La stratégie d’acquisition tous azimuts de la société d’investissement américaine Thoma Bravo fait-elle peser une menace sur le budget et l’indépendance des systèmes d’information des organisations ? Oui, si l’on en juge par le communiqué de presse diffusé par le Cesin. « Si l’on a l’habitude de s’inquiéter à juste titre, du monopole exercé par les GAFAM sur le numérique, on serait bien avisé de se pencher sur la domination croissante de Thoma Bravo dans le secteur hautement sensible de la cybersécurité », écrit ainsi l’association, qui compte parmi ses membres plusieurs organismes privés et institutions publiques, tels que l’ANSSI, la Gendarmerie Nationale, le Commandement Cyber Gendarmerie ou la CNIL.
40 milliards de dollars investis ces dernières années
C’est le rachat de l’éditeur britannique Darktrace en avril dernier qui pousse le Cesin à tirer la sonnette d’alarme. Le spécialiste britannique en détection des menaces rejoint dans l’escarcelle de Thoma Bravo Barracuda et Veracode (acquis en 2018), Imperva (2019), Sophos (2020), Proofpoint (2021), SailPoint, Ping Identity et ForgeRock (2022) ou encore Magnet Forensics (en 2023). Soit environ 40 milliards de dollars investis ces six dernières années dans des sociétés spécialisées dans la gestion des identités et des accès (IAM), la sécurité des messageries, la protection des réseaux ou la protection applicative.
Si certaines de ces sociétés ont déjà été revendues afin de dégager une plus-value rapide, cette tendance d’acquisitions vise manifestement à couvrir tout le spectre de la cybersécurité. « En concentrant autant de solutions sous un seul acteur, cela entraîne un phénomène prévisible d’augmentation des coûts une fois la concurrence éliminée, indique Alain Bouillé, le délégué général du Cesin. « Les rachats par des fonds s’effectuent toujours au détriment des clients. Soit via la facture dont ils doivent s’acquitter, soit via la réduction de l’innovation. »
Une mainmise qui fait peser une menace sur les organisations
L’autre inquiétude exprimée par le Cesin réside dans la mainmise sur les données critiques des entreprises par un acteur unique. Avec des technologies de plus en plus construites sur des logiques cloud, cela concerne les flux réseau, les flux applicatifs, les emails, les flux Internet… Même si les différents éditeurs du portefeuille de Thoma Bravo opèrent indépendamment les uns des autres, les risques posés par cette concentration sont réels. Surtout au regard des pratiques du renseignement américain, habitué à piocher dans les données des entreprises étrangères.
Lire aussi sur L’Essor de la Sécurité : Inauguration de la Data Valley : un centre d’excellence en cybersécurité pour la région Occitanie
« L’offre cyber made in France reste encore heureusement diversifiée et indépendante et peut, dans certains cas, offrir une alternative », note Alain Bouillé. Mais pour combien de temps encore ? Dans un contexte où les grandes acquisitions étrangères se multiplient, « l’Europe doit agir de manière proactive, à la fois pour protéger ses organisations et garantir une cybersécurité indépendante et robuste, et pour permettre à l’innovation de pouvoir rivaliser ».