David Bizeul, directeur scientifique et cofondateur de Sekoya, possède une expérience significative dans le domaine de la cybersécurité, notamment dans les activités liées aux CERT (Computer Emergency Response Team). Il a construit le CERT de la Société Générale dans les années 2000-2005, période marquée par l’émergence de la cybercriminalité. Durant six années, son équipe a développé des capacités de compréhension de la menace et de traitement des incidents touchant la banque et ses clients. Par la suite, il a dirigé le CERT d’Airbus Cybersécurité, où les enjeux différaient, se concentrant davantage sur l’espionnage industriel plutôt que sur la cybercriminalité.
Ces deux expériences lui ont permis de constater l’importance cruciale de la threat intelligence (renseignement sur les menaces) dans les contextes tant de cybercriminalité que d’espionnage. Cette prise de conscience l’a conduit à fonder Sekoya en 2015, avec l’objectif de cartographier et modéliser précisément les attaquants pour ensuite opérationnaliser cette connaissance et en faire un produit de cybersécurité.
Pour David Bizeul, la souveraineté représente la capacité de construire, utiliser et protéger une capacité ou un environnement. Appliquée au numérique, elle concerne la maîtrise des produits, logiciels et services permettant d’accomplir des activités numériques. Un produit de sécurité moderne peut être visualisé comme un mille-feuille composé de différentes couches : composants matériels, hardware, infrastructure, couches logicielles, opérations utilisateurs, et données générées.
La maîtrise complète de toutes ces couches n’est pas accessible à tous les pays. Certaines contraintes, comme l’accès aux matières premières pour les composants électroniques, limitent la capacité de contrôle complet. L’approche pragmatique consiste donc à exceller sur certaines couches spécifiques : les données, les opérations, la technologie et les infrastructures cloud restent maîtrisables au niveau européen, tandis que les couches matérielles plus basses posent davantage de défis. Pour ces dernières, il faut accepter de déléguer le risque à des acteurs de confiance et utiliser les couches supérieures pour détecter d’éventuelles anomalies.
Sekoya propose une plateforme SOC (Security Operations Center) complète permettant d’opérationnaliser les fonctions de centre d’opérations de sécurité. La plateforme s’adresse aux grands comptes disposant de leurs propres équipes, ainsi qu’aux MSSP (Managed Security Service Providers) qui délivrent ces services pour diverses entreprises.
La plateforme intègre plusieurs composants essentiels. Le SIEM constitue le premier bloc, assurant l’ingestion de données, la normalisation, l’application de règles de détection, l’indexation et le stockage long terme. L’environnement de threat intelligence, développé en interne par une équipe dédiée de chercheurs, met les données clients en relation avec une cartographie exhaustive des menaces. Cette base de connaissance propriétaire permet une détection de haute qualité basée sur la compréhension approfondie des attaquants.
Le moteur SOAR (Security Orchestration, Automation and Response) complète l’arsenal, gérant les plans de réponse aux incidents. Il définit les actions appropriées lors du déclenchement d’alertes, avec des playbooks automatisés adaptés à différents scénarios. La philosophie de Sekoya repose sur l’équilibre entre contenu packagé prêt à l’emploi et personnalisation client, permettant un déploiement SOC opérationnel très rapide tout en autorisant l’ajout de règles spécifiques à chaque environnement.
Sekoya a adopté une approche cloud native tout en maintenant une conscience aiguë des enjeux géographiques. Bien que basée dans le cloud, chaque instance possède une localisation géographique réelle. La région historique a été établie sur OVH en France, suivie de l’ouverture de cinq régions mondiales permettant une cohérence technologique adaptée à chaque géographie.
Cette stratégie de régionalisation implique des choix de sous-traitants différenciés selon les zones. Par exemple, les solutions de stockage ou certains partenaires techniques varient entre les régions française et américaine. Les acteurs MSSP européens privilégient naturellement les régions cloud européennes, tandis que leurs homologues américains préfèrent les infrastructures américaines. Cette approche garantit la data residency localisée, optimise les latences et répond aux exigences croissantes des clients en matière de souveraineté.
L’évolution géopolitique récente, particulièrement les douze derniers mois marqués par les décisions du gouvernement américain, a profondément transformé les attentes clients. Sekoya constate une augmentation significative des demandes concernant la localisation des données et la nationalité des sous-traitants. Les clients souhaitent désormais “lever le capot” pour comprendre et maîtriser leurs workflows de cybersécurité, s’appropriant ainsi les zones de risque.
Pour répondre à cette demande de transparence, Sekoya maintient une plateforme trust.sekoya.io recensant tous les engagements de confiance, la gestion des données personnelles et la liste complète des sous-traitants par région. Cette transparence totale reflète la philosophie de l’entreprise : ouverture, transparence et interopérabilité maximales.
David Bizeul souligne le réveil brutal mais nécessaire face à la naïveté économique des deux dernières décennies. La prise de conscience collective permet désormais d’optimiser les approches sur tous les blocs géographiques, chacun cherchant à ne pas dépendre exclusivement de la vision du monde américaine. Contrairement aux acteurs américains pensant naturellement global avec une approche standardisée, Sekoya part du principe de respecter les spécificités locales tout en conquérant le marché mondial.
Cette approche, bien que plus coûteuse et complexe, s’impose par nécessité et conviction. Les partenaires MSSP, ancrés localement, fournissent des retours précieux sur les exigences réglementaires et culturelles spécifiques à chaque territoire. Sekoya intègre ces feedbacks pour faire évoluer son produit, soit globalement lorsque les exigences sont généralisables, soit spécifiquement pour répondre à des besoins particuliers.
L’entreprise va encore plus loin avec des initiatives comme la région SecNumCloud sur OVH pour les clients les plus critiques, ou le partenariat avec Thales pour une région dédiée aux activités sensibles de défense, démontrant ainsi comment conjuguer excellence technique et souveraineté maîtrisée.
