Alternatives à Office 365 : Oodrive surfe sur la nouvelle vague de la souveraineté IT

Oodrive est à une année charnière de son histoire. La problématique de la souveraineté IT serait mieux comprise par le marché. Et les budgets seraient là. Reste à concrétiser de fortes ambitions de croissance et à gagner en notoriété. Entretien avec un de ses co-fondateurs, Cédric Mermilliod.

Qualification SNC 3.2, premières retombées de l’offre collaborative lancée en 2023, montée en puissance des problématiques de souveraineté IT et d’indépendance des SI. 2025 s’annonce riche pour Oodrive, le Box/Office 365 français devenu fer de lance des alternatives souveraines à Office 365. Hasard du calendrier, l’éditeur va, en plus, fêter ses 25 ans cette année.

Le marché comprend mieux le lien entre géopolitique et IT

Au moment d’aborder cette période charnière, Oodrive a revu le périmètre de son offre. « Nous nous sommes recentrés sur le collaboratif de confiance », explique Cédric Mermilliod, un des co-fondateurs de l’éditeur, qui insiste sur la taille humaine de son entreprise – 350 collaborateurs, dont 250 en France, et un CA de 40 millions € en revenu récurrent annuel (ARR).

Cette taille peut paraître petite face à ses concurrents (Microsoft, Google, OpenText, etc.). Mais l’éditeur cible exclusivement les données critiques des groupes et des Administrations. Soit entre 7 et 10 % des données. Sur ce segment, son CA est supérieur, de loin, à celui des autres suites souveraines.

Crédit Agricole, Société Générale, BNP, Airbus, EDF, le ministère des Armées (avec 125 000 licences), Danone, la DGA, MBDA, Naval Group, Safran ou encore CMA-CGM font aujourd’hui partie de ses clients. « Nous avons 80 % du CAC 40 », chiffre Cédric Mermilliod. Mais il y a un « mais ».

« On ne m’explique plus que la localisation des données en Europe par un hyperscaler est suffisante. Ce discours ne tient plus auprès des RSSI qui se documentent. Ils ne sont plus dupes. »
Cédric MermilliodCo-fondateur d'Oodrive

Le responsable estime que « tous les voyants sont au vert » pour grandir. Et il faut donc grandir.

Pour lui Oodrive doit augmenter son empreinte dans ces grands comptes. « Nous devrions, en toute logique, compter encore plus de grandes entreprises parmi nos clients tant la problématique des données sensibles est importante dans leurs différentes activités », estime-t-il.

Oodrive doit aussi pénétrer chez davantage de groupes du Top 300 français (soit 5 000 entreprises). « Le SecNumCloud (SNC) ne doit pas être réservé aux plus fortunés », insiste Cédric Mermilliod. « Nous développons [aussi] des offres […] [pour les] petites et moyennes “Entités Importantes et Essentielles”. Des organisations qui traitent énormément de données sensibles [dans les domaines de] l’Énergie, la Santé, la Défense, l’Aérospatiale, etc. »

Cette double ambition (« net new » et « land & expand ») doit aboutir, à l’horizon 2030, à un doublement du chiffre d’affaires. « C’est faisable », souffle Cédric Mermilliod. « C’est vers cela qu’il faut tendre ».

« Faisable », car le marché bougerait. « Les budgets 2025 de nos clients pour nos solutions explosent », se réjouit le responsable. « Ils sont prêts à s’engager sur ce type de coût ».

Les DSI et les RSSI auraient bien pris conscience de la dimension géopolitique de l’IT – qui peut être instrumentalisée pour mettre la pression sur une entreprise utilisatrice. « Il y a peu, certains doutaient encore du fait que les États-Unis puissent activer le Patriot Act et qu’un hyperscaler puisse donner l’accès aux données de ses clients à une autorité américaine », se rappelle Cédric Mermilliod. « Nous n’en sommes plus du tout à ce niveau-là. Ils [N.D.R. : les RSSI) savent que du jour au lendemain, il peut y avoir une énorme pression d’un État sur un autre – et qu’ils pourraient ne plus pouvoir travailler ».

Les arguments « souverains » des hyperscalers seraient également plus souvent remis en cause. « On ne m’explique plus que la localisation des données en Europe par un hyperscaler est suffisante. Ce discours ne tient plus auprès des RSSI qui se documentent. Ils ne sont plus dupes », assure Cédric Mermilliod.

Résultat, contrairement aux premiers clients qui ont choisi une offre qualifiée SNC d’Oodrive (des OIV et des OSE à qui l’on imposait ce choix), « [SecNumCloud] n’est plus vécue comme une contrainte, plus ou moins factice. Nous avons vu ces réactions à un moment, mais aujourd’hui, il y a une conscience de la nécessité » de ce type de solutions.

D’autres signaux sont au vert

Les signaux sont au vert, ensuite, car les grands groupes auraient entrepris la classification de leurs données (C1, C2, et C3 par exemple). « Ils identifient mieux quelles données sont sensibles, et lesquelles sont donc à protéger auprès d’acteurs de confiance. », constate aujourd’hui Cédric Mermilliod.

Au vert, toujours, avec les réglementations NIS 2 et DORA qui imposent de nouvelles contraintes de cyberrésilience. « Ces réglementations sont des boosters pour notre activité ».

