cyber qui évolue rapidement. Il est très important que les efforts de maintenance, de sécurité, de R&D et d’agilité dans le domaine de la cybersécurité ne soit pas freinés par la politique de haute rentabilité à court terme d’un fonds d’investissement, car cela entraîne inévitablement une hausse des vulnérabilités.

De nombreuses entreprises évitent de dépendre d’un seul fournisseur de cybersécurité et se retrouvent finalement piégées par ces acquisitions successives.

La croissance rapide du secteur devrait encore accentuer cette pression sur le marché européen. Ce phénomène fragilise la capacité de l’Europe à protéger ses intérêts stratégiques et accentue encore sa dépendance technologique vis-à-vis des acteurs étrangers. Un frein supplémentaire pour développer une cybersécurité souveraine et indépendante.

75% des répondants à une enquête Cesin, réalisée en mai 2024 auprès de ses membres, se déclarent inquiets de cette concentration de solutions.

C’est pourquoi le Cesin appelle les pouvoirs publics mais aussi les entreprises à prendre conscience des risques de cette extrême concentration. L’offre cyber “made in France” reste encore heureusement diversifiée et indépendante et peut, dans certains cas, offrir une alternative… mais dans un contexte où les grandes acquisitions étrangères se multiplient, il est nécessaire de se demander pour combien de temps.

L’Europe doit agir de manière proactive, à la fois pour protéger ses organisations et garantir une cybersécurité indépendante et robuste, et pour permettre à l’innovation de pouvoir rivaliser. Il est essentiel de mettre en place des mesures adaptées pour prévenir la dépendance involontaire et sécuriser les infrastructures critiques face à des menaces croissantes.