Start-up cyber & recherche académique : une synergie complexe à mettre en place

Un atout clé pour lever les verrous technologiques

Émilie Bonnefoy, cofondatrice et CEO d’Open Sezam, un éditeur spécialisé dans la sécurité des identités, est convaincue de l’importance du rôle que doit jouer la recherche académique dans le développement des startups de cybersécurité : « nous avons un ADN très porté sur la recherche et nous avons la conviction forte qu’aujourd’hui, pour adresser des problématiques complexes, on ne peut traiter des sujets à l’articulation de la cybersécurité, de la géopolitique et de l’expérience utilisateur sans le monde de la recherche ».

« Nous avons la conviction forte qu’aujourd’hui [...], on ne peut traiter des sujets à l’articulation de la cybersécurité, de la géopolitique et de l’expérience utilisateur sans le monde de la recherche. »

Passée par l’Université Paris-Saclay et l’Institut des hautes études de défense nationale (IHEDN), Emilie Bonnefoy a bénéficié de l’aide du Cyber Booster du Campus Cyber à Paris : « c’était un point d’entrée très intéressant, car cela a facilité nos échanges avec les chercheurs. Nous étions au troisième étage, au même étage que les labos. Nous sommes donc allés les voir et nous leur avons dit que nous souhaitions travailler avec les meilleurs chercheurs sur nos sujets et leur expliquer les verrous scientifiques que nous voulions lever ».

La démarche fut proche pour Frédéric Laurent, le créateur de Snowpack, une startup ayant créé une technologie pour rendre les actifs IT invisibles vis-à-vis des attaquants. L’ancien ingénieur aérospatial a travaillé dans les réseaux avant de rejoindre le CEA pour faire du lobbying : « en tant qu’employé du CEA, je me suis rapproché du CEA-List où nous sommes toujours hébergés et j’ai travaillé avec un chercheur pendant 6 mois, qui m’a challengé jusqu’à aboutir à un concept de sécurité qu’il ne parvenait pas à casser. Nous avons déposé un brevet et je suis allé voir le directeur scientifique de l’Anssi avec mon idée et il m’a affirmé que ce n’était pas faisable… ».

« Le CEA m’a proposé d’être incubé et c’est ce qui m’a permis pendant 2 ans de maturer la technologie, et trouver des cofondateurs. »

Frédéric Laurent ne laisse pas tomber et il code le soir et le week-end pour aboutir à un démonstrateur. « La première démonstration que j’ai réalisée au CEA-List était assez catastrophique, mais elle a pu confirmer la validité du concept. Le CEA m’a proposé d’être incubé et c’est ce qui m’a permis pendant 2 ans de maturer la technologie, et trouver des cofondateurs », explique-t-il.

Une différence de temporalité difficile à surmonter

Snowpack collabore aussi avec l’université Paris-Sorbonne sur le plateau de Saclay avec une thèse commune. Le jeune éditeur a déjà déposé 4 brevets et un certain nombre d’autres sont en préparation : « pour nous, la recherche est clé, mais il y a un défi de taille à relever, c’est la temporalité. Il n’y a pas du tout la même temporalité entre une startup, un labo de recherche et une université ».

Cette différence de temporalité entre le secteur académique et celui des jeunes pousses est le leitmotiv de tous les créateurs d’entreprise. Frédéric Laurent illustre : « venant du réseau, je parle du TTL (Time To Live). La problématique d’une startup, c’est de savoir dans combien de temps on meurt, faute de cash. On doit surveiller sa trésorerie plus que tout et pour tout créateur de jeune pousse, la mort de l’entreprise est un élément avec lequel on doit vivre en permanence. Un organisme de recherche, et a fortiori le CEA, sera encore là dans 20 ans, dans 50 ans. Nous n’avons pas du tout les mêmes enjeux en termes de timing ».

Autre créateur à s’être frotté au rythme de la recherche académique, William Famy, responsable innovation technologique chez Ovochain. Cet ancien élève de l’École normale supérieure de Cachan (aujourd’hui à Saclay), et professeur en prépa, a créé un système conçu pour porter des espaces de confiance reposant sur les identités numériques afin de réaliser des calculs dans le cloud de manière totalement sécurisée.