Au vert, enfin, du fait que les contacts d’Oodrive dans les entreprises sont, en premier lieu, les RSSI. Or « il n’y a plus une décision d’un Comex ou d’un Board qui ne soit pas validée par eux », perçoit Cédric Mermilliod.

« Mais cela ne se fera que si la prise de conscience [sur le besoin de souveraineté IT] perdure et se concrétise », nuance immédiatement le responsable. « Oui, les entreprises réagissent, mais il y a une latence évidente entre prise de conscience et contrats. Ces projets sont clés et prennent du temps pour mûrir au niveau des boards. », assure-t-il en anticipant une accélération des revenus pour la fin 2025 et en 2026.

Une offre collaborative et de résilience opérationnelle

En attendant, l’éditeur (une société française, à capitaux français, avec des fondateurs français et « en aucune mesure soumise aux droits extraterritoriaux, en particulier américains », martèle Cédric Mermilliod) a fait évoluer son offre.

Le but n’est plus seulement de fournir un espace de stockage sécurisé (backup) pour les 10 % de données sensibles (« le reste, mettez-le chez les Américains si vous le souhaitez », invite Cédric Mermilliod, « nous sommes très contents de travailler avec eux, et eux aussi »). Le but est aussi de pouvoir travailler sur ces données. « Dans Oodrive, on peut collaborer, tchater, faire de la visio de confiance ou de la signature électronique », liste le responsable. « C’est indispensable pour la cyberrésilience ».

L’offre n’est cependant pas encore de bout en bout. Mais cela ne saurait tarder, promet le co-fondateur. Le tchat et la visio devraient arriver d’ici 2 mois (pour mémoire, Oodrive a par ailleurs déjà un accord avec Tixeo) et le mail dans 3 mois (une demande forte des clients qui a surpris Cédric Mermilliod). Le tout sera en mode SaaS public. Les versions qualifiées SNC devraient suivre.

Quant à l’offre collaboration en ligne existante (édition de documents, tableur, etc.) qui s’appuie sur Collabora (une alternative à Office 365), elle fonctionnerait très bien.

L’ensemble de l’offre (stockage, collaboratif, signature, sécurisation des communications des boards) ferait que Oodrive serait aujourd’hui vu « comme une brique fondamentale de cyberrésilience ».

Encore le défi de la notoriété

Le « nerf de la guerre » (sic), le véritable moteur de la croissance d’Oodrive est son offre SNC (Oodrive propose également une offre en cloud public).

« La sécurité a un prix, c’est vrai. Mais en face il faut évaluer les risques cyber. »
Cédric MermilliodCo-fondateur d'Oodrive

Contrairement à ses concurrents – comme Whaller (SNC lui aussi, sur une infra souveraine tierce) ou Wimi (souverain, mais pas qualifié) , Oodrive a choisi depuis le départ de tout faire maison, y compris son infrastructure, pour une totale maîtrise des coûts. « Cela donne une grande indépendance, et une proactivité forte », assure Cédric Mermilliod.

L’autre avantage est de maîtriser sa feuille de route à tous les niveaux, et pour les clients, de n’avoir qu’un seul interlocuteur SNC. « Ils n’ont pas à avoir confiance en plusieurs acteurs ».

Mais SecNumCloud a un prix. « Un prix en rapport avec la dose de travail nécessaire [pour être qualifié] », justifie Cédric Mermilliod. « La sécurité a un prix, c’est vrai. Mais en face il faut évaluer les risques cyber, etc. »

Conséquence, le coût peut parfois limiter le marché. D’où le besoin évoqué plus haut de « réfléchir à la manière de déployer massivement, dans un écosystème. Par exemple, Défense & Aéro ce n’est pas que MBDA ou Naval Group (qui sont déjà clients et qui peuvent mettre du SNC partout), ce sont aussi des centaines d’entreprises ».

Mais à en croire le co-fondateur, le principal défi d’Oodrive n’est pas le prix et encore moins son offre. « Notre problème, ce n’est pas le go-to-market de nos solutions. C’est la notoriété », concède-t-il. « Il y a encore trop des décideurs qui ne nous connaissent pas. C’est mon travail de tous les jours de faire qu’ils nous connaissent ».

L’IA chez Oodrive

L’IA chez Oodrive est une question sensible, comme les données auxquelles elle s’appliquera.

L’éditeur a développé ses propres IA, en interne, depuis un an, en particulier pour la production de code. La prochaine étape sera d’infuser ces technologies dans les produits. « Mais il faudra qu’elle aussi soit souveraine », impose Cédric Mermilliod.

Pour l’instant, ces ajouts ne sont pas demandés par les clients. « Mais c’est un projet en cours. Parce que le jour où ils nous le demanderont, si nous n’avons pas anticipé, nous serons en retard », explique-t-il. Or cette demande risque d’arriver vite, tant les cas d’usage semblent évidents : recherche sémantique dans une base d’informations, synthèse de documents, etc.

D’ici là, Oodrive attend les prises de position de l’ANSSI sur ce que sera une « IA SNC ». Un « comité IA » a par ailleurs été mis en place, en 2024, sous l’égide d’un des autres co-fondateurs, Stanislas de Rémur, le président-directeur général de Oodrive.

Pour approfondir sur GED, signature électronique et partage de fichiers