ÉGÉRIE : la nouvelle égérie de la cyber !

Depuis près de 20 ans, deux anciens ingénieurs du groupe Bull partagent une vision commune autour de la sécurisation du SI via l'analyse des risques cyber. Une vision qui les a menés à créer EGERIE, première entreprise à recevoir aujourd'hui le label EBIOS de l'ANSSI. Retour sur cette pépite toulonnaise à la réputation conviviale, portée par deux capitaines qui entendent continuer à « mouiller le maillot » aux côtés de leur équipe.

La convivialité. Ce vocable résume aussi bien l'ambiance régnant dans les locaux d'EGERIE que le principal axe de développement de son produit phare : "Risk Manager". Cette plateforme de pilotage des risques cyber évolue progressivement de l'outil technique pour RSSI vers une solution accessible au plus grand nombre, notamment les dirigeants. Son interface est donc de plus en plus intuitive et conviviale.

Et lorsque l'on entre dans les locaux de cette PME, c'est également la convivialité qui est au rendez-vous, avec une direction et une équipe souriantes, qui semblent manifestement épanouies dans leur travail. « Nous avons la réputation d'être une entreprise conviviale. Jean et moi sommes heureux d'avoir fondé cette entreprise et de venir y travailler chaque jour. Et je crois que cela se transmet à nos collaborateurs, mais aussi à nos partenaires et clients », explique Pierre Oger, qui co-dirige l'entreprise avec Jean Larroumets, occupant respectivement les postes de VP Sales et CEO.

Situés au deuxième étage d'un très chic immeuble haussmannien, non loin de la gare de Toulon (83), les locaux d'EGERIE arborent un design très industriel, avec poutres métalliques et béton ciré au sol. Mais le plus frappant reste l'îlot central, à l'entrée d'un open space de 100 m2, qui fait office de lieu de restauration et de détente. Cet îlot est le point de rassemblement des équipes. Pas de salle de repos avec consoles de jeux et baby-foot, pas de cafète… tout se passe ici, dans cet espace ouvert. « Cela est représentatif de la manière dont nous organisons l'entreprise. Tout le monde peut parler avec tout le monde, et être force de proposition. Nos solutions sont issues d'un travail collaboratif entre la R & D, les commerciaux, l'avant-vente et le marketing. Ils ont chacun leur mot à dire dans l'orientation des développements », confie Jean Larroumets. L'équipe dirigeante participe également aux débats techniques. « Nous sommes tous les deux des ingénieurs de formation et restons donc très impliqués dans le développement des solutions », souligne Pierre Oger.

Un duo de 20 ans !
L'histoire d'EGERIE est celle d'une collaboration entre deux anciens ingénieurs du groupe Bull, qui mènent un projet commun depuis près de 20 ans. « Travailler en binôme est une force. En tout cas, cela fonctionne pour nous. Nous avons tous les deux beaucoup d'idées et nous les structurons grâce au débat. Nous acceptons d'être contredits par l'autre, dans un esprit de respect mutuel. C'est en confrontant nos idées que nous avançons », poursuit Pierre Oger. « Nous échangeons très régulièrement, avec parfois de vifs débats mais toujours dans une démarche positive et avec bienveillance », précise en souriant Jean Larroumets.

La rencontre a lieu à la fin des années 90, au sein de la cellule cybersécurité du groupe Bull. Jean travaille sur des firewalls et Pierre sur des outils de cryptologie. Ils partagent alors un même constat : les outils de sécurité classiques, basés uniquement sur la protection du SI, ne suffisent plus. Les entreprises doivent anticiper les risques auxquels elles sont confrontées, en identifiant des scénarios d'attaques, afin de développer une véritable stratégie de sécurité. Cette gestion de la cybersécurité par les risques est alors très novatrice. Peut-être un peu trop pour le groupe Bull. « Nous leur avons proposé de créer une cellule interne dédiée au conseil en cybersécurité, avec cette démarche autour de la gestion des risques. Mais ce n'était pas le bon moment pour le groupe, car il traversait une phase difficile », se souvient Jean Larroumets.

Convaincus du potentiel de leur approche, les deux acolytes décident alors de voler de leurs propres ailes. Ils créent en 2002 le cabinet Fidens, dédié au conseil, à l'audit et à la formation autour de la cybersécurité. Trois ans plus tard, Jean Larroumets est le premier auditeur certifié en France sur le standard ISO27001 (BS-7799), qui intègre justement cette notion de pilotage de la sécurité IT par les risques. Leur approche séduit rapidement plusieurs grands comptes, dont Thales, la Société Générale, Orange ou le ministère de l'Intérieur. « Ces structures avaient le niveau de maturité suffisant pour comprendre l'intérêt d'anticiper les risques de sécurité, de localiser les vulnérabilités des systèmes et surtout : de savoir combien leur coûterait un incident », se rappelle Pierre Oger.

Bien que Fidens enregistre une croissance honorable, les deux hommes font un nouveau constat : le pilotage par les risques reste très consommateur en ressources humaines. À mesure que les SI gagnent en complexité, il faut toujours plus de consultants et d'experts en sécurité pour analyser les risques et construire les scénarios. « L'humain seul commençait à atteindre ses limites. Il lui fallait des outils pour l'accompagner dans sa tâche. Nous avons donc cherché à développer une solution technique automatisant certains process. C'est ainsi que nous avons réalisé, en 2013, la première version de notre plateforme Risk Manager qui était d'abord un outil interne », indique Jean Larroumets. La solution est bâtie autour d'un « moteur d'analyse » exploitant des bibliothèques recensant les nombreuses possibilités de vulnérabilités et d'attaques. Elle peut ainsi « auto- diagnostiquer » la sécurité du SI afin de prédire et calculer les risques réels, présentés sous la forme de rapports et autres graphiques. Ensuite, l'utilisateur peut planifier et suivre l'ensemble des mesures de sécurité mises en place, au sein du même outil. Il dispose ainsi d'une vue complète sur l'exposition du SI et son niveau de protection.