« Au bout de quasiment 18 mois, l’équipe de chercheurs a estimé que nous n’allions pas y arriver, car nous voulions travailler sur des choses qui n’existaient pas, des protocoles à inventer. »

« Je suis passé par l’incubateur de la Belle-de-Mai, à Marseille, un incubateur numérique national qui est dédié à la recherche. On m’a dit qu’il était important de travailler avec la recherche, ce que j’ai fait », explique-t-il. Cette démarche semblait en outre assez naturelle pour le normalien qui est entré en contact avec divers laboratoires locaux et a commencé à échanger avec la SATT (Société de Transfert de Technologies) Sud-est.

Mais tout ne s’est pas déroulé sans frictions : « au bout de quasiment 18 mois, l’équipe de chercheurs a estimé que nous n’allions pas y arriver, car nous voulions travailler sur des choses qui n’existaient pas, des protocoles à inventer. À chaque réunion, les représentants de la SATT voulaient nous pousser à utiliser des choses déjà sur étagère et nous avons perdu beaucoup trop de temps à leur expliquer que nous souhaitions travailler sur des choses nouvelles… »

Des pratiques RH aux antipodes les unes des autres

Si les délais de la recherche publique sont difficilement compatibles avec cette fuite en avant que connaît toute startup dans ses premières années d’existence, les procédures RH du secteur public sont sans doute un autre point où l’incompréhension est totale.

Dans le cadre du développement d’Open Sezam, Émilie Bonnefoy mène un projet cofinancé avec le CNRS, avec une roadmap commune : « pour moi, le respect de la roadmap est hyper important. J’ai des objectifs de livraison vis-à-vis de mes clients. Nous avions recruté un premier ingénieur de recherche sur le projet avec qui ça s’est super bien passé ». Las, celui-ci a rencontré des soucis personnels et a dû quitter le projet. Un processus de recrutement a dû être relancé. 

La cheffe d’entreprise, habituée à recruter sur LinkedIn ou auprès de ses relations, est tombée de haut : « quand le CNRS doit recruter un ingénieur de recherche, c’est stratosphérique. Il faut faire valider la fiche de poste par je ne sais quel service et celle-ci doit être publiée en interne avant même que je puisse poster le moindre message sur LinkedIn. Il faut attendre qu’il y ait d’éventuelles candidatures internes au CNRS avant d’ouvrir le poste en externe. Vient ensuite la fourchette de rémunération… ». Et là, une négociation directe ne rentre évidemment pas dans la procédure du CNRS.

Une culture produit encore étrangère à la recherche

Outre les contraintes administratives, les différences culturelles entre ces deux milieux sont patentes. Ainsi, il peut être délicat pour un acteur de la cybersécurité qui travaille notamment pour le ministère des Armées ou pour l’Intérieur de présenter ce type de projets à des chercheurs académiques…

« Il faut résoudre l’équation, un peu bizarre, de mettre en face d'une boîte qui veut vendre des produits, des chercheurs qui, eux, par définition, sont dans une démarche de dépassement des verrous technologiques. »

Passées ces précautions d’usage, les créateurs de startup se heurtent à une autre différence culturelle majeure : l’absence de culture produit des chercheurs. « Nous sommes une Deep Tech, mais il est inconcevable pour nous de développer des technologies qui ne nous seront pas utiles », explique Émilie Bonnefoy. Car, explique-t-elle, « notre obsession reste de trouver des clients et de nous faire challenger par ceux-ci. Or, il faut résoudre l’équation, un peu bizarre, de mettre en face d’une boîte qui veut vendre des produits, des chercheurs qui, eux, par définition, sont dans une démarche de dépassement des verrous technologiques ».

Frédéric Laurent rejoint Emilie Bonnefoy sur ce point : « en tant que startup, nous devons sortir une nouvelle feature dans 1 mois, 2 mois et savoir mettre sous la pile les idées pour le moyen et long terme, pour avant tout sortir un produit qui marche. Quand vous êtes chercheur, il suffit que votre démonstrateur fonctionne une fois pour avoir démontré la faisabilité ». Mais voilà, « un produit, cela n’a rien à voir : il doit fonctionner parfaitement et une erreur est inacceptable. La fonction doit être complètement reproductible avec des taux de réussite qui sont 99,99999 %. Ce n’est pas du tout la même chose ».

De cette différence culturelle découle la conclusion du CEO de Snowpack : un bon chercheur ne fait pas nécessairement un bon CTO.

Propos recueillis lors du Cyber Founder Tour #2 à l’Université Paris-Saclay.