5 start-up à connaitre dans la cybersecurité qui redessinent le paysage européen de la protection des données

Cyberattaques sur les hôpitaux, vols de données clients, rançongiciels sur les PME… La cybersécurité n’est plus un sujet « tech » réservé aux DSI, c’est devenu une variable stratégique pour toute entreprise qui manipule de la donnée, y compris les TPE/PME.

En Europe, ce mouvement s’accélère sous l’effet combiné du RGPD, de la directive NIS2 et des tensions géopolitiques. Résultat : une nouvelle génération de start-up européennes est en train de redessiner le paysage de la protection des données, avec des approches plus agiles, plus spécialisées et souvent plus adaptées aux contraintes réglementaires locales que les grands acteurs américains.

Dans cet article, je vous propose un zoom sur 5 start-up à connaître, non pas pour « faire de la veille » mais pour identifier des pistes concrètes d’action pour votre propre stratégie de cybersécurité.

Pourquoi les start-up jouent un rôle clé dans la cybersécurité européenne

Le marché mondial de la cybersécurité dépasse désormais les 200 milliards de dollars, avec une croissance annuelle proche de 10 %. En Europe, la dynamique est encore plus marquée : les levées de fonds dans la cyber ont quasiment doublé entre 2020 et 2023.

Pourquoi cet écosystème start-up est-il si important pour les entreprises européennes ?

• Réglementation locale : RGPD, NIS2, DORA… Les start-up européennes intègrent ces contraintes « by design » dans leurs solutions.
• Spécialisation : là où les géants proposent des suites généralistes, les start-up attaquent des problèmes très précis (protection des mails, anonymisation des données, chiffrement homomorphe, etc.).
• Vitesse d’exécution : les menaces évoluent vite, les jeunes structures aussi. Certaines déploient des mises à jour hebdomadaires là où de grands éditeurs se calent sur des cycles trimestriels.
• Accessibilité : offres SaaS, facturation à l’usage, intégrations simples : des PME peuvent accéder à des technologies autrefois réservées aux grands groupes.

À retenir : l’enjeu n’est plus de choisir entre « gros éditeur » ou « start-up », mais de combiner les deux intelligemment. Les acteurs établis pour la base (antivirus, firewall, sauvegarde) ; des start-up pour traiter vos angles morts stratégiques.

HarfangLab – L’EDR français qui attaque le marché mondial

Pays : France – Spécialité : Endpoint Detection & Response (EDR) – Type de clients : ETI, grands comptes, secteur public, mais de plus en plus de PME via partenaires.

HarfangLab développe une solution EDR qui surveille en continu les postes de travail et serveurs afin de détecter les comportements suspects (processus anormaux, connexions inhabituelles, chiffrement massif de fichiers, etc.).

Quelques éléments concrets à noter :

• Solution qualifiée par l’ANSSI, ce qui est un critère important pour les organisations sensibles ou les prestataires travaillant avec l’État.
• Positionnement fort sur la transparence : journalisation fine, vision claire des événements, pas de « boîte noire » incompréhensible pour les équipes internes.
• Déploiement possible sur plusieurs dizaines de milliers de postes sans infrastructure lourde, intéressant pour les groupes multi-sites ou les ETI en croissance externe.

Cas d’usage typique : une PME industrielle de 250 salariés victime d’une première attaque par rançongiciel, qui décide de professionnaliser sa défense. L’EDR permet de détecter la tentative suivante avant chiffrement massif, en isolant automatiquement le poste compromis du réseau.

Leviers actionnables pour un dirigeant :

• Mesurez votre exposition : combien de postes réellement critiques (comptabilité, production, R&D) sont aujourd’hui protégés au-delà de l’antivirus classique ?
• Testez un pilote : démarrer avec un périmètre restreint (ex : finance + direction + IT) permet de valider la valeur d’un EDR sans exploser le budget.
• Intégrez l’EDR au plan de réponse à incident : qui décide quoi quand une alerte remonte ? Avec quels délais ? Sur quels critères isole-t-on un poste ?

Sekoia.io – De la donnée de menace à la décision opérationnelle

Pays : France – Spécialité : Threat Intelligence & SOC modernisé – Type de clients : MSSP, grands comptes, mais aussi structures intermédiaires disposant d’une équipe sécurité interne.

Sekoia.io se positionne sur un point souvent négligé : comment transformer un flux massif d’alertes et de signaux faibles en décisions de sécurité pertinentes, sans saturer les équipes ?

La plateforme agrège différentes sources de renseignement sur la menace (IOCs, comportements, campagnes en cours) et les corrèle avec vos propres logs pour identifier ce qui est réellement pertinent pour votre organisation.

