Montpellier : Devensys Cybersecurity, "le S.W.A.T de l’IT"

Au début de son parcours entrepreneurial, Devensys, alors connue sous le nom d’Heliosys, s’est orientée vers la prestation indirecte. « De grands groupes informatiques tels que Dell, SCC, Econocom ou encore Osiatis, sous-traitaient des prestations chez nous, explique Leo Gonzales, un des fondateurs. Cela nous a permis d’intervenir très vite sur des dossiers plutôt complexes, alors que nous étions en fin d’études. » Cette agilité et cette capacité d’adaptation ont été les fondations de leur succès initial.

Au bout de deux ans, Devensys n’était plus composée que de trois fondateurs : Alexandre Marguerite, Joffrey Nurit et Leo Gonzales. Ils ont décidé de se rebaptiser « Devensys » pour mettre en avant leur expertise dans le « Développement en Système ». Cette orientation vers le développement spécifique leur a ouvert les portes de clients prestigieux tels que le ministère de la Défense et divers industriels.

Cependant, le véritable tournant pour l’entreprise est survenu lorsqu’ils ont décidé de se concentrer pleinement sur la cybersécurité. « En 2013, la cybersécurité n’était pas à la mode, c’était un problème pour plus tard. Grâce à l’évolution des consciences, à Devensys, la partie développement a réduit, puis nous avons basculé pleinement sur la cybersécurité. Ce virage nous a aussi encouragés à créer un système isolé pour notre boîte de développement, dédiée à la solution Merox, autour de la sécurité de l’e-mail et des noms de domaines. »

Une décision qui a porté ses fruits puisque l’entreprise prévoit un chiffre d’affaires de 6,9 millions d’euros pour 2023, 7,9 millions d’euros en 2024 et 9,1 millions d’euros en 2025.

Cette transition vers la cybersécurité a conduit Devensys à développer des services spécialisés, notamment dans les domaines de la « Red Team et Pentest »(tests d’intrusion), du « SOC 24/7 » (Centre opérationnel de sécurité), du « CSIRT »(Computer Security Incident Response Team) et de la « Sécurité Cloud & Infrastructure ». Des termes quelque peu barbares qui méritent bien une petite analogie…

« Nous essayons d’avoir une présence complète, résume Léo Gonzales. Nous avons d’abord un pôle audit, qui est la division‘Sécurité Cloud & Infrastructure’. Typiquement, c’est comme si un propriétaire nous ouvrait les portes de sa nouvelle maison et nous lui donnions des conseils globaux pour améliorer sa sécurité. Puis il y a SOC, c’est quand les alarmes anti-intrusion détectent un mouvement suspect et que : soit le système apporte lui même une réponse en isolant le problème potentiel, soit on enquête pour clarifier la situation. Et si le propriétaire nous dit ‘les cambrioleurs sont peut-être encore à l’intérieur’,c’est le CSIRT qui entre en action. Avec cet outil, on garantit une intervention dans les 30 minutes à deux heures ».

L’une des forces de Devensys réside dans sa capacité à anticiper les crises. Ils collaborent étroitement avec leurs clients pour élaborer des plans d’intervention en cas d’incidents. Il précise : « L’idée est d’avoir les plans de la zone d’intervention afin d’avoir le moins de dégâts possibles, d’être familier avec le système pour connaître ses forces et ses faiblesses, comprendre quelles sont nos priorités. On va donc proposer à nos clients, une fois par mois ou une fois par semestre, de préparer le jour où il y aura une crise. Il est impossible d’anticiper toutes les crises mais parfois cela se joue à un détail comme des plans qui ne sont pas à jour ou le fait de ne pas avoir le contact des personnes à joindre en cas de problème. Nous l’avons vu récemment lors d’un exercice de gestion de crise avec un laboratoire. »

Parallèlement à leur expertise technique, Devensys investit dans l’innovation. Ils développent des outils basés sur l’intelligence artificielle, mettant en lumière les vulnérabilités potentielles des organisations face aux attaques informatiques. « Une équipe développe des outils innovants pour notre partie offensive, continue le CEO. On a automatisé, développé et imbriqué plusieurs éléments liés à l’intelligence artificielle afin de pouvoir simuler une attaque sociale par plusieurs canaux en même temps ».

Concrètement, la société ne s’arrête pas à un simple mail de phishing, car une IA poursuit la conversation avec la cible.Capable d’envoyer des SMS, de parler sur Teams, Slack et de passer des appels téléphoniques, elle sera autonome pour trouver des failles de sécurité et collecter des informations. « C’est un produit qui est toujours en développement mais qui est déjà utilisé, dans un but éducatif, ainsi que lors des prestations d’attaque simulée. Cela fait partie de notre arsenal mais c’est surtout un outil de prise de conscience. On montre que l’IA peut être une vraie plaie. Par exemple, nous allons lancer ce type d’attaque sur un groupe de 300 salariés, avec des SMS automatisés, des e-mails de phishing, une voix mystérieuse et robotique au téléphone…L’idée est de montrer qu’avec environ 200€ dépensés pour l’attaquer, on peut faire perdre le temps des 300 salariés ».

Récemment, dans un rapport, le FBIa révélé que la cybercriminalité génère désormais plus de bénéfices que le trafic de drogue à l’échelle mondiale, attirant des criminels vers des activités en ligne lucratives. Dans un contexte mondial où la cybercriminalité génère des profits considérables, Devensys collabore étroitement avec les autorités compétentes pour lutter contre ces menaces : « Nous travaillons en étroite collaboration avec les autorités, notamment avec les policiers basés à Montpellier, en leur transmettant très rapidement les éléments qu’on a récupéré, avec l’accord du client. Grâce à la multiplication des indices, les agents en charge de l’enquête arrivent parfois à démanteler le réseau. »
En cas de crise, c’est surtout auprès des clients que la société intervient. « En cas d’intrusion ou d’attaque, nous leur rappelons qu’ils doivent communiquer avec le délégué à la protection des données (DPO)et qu’ils ont une obligation morale de porter plainte, explique-t-il. Souvent on leur rappelle que la police n’est pas là pour leur taper sur les doigts, que les policiers veulent juste les faits et les éléments techniques. Ils s’inquiètent parfois des dommages que cela peut faire à leur réputation, mais c’est nécessaire pour éviter que cela ne se reproduise. »

Selon Léo Gonzales, cette coopération devient clé lorsqu’on parle de celle entamée avec l’Agence nationale de la sécurité des systèmes d’information (ANSSI), acteur dans la régulation de la cybersécurité en France. Une relation vouée à évoluer et à grandir d’après le CEO de Devensys : « À partir d’octobre 2024, l’ANSSI jouera un rôle renforcé en tant qu’entité de contrôle et de sanction, imposant des mesures de sécurité plus strictes aux entreprises confrontées à des incidents de sécurité. La directive européenne NIS2 sera mise en œuvre, obligeant les entreprises de plus de 50 salariés à signaler tout incident de sécurité dans un délai de 72 heures. Ce renforcement de la réglementation vise à améliorer la cybersécurité à grande échelle et elle incitera les entreprises à renforcer leurs
défenses. Ce qui est inquiétant c’est qu’au jour d’aujourd’hui, peu de sociétés sont au courant de cette nouvelle obligation… ».