[FIC 2025] "Il existe bien des champions européens de la cybersécurité", Jean-Noël de Galzain, CEO de Wallix

L'Usine Digitale : Fondée en 2003, Wallix est spécialisée dans le "Privileged Access Management" (PAM). De quoi s'agit-il ? 

Jean-Noël de Galzain : Wallix est un éditeur de logiciels de cybersécurité pour protéger les identités et les accès numériques. Notre rôle est de permettre aux entreprises de reprendre le contrôle de leurs accès numériques en identifiant leurs utilisateurs et en leur permettant un accès le plus sécurisé possible, quel que soit le contexte, et le plus agile. Gagner des secondes à chaque accès, à la fin de la journée c'est gagner plusieurs heures et ainsi être plus productif. 

Nous sommes parmi les leaders sur ce marché, ce qui nous donne la capacité d'avoir 3500 clients aujourd'hui dans 90 pays différents. Nous avons des clients qui achètent des abonnements, qui utilisent des solutions en SaaS, ou parfois en on-premise. C'est l'une des particularités de notre offre que de s'adapter au contexte des clients.

Enfin, je préciserais que le supplément d'âme de Wallix, c'est que notre mission vis-à-vis des entreprises est de leur permettre d'évoluer librement dans un contexte numérique de plus en plus global au quotidien. Pour nous, la protection des données personnelles et des données industrielles doit être un acte numérique. Nous essayons de construire des environnements souverains où les entreprises sont autonomes numériquement.

A l'occasion du Forum InCyber, vous annoncez le lancement de "Web session manager". Pourriez-vous nous en dire davantage ? 

C'est un système qui permet d'utiliser son navigateur comme un réseau VPN, permettant ainsi à la fois de supprimer les VPN, et donc de réduire leur coût, ainsi que de simplifier l'usage de nos technologies d'accès au quotidien.

Quelle est la typologie de vos clients ? 

La particularité de notre offre, comparée à celles des autres offres du marché dans cette catégorie, est qu'elle est extrêmement packagée. Ainsi, elle est facile à déployer à distance et n'impacte pas le système d'information des entreprises. Autrement dit, il n'y a pas besoin de se déplacer pour surveiller des utilisateurs, des machines ou des accès. À ce titre, notre solution est particulièrement adaptée pour des entreprises qui ont des architectures réseau un peu compliquées. Nous travaillons aussi très bien sur l'interconnexion entre les actifs industriels ou les usines et les réseaux informatiques.

Ainsi, nous sommes très présents dans les entreprises industrielles de taille intermédiaire avec beaucoup de sous-traitants, ainsi que dans des entreprises plus importantes dans l'énergie, le transport, l'agro-industrie, la défense et les télécoms. Nous travaillons aussi avec plusieurs centaines d'hôpitaux en France, en Allemagne, en Angleterre, au Moyen-Orient ou au Maghreb. Rappelons que les établissements de santé ont beaucoup de ressources industrielles également, avec les équipements biomédicaux. Nous avons également une partie du CAC 40 et à peu près toutes les administrations françaises.

J'imagine que l'afflux de réglementations européennes – NIS 2, DORA, REC – représente une opportunité importante pour capter de nouveaux clients. 

Aujourd'hui, Wallix équipe 80% des entreprises d'importance vitale, ou supposées comme telles? en France. Il y en avait aux alentours de 300 en France et 15 000 en Europe. Notre ambition est désormais d'équiper les 150 000 entreprises et organisations européennes qui doivent se mettre en conformité avec les nouvelles règles européennes. Dans ce cadre, nous sommes proches de l'Agence nationale de la sécurité des systèmes d'information en France, le BSI en Allemagne [agence de cybersécurité,ndlr], et leur homologue espagnol. 

Wallix est aujourd'hui le leader européen de ce secteur. Il n'y a pas beaucoup d'équivalents européens et c'est pour cela que nous pensons avoir la mission particulière d'accompagner les entreprises. 

Wallix a la particularité d'être l'une des seules entreprises françaises de la cyber cotée en Bourse. Quels défis cela engrendre-t-il ? 

Je me permets une petite digression : le modèle de la French Tech est un modèle dans lequel on valorise les levées de fonds gigantesques et le modèle des licornes, c'est-à-dire des entreprises qui lèvent des fonds absolument pharaoniques. Or, beaucoup finissent rachetées par des fonds américains, ce qui nous conduit à avoir un modèle économique où nous achetons 80% des solutions outre-Atlantique. Est-ce un modèle soutenable à long terme ? Je pose la question.