En pratique, cela permet de :

• Réduire drastiquement les faux positifs, principal fléau des SOC sur-sollicités.
• Prioriser les incidents en fonction de votre contexte (secteur, techno utilisées, exposition géographique).
• Industrialiser les réponses (playbooks, automatisations, notifications ciblées).

Mini check-list pour les entreprises déjà outillées :

• Votre équipe IT passe-t-elle plus de temps à « éteindre des incendies » qu’à améliorer l’architecture de sécurité ?
• Avez-vous une vision claire des campagnes en cours qui ciblent votre secteur, ou réagissez-vous uniquement après coup ?
• Le nombre d’alertes quotidiennes est-il compatible avec la taille de votre équipe ?

Si vous cochez plusieurs de ces cases, une solution de type Sekoia.io (directement ou via un prestataire SOC qui l’utilise) peut devenir un vrai levier de productivité en cybersécurité.

Tessian – Sécuriser la donnée au niveau le plus fragile : l’humain

Pays : Royaume-Uni – Spécialité : sécurité des emails pilotée par l’IA – Type de clients : services financiers, cabinets d’avocats, sociétés de conseil, ETI fortement exposées aux risques de fuite de données.

La majorité des incidents de données ne viennent pas d’un malware ultra sophistiqué, mais… d’erreurs humaines : mauvais destinataire, pièce jointe sensible envoyée trop vite, clic sur un faux mail de DocuSign, etc.

Tessian s’attaque précisément à ce maillon faible : l’email professionnel. Grâce au machine learning, la solution apprend les habitudes d’envoi de chaque utilisateur :

• À qui envoie-t-il habituellement quel type de documents ?
• Quels sont les sujets et formats d’échanges usuels ?
• Quelles sont les pièces jointes sensibles manipulées régulièrement ?

Lorsqu’un comportement sort de ce schéma, Tessian alerte : « Êtes-vous sûr de vouloir envoyer ce fichier client à cette adresse externe que vous n’avez jamais utilisée ? »

Effet intéressant : au-delà de la réduction des erreurs, l’outil éduque en continu les collaborateurs, sans passer par des formations théoriques. L’email devient un canal de sensibilisation contextualisé.

Pour une PME/ETI, que regarder en priorité ?

• Volume d’emails sortants manipulent-ils de la donnée personnelle ou confidentielle client ?
• Combien d’incidents « rattrapés de justesse » par votre DPO ou votre DSI chaque année ?
• Avez-vous déjà formalisé une politique claire d’envoi de données sensibles par email (chiffrement, partage sécurisé, etc.) ?

Si vos métiers reposent lourdement sur l’email (juridique, finance, relation client B2B), une solution de type Tessian peut réduire significativement votre risque RGPD à coût relativement maîtrisé.

Tuta (ex-Tutanota) – L’email chiffré, version européenne

Pays : Allemagne – Spécialité : messagerie, calendrier et stockage chiffrés de bout en bout – Type de clients : professions réglementées, PME sensibles aux enjeux de souveraineté, associations, particuliers exigeants.

Si Tessian sécurise les comportements autour de l’email, Tuta part d’un autre postulat : limiter par défaut la quantité d’information exploitable par un attaquant ou un tiers. Tout est chiffré : emails, pièces jointes, carnet d’adresses, agenda, sans que l’éditeur puisse lui-même accéder au contenu.

Dans un contexte où :

• les transferts de données vers les États-Unis sont de plus en plus scrutés,
• les clients B2B posent des questions de plus en plus pointues sur la localisation et la protection des données,
• les attaques sur les systèmes de messagerie explosent,

une solution comme Tuta peut devenir un argument commercial autant qu’un rempart technique.

Cas pratique : un cabinet d’expertise comptable souhaitant proposer à ses clients un « espace d’échange » sécurisé pour les pièces sensibles. Plutôt que de multiplier les portails dédiés, il peut réserver des boîtes Tuta pour certains échanges critiques, en les intégrant à ses process internes.

Questions à vous poser :

• Quels flux d’emails contiennent systématiquement des données très sensibles (contrats M&A, brevets, données médicales, données RH, etc.) ?
• Utilisez-vous aujourd’hui des providers grand public pour certaines communications professionnelles ?
• Vos clients, partenaires ou investisseurs vous ont-ils déjà challengé sur la sécurité de vos échanges ?

L’enjeu n’est pas forcément de migrer toute votre messagerie, mais d’identifier des « zones rouges » où le chiffrement systématique devient pertinent, et d’y associer une solution comme Tuta.

Zama – Le chiffrement homomorphe, futur pilier de la donnée sensible

Pays : France – Spécialité : chiffrement homomorphe (FHE) – Type de clients : fintech, santé, assurance, data platforms, industriels manipulant de larges volumes de données sensibles.

