Security Defense Business Review

View Original

Interview d’Audrey Amedro - Co-fondatrice de Sesame it

L’interview d’Audrey Amedro a été réalisée à l’occasion du FIC 2023 qui s’est tenu à Lille

SDBR News: Encore une start-up et « Sesame it* » est déjà qualifiée comme une grande. Parlez-nous de votre parcours…

Audrey Amedro: Déjà 6 ans, dont 4 ans de R&D, que j’ai fondé, en 2017 avec Jérôme Gouy, « Sesame it » pour détecter les cybermenaces dans les flux réseaux. Nous venons de clôturer une première année profitable de commercialisation de notre solution Jizô et nous venons de réaliser une première levée de fonds de 10 millions d’euros, auprès d’investisseurs français reconnus pour leur engagement dans la souveraineté numérique : le fonds 115K de La Banque Postale et La Banque des Territoires (Caisse des Dépôts et Consignations), aux côtés de nos 2 investisseurs historiques, BNP Paribas Développement et Astorya VC.

SDBR News: Vous présentez une solution de « threat detection » (Jizô NDR), une de « threat risk intelligence » (Hoshi) et une de « threat deception » (Loki). Qu’est-ce que la « threat deception » ?

Audrey Amedro: Threat deception est une autre méthode pour détecter les attaques, c’est l’objet de notre solution Loki. Au lieu d’analyser les flux réseaux, nous regardons la composition du réseau et nous déployons un réseau de leurres, qui ressemble au réseau, pour attirer les attaquants dans les leurres, les piéger, les observer et apprendre de ce qu’ils font. C’est un genre de pot de miel en plus évolué. Hoshi se combine à Jizô NDR pour adapter la détection à vos risques propres, dans l’objectif de maximiser la performance de détection. L’équipe de Cyber Threat & Risk Intelligence (CTRI) qui développe Hoshi possède des connaissances de pointe dans l’évolution des nouvelles cybermenaces et des cyber-risques. Elle produit en continu des analyses de risques et des flux d’indicateurs de compromission qui sont implémentés dans nos scénarios de détection.

SDBR News: Vos solutions se nomment Jizô, Hoshi et Loki. D’où viennent ces noms ?

Audrey Amedro: Jizô et Hoshi sont des termes japonais : Jizô est une divinité japonaise protectrice des enfants ; Hoshi peut se traduire par étoile, mais aussi par clair et limpide. Loki est une divinité nordique qui est rusée, limite belliqueuse.

SDBR News: Revenons sur cette première année de commercialisation…

Audrey Amedro: Notre première année de commercialisation a été un vrai succès avec beaucoup plus de commandes qu’espérées. Nous sommes passés de zéro chiffre d’affaires, pendant la phase de R&D, à 10 millions de commandes en un an. Je gère l’entreprise en mode « mère de famille » depuis le début et nous nous sommes construits « à la dure » comme on dit. Lorsque j’ai été voir l’ANSSI la première fois, j’étais seule, face à des acteurs de premier rang comme Airbus et Thales, pour proposer de fabriquer cette sonde pour les OIV (Opérateurs d’Importance Vitale). Nous avons donc dû nous financer pour atteindre nos objectifs de développement technologique, aller chercher de l’argent mais aussi être très précautionneux sur nos dépenses. Nous avons vécu pendant 4 ans avec nos fonds propres, avec des prêts bancaires, avec des prix de concours d’innovation. Donc, chez Sesame it, nous avons la valeur de l’argent et nous avons l’ambition de continuer notre chemin avec ces valeurs. Plutôt que dépenser énormément pour une croissance espérée, voire hypothétique, nous préférons rester accrochés aux chiffres de nos ventes et à nos retours marché, et mettre des dépenses cohérentes en face.

SDBR News: Cela ressemble à des valeurs de bon sens, non?

Jizô

Audrey Amedro: Sûrement. L’objet d’une entreprise est de créer de la valeur, d’être rentable et de donner de l’emploi à des collaborateurs, et non d’injecter en permanence de l’argent extérieur.

SDBR News: Comment a démarré l’idée de Sesame it?

Audrey Amedro: En 2017, j’ai découvert le besoin de l’ANSSI d’avoir des sondes qualifiées pour la LPM (loi de Programmation Militaire). Venant des métiers de l’interception légale des communications et des sondes réseaux, nous savions répondre à ce cahier des charges. Pour les éditeurs connus, il y avait une difficulté à avoir un produit performant, adapté à la cybersécurité tout en respectant les exigences de sécurité de l’ANSSI. Nous avons donc tenté notre chance à développer cette sonde et à la faire qualifier par l’ANSSI, partant de l’idée qu’une fois qualifiée elle répondrait automatiquement à un besoin mondial, car le NDR** est un marché d’avenir. Entrant dans le catalogue de l’ANSSI, nous gagnerions une visibilité immédiate car les 250 OIV y verraient notre nom. Nous nous sommes accrochés à cette stratégie pour gagner 10 ans de marketing. Mais cela n’a pas été de tout repos, face à des compétiteurs qui ne faisaient pas de cadeaux et face à la crise Covid qui nous a fait perdre un an. Nous avons fini par avoir la qualification ANSSI fin 2021 et, dès cette annonce, nous avons commencé à vendre notre produit Jizô LPM, car les OIV nous attendaient sachant que la sonde Jizô installée chez le client est ultra-sécurisée.

SDBR News: Quels sont vos avantages concurrentiels face aux autres compétiteurs ?

Audrey Amedro: Au delà de notre prix transparent et compétitif (détail apprécié par nos clients…), notre solution embarque de réelles innovations technologiques, liées à notre IA, à de la contextualisation d’alerte en continu, à des capacités qui permettent aux opérationnels de comprendre plus vite ce qui se passe sur le réseau et de prendre des décisions plus rapides et plus sereines. Nous avons pensé Jizô pour rendre les équipes de sécurité plus performantes et je crois que cela se retrouve dans les retours de nos clients, dont nous écoutons les besoins et priorités pour continuer à innover. Nous avons déjà atteint la rentabilité et nous avons pu annoncer fin 2022 un EBITDA positif de près d’un million d’euros. Basée à Paris, la société compte aujourd’hui 40 collaborateurs et nous avons déjà convaincu des profils d’élite de nous rejoindre pour accompagner notre croissance. Nous aimerions être beaucoup plus nombreux, mais c’est difficile en ce moment alors que règne une sorte de guerre des talents. Nous prenons notre temps, car intégrer quelqu’un qui va nous quitter au bout de six mois ne nous intéresse pas. Nous nous sentons investis d’une vraie mission, celle de faire grossir Sesame it et d’en faire un leader de notre métier, avec de vraies compétences techniques, un beau développement et qui ne se repose pas sur ses lauriers.  

SDBR News: Pensez-vous déjà à vous diversifier ?

Audrey Amedro: Nous faisons face aujourd’hui à une vraie cyberguerre, avec des acteurs malins, très bien financés et qui ont de nouvelles idées chaque jour. C’est pourquoi nous devons nous remettre en question chaque matin et cela ne suffit pas forcément. Je ne pense pas qu’il faille trop se diversifier si on veut être très bon dans un domaine et le maitriser parfaitement. Qui peut prétendre en se diversifiant pouvoir prendre tout le marché de la cybersécurité ? Etre un bon leader sur la détection réseau nous accapare suffisamment face à une demande exponentielle : après l’avènement de l’EDR arrive celui du NDR et nous comptons bien en être un acteur majeur reconnu pour sa technologie.

*Rendez-vous pour plus d’informations sur https://sesame-it.com

**NDR : Network Detection & Response