Des paiements critiques aux opérations IT, Astran assure la continuité de vos fonctions vitales lors d’incidents majeurs grâce à la plateforme AlwaysReady®.

Pour en savoir plus : https://www.astran.ai

Interview de Yosra Jarraya - CEO & cofondatrice d’Astran

SDBR News : Créé en 2021 à Paris, Astran vient de décrocher le Prix de l’Innovation 2025 des Assises de la Cybersécurité qui viennent de se terminer à Monaco. Quelle est le métier de votre entreprise ?

Yosra Jarraya : Tout d’abord nous sommes très fiers et reconnaissants aux organisateurs des Assises de recevoir ce Prix de l’Innovation 2025. La spécialité d’Astran est de permettre aux grands groupes d'assurer leurs fonctions les plus critiques pendant une cyberattaque d'ampleur. Je vous donne un exemple : en ce moment même au Royaume-Uni, Jaguar a subi une cyberattaque majeure et le gouvernement anglais a dû se porter garant du fabriquant à hauteur de 2 milliards de dollars, pour payer leurs fournisseurs critiques, pour assurer leurs dépenses courantes et la continuité de l'entreprise pendant qu'elle est totalement bloquée. Ils n'ont plus de système d'information, ils ne savent plus où ils en sont, ils ne savent plus exactement ni qui ils doivent payer, ni combien ils ont de cash, ni ce qu'ils doivent livrer et à qui, etc. Donc l'Etat est intervenu à hauteur de 2 milliards, ce qui n'est pas une petite somme, pour pouvoir maintenir l’écosystème industriel dépendant de Jaguar, tous les sous-traitants, pour assurer la continuité des livraisons, la supply chain, etc.

SDBR News : Donc c’est dans ce type de contexte qu’Astran pourrait intervenir ?

Yosra Jarraya : C'est exactement pour éviter cette situation que nous pouvons intervenir. Tout le monde n'est pas Jaguar et toutes les entreprises n’ont pas le gouvernement anglais derrière elles. Une entreprise moins connue qui subit une telle mésaventure devra se débrouiller par elle-même. Vous me direz que dans une grande entreprise, disons de plus d'un milliard de chiffres d'affaires, on a déjà pensé à essayer d'éviter les cyberattaques, donc à se protéger du mieux qu'on peut, on a pensé à investir pour les détecter, on a pensé à investir pour reconstruire le système d'information… Mais a-t-on déjà pensé à se dire « que ferons-nous pendant les 8 à 12 semaines où nous n’aurons plus de système d'information pour maintenir au minimum nos opérations les plus critiques ? ». C'est ce qui se nomme « minimum viable company », c’est-à-dire la capacité à maintenir les opérations et les services essentiels de l’entreprise même après une cyberattaque. Ce n’est pas nous qui l'avons inventé, c'est le Gartner qui a théorisé cette notion.

SDBR News : Concrètement que doit faire l’entreprise ou l’organisation ?

Yosra Jarraya : C'est un mode dégradé où on se concentre sur l'essentiel. Donc on doit se dire « OK, si demain tout s'arrête, qu'est-ce qui ne doit jamais s'arrêter ? ». C’est le concept du minimum viable company : qu'est-ce qui doit continuer quand tout s'arrête ? Et c'est cela notre spécialité. Nous pouvons fournir un mini système d'information d'urgence dans lequel il est possible de modéliser des processus métiers, par exemple payer ses fournisseurs critiques. Mais la très grande originalité de notre système, par rapport à ce qui peut exister par ailleurs en continuité d'activité, c'est que nous sommes capables de stocker, de manière hautement disponible et sécurisée, les données dont le métier a besoin pour continuer à opérer. En reprenant le cas de Jaguar, si nous avions travaillé ensemble ils auraient eu leur processus métier pour payer leurs fournisseurs critiques, donc toutes les étapes de la validation jusqu'au paiement bancaire, mais ils auraient aussi eu toutes leurs données de facturation, toutes les données fournisseurs, les dates auxquelles les paiements doivent être faits, etc.

SDBR News : De quelle façon ?

Yosra Jarraya : Car c’est ce que nous récupérons de manière régulière des ERP* pour être capables, le jour d'une crise, d'être complètement indépendants du système d'information. Nous sommes déconnectés du système de l’entreprise, complètement disjoints du système d'information principal, ce qui fait que le jour où il y a un problème, il suffit de se connecter à Astran depuis n'importe quel ordinateur et on a accès alors à tout ce dont on a besoin pour opérer cette fameuse « minimum viable company », donc assurer certaines opérations critiques. Bien sûr cela nécessite d’avoir travaillé en amont, d’avoir défini les processus et synchronisé les données, d’avoir entraîné les équipes, tout ce qu'on peut faire avec notre plateforme AlwaysReady.

SDBR News : Si je comprends bien, vous évacuez régulièrement une copie de sauvegarde opérationnelle. Comment garantir qu’un virus ne passe pas dans votre sauvegarde ?

Yosra Jarraya : Parce que dans notre système, il n'est possible que d'ajouter des versions, il n'est pas possible de supprimer l'existant, de sorte qu'on ne peut pas nous même faire l'objet d'un ransomware qui rendrait indisponible la donnée chez Astran : la donnée ne peut que s'ajouter chez nous. C'est un système de sécurité que nous avons mis en place et breveté : un dispositif pour que les nœuds de stockage de la donnée ne soient pas une source d'attaque ou de faiblesse pour cette donnée. C'est ce qui fait aussi notre spécificité et je pense que c'est ce qui a permis le Prix Innovation du jury 2025. Donc ce n'est pas juste une solution de continuité, comme cela existe déjà. Notre vraie spécificité, c'est le dispositif sous-jacent que nous avons breveté et qui fait que les données, plutôt que d'être stockées directement chez un cloud provider, subissent des transformations cryptographiques : donc nous les encodons, nous les fragmentons et nous les distribuons sur plusieurs nœuds de stockage de clouds publics indépendants. Ce qui fait que si un ou plusieurs nœuds ne sont plus disponibles, la donnée chez Astran reste toujours disponible. Ce qui fait aussi qu'aucun des nœuds de stockage n'a accès à la donnée. Nous faisons un mix de tous les clouds publics qui existent, Européens comme Américains. Mais c'est le choix du client de savoir lesquels il veut et lesquels il ne veut absolument pas. Nous recommandons de faire un mix d'Européens et d'Américains pour qu'aucune coalition de clouds ne puisse permettre d'avoir accès aux données du client, ce qui permet d'assurer à la fois la résilience et la disponibilité, mais aussi d'être aux standards en termes de sécurité, de confidentialité et même de souveraineté de la donnée.

SDBR News : Est-ce un système breveté ?

Yosra Jarraya : Sur ce dispositif, nous avons déposé et obtenu deux brevets internationaux en Europe en 2024 et 2025. Nous venons de lancer la demande d’extension de ces brevets sur les Etats-Unis et le Canada. C'est ce qui fait que des grands groupes comme Eiffage, Sanofi ou Vinci vont nous confier des données assez critiques pour leur permettre de maintenir leurs activités en cas de cyberattaque majeure.

* Un système ERP (Enterprise Resource Planning) est un type de logiciel que les entreprises utilisent pour gérer leurs activités quotidiennes : comptabilité, achats, gestion de projets, gestion des risques et conformité, opérations de supply chain.