Ces dernières années l’ont montré, les actifs industriels sont devenus une cible de choix pour les hackers, qu’il s’agisse de malfrats ou d’Etats. Pour faire face à ce besoin dans la cybersécurité industrielle, Holiseum propose une offre de consulting et de mise en œuvre globale. La société s’appuie notamment sur les solutions du consortium Hexatrust.
Consacrée au “Secure by Design”, l’une des tables rondes de l’université d’été d’Hexatrust a vu la participation de Faiz Djellouli, cofondateur et président d’Holiseum. Le nom de cette startup ne vous dit sans doute rien car elle a été créée en juillet dernier. Pourtant, ce projet a grandi depuis 3 ans au sein d’Engie.
Un projet d’intraprenariat
« Pendant une dizaine d’années chez Engie, j’ai occupé divers postes en cybersécurité » confie Faiz Djellouli. « Consultant, puis RSSI d’une Business Unit, s’est présentée à moi l’opportunité de créer une nouvelle structure chez Engie sous la forme de l’intrapreunariat. Il s’agissait de créer un centre de services partagés en cybersécurité pour le groupe dont la vocation est d’apporter de l’expertise dans la sécurisation des actifs industriels du groupe sachant que toutes ces entités du groupe n’ont pas la masse critique pour disposer de leurs propres ressources en cybersécurité. » Dans cette structure, le responsable a été amené à diriger plus de quarante consultants internes ou externes, jusqu’au moment où il décide, avec quelques associés, de créer une startup.
Un acteur positionné sur la cybersécurité industrielle
La startup, créée en juillet dernier, va donc valoriser ces compétences en dehors du groupe Engie. Son premier client est un autre géant français de l’énergie. Néanmoins, Faiz Djellouli, souligne que les compétences d’Holiseum vont bien au-delà de ce seul secteur de l’énergie : « L’activité d’Engie est très diversifiée et ne se limite pas à l’énergie. Les SI industriels sont tous assez proches les uns des autres et 80% des solutions mises en œuvre sont communes. Nous avons développé des expertises sectorielles, juridiques et technologiques autour de l’IoT et des SI industriels, si bien que nous visons l’ensemble des secteurs industriels et services, jusqu’aux banques qui ont à gérer des infrastructures critiques. » Outre les grands industriels, Holiseum s’intéresse aussi aux PME et aux startups. Deux d’entre elles ont déjà recours à son offre de “RSSI as a Service” afin de sécuriser leur IT.
Une vraie connaissance métier
« Nous avons une compétence sur la cybersécurité industrielle, mais au-delà de cela une vraie connaissance métier qui nous permet de pondérer les risques techniques avec les priorités réelles des métiers. Cette proximité métier nous permet de proposer aux industriels des prestations de type ‘RSSI as a Service‘. Forts de cette approche au plus près des métiers, nous avons imaginé une méthodologie qui permet de réduire le délai d’accession à un niveau de maturité cible d’un site industriel en cybersécurité. Habituellement, ce délai est de l’ordre de 3 ans, nous le réduisons à 6 mois, un an au maximum. Nous avons cherché à automatiser au maximum le volet “Run” si bien qu’aujourd’hui de 30 % à 40 % des tâches quotidiennes sont automatisées. »
Une offre technologique qui privilégie les solutions Hexatrust
Pour se faire une place sur le marché de la cybersécurité industrielle, les fondateurs d’Holiseum ont fait le choix de se rapprocher d’Hexatrust et de ses membres. Cet été, la startup a mis en place un démonstrateur sur lequel est simulé le fonctionnement d’un site industriel et sur lequel les consultants d’Hexatrust peuvent expliquer à leurs prospects comment opèrent les 3 attaques les plus fréquentes sur un système industriel. « Nous pouvons ainsi démonter le mode d’action des solutions Hexatrust.”
Quelle valeur ajoutée ?
Mais au-delà de leur efficacité, nous voulons expliquer comment nous générons de la valeur en orchestrant ces différentes solutions. C’est là notre valeur ajoutée vis-à-vis d’Hexatrust que d’apporter ce liant, de créer un ensemble composite dans lequel plusieurs solutions Hexatrust vont pouvoir interopérer ensemble. » Parmi les produits mis en œuvre par Holiseum, les solutions de bastion de Wallix, mais aussi l’authentification forte d’inWebo, les capacités d’audit de Sentryo, le SIEM Keenaï ou encore la station de décontamination des clés USB KUB-Cleaner.
« Notre valeur ajoutée vis-à-vis d’Hexatrust est de créer un ensemble composite dans lequel plusieurs solutions Hexatrust vont pouvoir interopérer ensemble. »
Des solutions hors partenariat aussi
Si les éditeurs membres d’Hexatrust apportent à Holiseum un catalogue de solutions souveraines, Faiz Djellouli ne se limite pas à ces seules solutions : « Nous sommes avant tout orientés client et nous ne nous limiterons bien évidemment pas aux éditeurs Hexatrust. Nous sommes là avant tout pour conseiller nos clients, ce qui nous amènera à conseiller des solutions hors des partenaires Hexatrust, même si nous considérons que le projet Hexatrust de cyber souveraineté est extrêmement important à défendre. »
Outre ce rapprochement avec les acteurs d’Hexatrust, Faiz Djellouli compte en outre nouer des partenariats avec d’autres sociétés de conseil à la recherche de compétence dans le secteur de la cybersécurité industrielle. Les fondateurs d’Holiseum visent un effectif de 10 personnes en fin d’année et de 30 à 40 personnes en 2019.
Auteur : Alain Clapaud