L’interview a été réalisée à l’occasion du Forum INCYBER 2026

SDBR News : Vous êtes CEO de la société Scovery. Quel est le métier de Scovery* ?

Thomas Gayet: Scovery est une plateforme de cyber-notation, qui a été fondée en 2023 par 4 associés, tous travaillant dans la cybersécurité depuis plus de 20 ans. Nous essayons de travailler en bonne intelligence parce que nous nous sommes retrouvés autour d'une logique d’affectio societatis.

Scovery est née de beaucoup de choses, mais notamment de certaines frustrations que j’ai eues lors des centaines de missions de réponse à incident que j’ai pu mener précédemment, que ce soit dans de grands groupes, dans des PME ou dans des ministères : nous étions capables de prédire un peu à l'avance qu'ils allaient se faire pirater.

SDBR News : Pourquoi ?

Thomas Gayet: Simplement en observant le risque de cybersécurité de l’entreprise exposée sur Internet. Donc, nous avons traduit cela à travers une logique de cyber-notation. Notre métier consiste donc à identifier la surface d'attaque des entreprises exposées sur Internet, avec une grande précision.

Nous tendons vers zéro faux positif sur ce sujet, ce qui est assez rare. Ensuite nous venons évaluer, scorer, dans une logique de notation extra-financière.

SDBR News : Comment établissez-vous ce score de l’entreprise ?

Thomas Gayet: Chez Scovery, nous scorons de 100 à 900, en classe de F à A. Ce que nous avons observé au fil du temps, c'est que les sociétés de rang F, pour nous,  présentent dix fois plus de risques d'intrusion majeure que les sociétés de rang A. Donc nous permettons à nos clients, d’une part de reprendre le contrôle de leur surface d'attaque mais également d'avoir une visibilité complète sur la surface d'attaque de leurs fournisseurs. Nous nous inscrivons aujourd’hui dans la logique du TPRM (Third Party Risk Management) et de la posture des fournisseurs de la supply chain : ce qui, comme vous le savez,  a beaucoup de sens dans le monde de la Défense, avec la BITD et sa chaîne de sous-traitance assez importante.

SDBR News : Est-ce que ce scoring de l’entreprise est public?

Thomas Gayet: Nous publions régulièrement des baromètres pays sur un site gratuit d’accès, le World Cyber Ranking : https://rank.scovery.io

Sur ce site, en consolidant 4 millions d'entreprise aujourd'hui, nous présentons une carte du monde avec les postures des pays. Nous consolidons ces postures sous forme de zone géographique, de pays par zone géographique, et sous forme de secteur d'activité. Et nous permettons à chacun de venir trouver son entreprise et son cyberscore. Nous faisons aussi des observatoires sur des thématiques.

SDBR News : Comment travaillez-vous pour arriver à ces résultats?

Thomas Gayet: Chaque mois, nous collectons, nous générons et nous acquérons de gros volumes de données brutes - de l'ordre de 15 Téraoctets – que nous réconcilions dans une base qui repose sur la théorie des graphes : c'est le type de technologie qui existe au cœur des réseaux sociaux.

Ce faisant, nous construisons chaque mois un jumeau numérique de l'Internet des entreprises à l’échelle mondiale, jumeau numérique qui comporte plus de 12 milliards d'actifs en surveillance.

Ensuite, à partir d'un point d'entrée réputé appartenir à une entreprise, nous venons détourer avec une grande précision le périmètre qu'elle expose sur Internet et les vulnérabilités qui y sont associées. C’est sur cette base que nous établissons ensuite le cyberscore.

SDBR News : Et vous trouvez un écho favorable auprès des entreprises?

Thomas Gayet: Oui, nous trouvons un écho assez favorable parce que nous avons travaillé sur la qualité des périmètres, ce qui est apprécié par nos clients. Par ailleurs, nous sommes un acteur souverain et il n'y en a pas beaucoup dans ce domaine : l’intégralité des données métier est hébergée en France. Aujourd'hui, il y a principalement des acteurs de la cyber-notation aux États-Unis et cela commence en Asie. Nous souhaitons être un acteur de référence en Europe sur cette thématique.

Parce que, qu'on le veuille ou non, la culture se traduit forcément dans la façon de noter et d'évaluer. C'est tout à fait inhérent, nous avons tous des biais culturels qui vont se traduire aussi dans ces approches. Et donc, nous voulons être représentant d'une certaine posture européenne sur le sujet.

SDBR News : Quel est le modèle économique de Scovery?

Thomas Gayet: Ce que nous vendons, c'est l'accès à un portail en mode SaaS. Il n'y a aucune configuration pour les clients à faire. Il leur suffit de déclarer les entreprises qu'ils veulent surveiller. Et, à partir de là, nous entrons dans une logique de contrôle permanent de l'entreprise et nous allons la scorer sur la durée. C'est aussi simple que cela. Pour un client qui a aujourd'hui 150 fournisseurs, nous allons lui permettre de surveiller ses 150 fournisseurs via le portail. Simple ! Nous allons lui offrir de prendre un abonnement dépendant du nombre de sociétés surveillées. La plupart du temps, nous les avons déjà en portefeuille puisque nous surveillons 4 millions d'entreprises aujourd'hui.

SDBR News : Quelle est la finalité de cette surveillance?

Thomas Gayet: Nous répondons évidemment à des besoins de cybersécurité pour des RSSI. Nous répondons également, dans des opérations de fusion-acquisition d'entreprises, à des besoins de « cyber due diligence ». Donc, nous avons dans nos utilisateurs à la fois des RSSI, des CFO, des directions d’achats, des fonds d'investissement, etc.

L’objectif de Scovery est de les aider à prendre des décisions éclairées via l'éclairage du cyberscore.

Nous proposons également du « Professional Services », pour accompagner les entreprises dans la définition de leur politique de surveillance des tiers, qui doit répondre aux obligations de DORA et de NIS2 par exemple ; pour les aider dans l'animation des relations entre eux et leurs fournisseurs ; ou pour aider les comités de suivi de l'avancement de la correction des vulnérabilités. Donc, il y a vraiment toute une gamme de services qui s'adjoint à la solution de base.

*https://www.scovery.com