Avec Zama, on entre dans un registre plus technologique, mais aux implications très business. Le chiffrement homomorphe permet de faire des calculs sur des données chiffrées… sans jamais les déchiffrer côté serveur.

Concrètement :

• Une banque peut faire tourner un algorithme de scoring de crédit sur des données clients chiffrées.
• Deux hôpitaux peuvent analyser en commun des données médicales sans jamais exposer les données brutes de leurs patients.
• Un assureur peut entraîner un modèle de pricing sur des données ultra sensibles, sans les révéler à ses partenaires techniques.

Jusqu’à récemment, cette technologie était surtout un sujet de laboratoire, car beaucoup trop coûteuse en ressources. Zama fait partie des acteurs qui travaillent à la rendre déployable à grande échelle (bibliothèques open source, outils de développement, optimisation de performances).

Pourquoi cela concerne déjà les dirigeants ?

• Les réglementations poussent vers plus de protection tout en demandant plus d’usage de la donnée (IA, reporting, partage inter-entités).
• Les partenariats data (banque/assurance/retail, hôpital/start-up medtech, industrie/start-up IoT) se multiplient et butent sur la question de la confidentialité.
• La différenciation concurrentielle se jouera aussi sur la capacité à exploiter des données sensibles sans les exposer.

Pour l’instant, Zama s’adresse surtout à des entreprises ayant des équipes techniques capables de s’approprier ces briques. Mais pour un dirigeant ou un DAF, comprendre que ces solutions existent permet déjà de :

• challenger des partenaires techniques qui vous disent « ce n’est pas possible de protéger plus »,
• imaginer des collaborations data jusqu’ici bloquées par la confidentialité,
• positionner votre entreprise en avance sur les attentes réglementaires futures.

Comment intégrer ces start-up dans une stratégie cybersécurité réaliste

Connaître des noms de start-up est une chose. Les intégrer utilement dans une stratégie, sans disperser ses budgets ni complexifier son SI, en est une autre.

Voici une approche pragmatique en 4 étapes.

1. Cartographiez vos risques de données, pas vos outils

• Listez vos 3 à 5 gisements de données les plus sensibles : fichiers clients, données R&D, données financières, données RH, etc.
• Pour chaque gisement, identifiez où elles circulent réellement : email, outils collaboratifs, ERP, SaaS métiers, exports Excel…
• Évaluez, pour chaque flux, les impacts d’une fuite : financiers, réglementaires, réputationnels, opérationnels.

C’est cette carte des risques qui doit guider le recours à des solutions innovantes, pas l’inverse.

2. Commencez par un « pilier » et un « angle mort »

• Un pilier : renforcer une brique structurante, comme la protection des postes (HarfangLab) ou la supervision des incidents (Sekoia.io).
• Un angle mort : traiter un risque qui ne l’est aujourd’hui par aucun outil (erreurs humaines sur l’email avec Tessian, échanges ultra sensibles avec Tuta, partage de données critiques avec une approche type Zama).

Cela évite de multiplier les projets pilotes sans impact visible et facilite la défense du budget auprès de la direction.

3. Exigez des POC orientés résultats, pas fonctionnalités

Lors d’un test de solution avec une start-up, fixez dès le départ des objectifs chiffrés :

• Réduction du temps moyen de détection d’incident.
• Nombre d’erreurs d’envoi d’emails évitées.
• Temps gagné par l’équipe IT sur le traitement des alertes.
• Nombre de cas d’usage data supplémentaires rendus possibles (pour les solutions de type Zama).

Un POC réussi est un POC qui sort des KPI business tangibles, pas seulement un « retour positif des équipes techniques ».

4. Intégrez ces briques à vos process, pas seulement à votre SI

La tendance naturelle est de considérer ces outils comme une « couche de plus ». Pour en tirer le plein bénéfice, il faut les intégrer aux process métiers :

• Procédure RH : quelles boîtes mail sécurisées pour quels profils sensibles ?
• Procédure juridique : quels flux contractuels passent obligatoirement par une messagerie chiffrée ?
• Procédure IT : quelles actions automatiques sont déclenchées par l’EDR ou la threat intelligence en cas d’alerte critique ?
• Procédure commerciale : comment valoriser auprès des clients un niveau de protection supérieur à la moyenne du marché ?

La compétition ne se joue plus seulement sur le produit ou le prix, mais aussi sur la confiance numérique. Ces start-up européennes offrent des briques concrètes pour la renforcer. Reste, pour chaque dirigeant, à décider où placer le curseur entre risque acceptable, investissement raisonnable et avantage compétitif.