Nous avons fait le choix d'aller en Bourse pour conserver notre indépendance et amener la cyber auprès de nos investisseurs. Ils sont 6 000 aujourd'hui. C'est un choix qui s'est avéré payant au moment où nous avons fait cette IPO à l'été 2015, puisque cela nous a permis à la fois de lever 10 millions d'euros. Alors, avec le recul, cette somme peut sembler modeste, mais elle nous a permis de passer d'une start-up française à une société qui vend en Europe, qui se lance dans l'export ainsi que d'étoffer notre suite logicielle. Cela nous a également permis de travailler sur notre notoriété. Nous sommes présents au Magic Quadrant du Gartner. 

Et je soutiens aujourd'hui qu'il n'y a pas besoin de lever 300 millions d'euros pour créer un géant mondial. Je ne le crois pas. Je crois que nous n'avons pas besoin de copier le modèle américain, parce que l'Europe n'est pas les États-Unis : nous avons un capitalisme et un modèle industriel différents.

Maintenant, il y a aussi eu des moments difficiles en Bourse. Avec le conflit russo-ukrainien, nous avons dû arrêter nos opérations en Russie. Or, nous étions leaders dans ce pays. Nous avons dû faire face à des risques géopolitiques, à l'instabilité politique en France et ainsi à des investisseurs adoptant une vision court-termiste.

Sur le plan financier, où en êtes-vous aujourd'hui ?

Aujourd'hui, le marché repart. Nous revenons dans une période plus favorable. Wallix est revenu, après une longue période d'investissement, à la rentabilité. Sa croissance est d’environ 25 à 30% d'ARR par an, ce qui fait que notre valeur aujourd'hui redevient attractive. Il y a une prise de conscience que la cybersécurité est absolument indispensable au numérique pour nous permettre de rester résilients. Le sujet est en train de monter dans l'opinion, je le ressens.

C'est un gros travail pour un chef d'entreprise de gérer une société cotée. Cela nous amène aussi à devoir être transparents sur ce que l'on fait ainsi qu'à annoncer ce que l'on va faire en matière de résultats financiers, de croissance, d'investissement et de retour sur investissement. Donc, aujourd’hui, je dirais que cela nous donne une force, car je crois que la transparence fait partie des valeurs clés qui permettent à une entreprise de cybersécurité de convaincre le marché.

D’après Patrick Pouyanné, directeur général de TotalEnergies, il n’y a pas de champion européen de la cyber. Est-ce que le rôle des industriels de montrer l’exemple en choisissant des technologies françaises ? Qu’en pensez-vous ?

C’est une question qui me tient particulièrement à cœur, puisque mon ambition – pour répondre à Patrick Pouyanné – est de créer un industriel de la cybersécurité européen, capable de proposer ses solutions à des entreprises comme TotalEnergies. En effet, Wallix est capable de faire passer ses solutions à l'échelle des besoins du groupe, notamment en matière d'interconnexion des usines, des plateformes, des raffineries ainsi que de l'ensemble du réseau de distribution.

Vous savez quoi ? TotalEnergies est le client qui m’a permis de démarrer Wallix. C’était mon premier client et il en est toujours un. En effet, Total avait besoin de déployer des systèmes de protection pour ses filiales, interconnectées via des réseaux parfois aléatoires vers le quartier général du groupe, à La Défense, à Paris. Nous avons commencé au Yémen, puis en Iran, en Syrie, dans tout le Moyen-Orient, ainsi qu’en Afrique, en Amérique du Sud, en Europe, jusqu'à 130 filiales du groupe Total. Autrement dit, je connais bien la problématique d’un groupe comme celui-là.

Je veux rassurer Patrick Pouyanné et lui dire qu’il existe bien des champions européens de la cybersécurité. On a toujours tendance à dire que la commande publique doit être exemplaire, et c’est vrai, mais cela doit être également le cas pour les dirigeants des grandes entreprises. Je me suis exprimé là-dessus récemment, après le contrat avec l'Éducation nationale, et j'écrirai au ministre pour lui proposer de se rencontrer et de mettre en place des contrats-cadres de même nature avec les produits de cybersécurité que nous fabriquons.

Je veux aussi remercier Patrick Pouyanné d’avoir eu le courage de dire cela sur une estrade devant 15 000 personnes. Et enfin, je voudrais lui dire : travaillons ensemble ! Il pourra dormir sur ses deux oreilles, en sachant que ses données et ses systèmes critiques sont protégés. Ainsi, il évitera de contribuer à la dépendance que nous sommes en train de créer avec des États qui manient les taxes comme on manie le fouet.