C’est dans le cadre d’un projet de fin d’études avec le CEA qu’Anne-Sybille Pradelles, diplômée d’HEC, démarre sa carrière dans la cybersécurité. Trois ans après l’obtention de son diplôme, elle est directrice des opérations d’une startup spécialisée dans la protection des infrastructures IT des entreprises. Nous l’avons rencontrée pour en savoir plus sur son parcours dans un secteur relativement peu connu en école de commerce et pourtant en pleine croissance, la cybersécurité.
Trois années après la sortie d’école, directrice des opérations d’une start-up high-tech en pleine croissance
Peux-tu te présenter rapidement ?
Je m’appelle Anne-Sybille, et je suis directrice des opérations chez Alsid, une startup B2B qui développe une solution permettant de superviser et de protéger les infrastructures Active Directory – la brique spécifique des systèmes d’informations qui gère les droits d’accès et systèmes d’authentification au sein d’une entreprise – en temps réel. C’est ma troisième expérience en cybersécurité et mon premier CDI dans ce domaine, que je trouve passionnant.
Pourquoi t’es-tu orientée vers la cybersécurité ?
Lors de mon année de césure, j’ai eu l’opportunité de travailler dans un fonds de Venture Capital : cela m’a permis, d’une part, de découvrir l’écosystème de la ‘tech’ et des start-ups et, d’autre part, de prendre conscience de l’ampleur du marché et des enjeux de la cybersécurité aujourd’hui et dans les années à venir. Ce premier aperçu du monde de la tech m’a donné envie de poursuivre dans cette voie pour ma dernière année académique (M2) et de suivre le master ‘Entrepreneurship & Innovation’. C’est dans ce contexte que j’ai choisi de côtoyer de plus près le secteur de la cyber sécurité au travers de mon projet de fin d’études avec le CEA sur une technologie de chiffrement. Ayant ainsi expérimenté le premier stade de développement d’une start-up – très early, en collaboration avec un centre de recherche – j’ai voulu voir comment opérait une start-up ayant un stade de maturité plus avancé – phase de commercialisation, de renforcement de son modèle opérationnel ; ce que j’ai fait lors d’une expérience de quelques mois chez Cybelangel, start-up cyber comptant à l’époque une vingtaine d’employés.
D’un point de vue personnel, ce sont les nombreux documentaires à ce sujet qui ont éveillé ma curiosité. J’y ai découvert des problématiques aux enjeux globaux, liés à la défense, tant virtuelle que réelle, ou à l’équilibre des pouvoirs entre Etats et Multinationales. Aujourd’hui la cybersécurité s’apparente encore trop à une ‘boite noire’ : c’est pourtant un sujet qui touche tout le monde – institutions privées, publiques, individus – et qui reste encore flou ou mal compris du fait de sa forte composante technique. C’est cette complexité de problématiques diverses – technologiques, géopolitiques, d’« évangélisation » – qui m’intéresse dans la cybersécurité et qui a guidé mon choix de carrière.
Peux-tu nous présenter Alsid ?
Alsid est une startup fondée en 2016. Elle aide les entreprises à sécuriser leurs systèmes d’information. Les fondateurs, Luc Delsalle et Emmanuel Gras, anciens experts de l’ANSSI, (ndlr l’Autorité Nationale de la Sécurité des Systèmes d’Information) ont fait le constat que l’Active Directory – la brique spécifique des systèmes d’informations qui gère les droits d’accès et systèmes d’authentification au sein d’une entreprise – est le dénominateur commun et surtout le maillon faible dans la plupart des schémas de compromission ces 10 / 15 dernières années. Le 2ème constat a été qu’il n’y avait pas de solution sur le marché répondant de manière exhaustive a cette problématique. C’est ainsi qu’ils ont développé un software sécurisant en temps réel cette brique particulièrement vulnérable (identifiants, authentifications) pour protéger les systèmes d’information des entreprises. Trois ans après sa création, Alsid est passée de 2 à 60 employés et nous sommes maintenant présents au Royaume-Uni, en Asie, et le serons aux Etats-Unis l’année prochaine. En France, nos clients sont principalement des entreprises du CAC40 ; pour vous donner quelques exemples : Sanofi, Vinci Energies, Lagardère.
Comment est-elle organisée ?
Alsid a une structure assez classique pour une startup ‘cyber’. Les équipes tech représentent environ 50% des effectifs. Ce sont des profils ingénieurs. Les profils business représentent les 50% restants ; ils travaillent dans les pôles marketing, sales, G&A (ressources humaines & finance) et opérations. Nos équipes sont réparties entre la France, le UK, l’Asie (Hong-Kong, Singapour, Malaisie), l’Australie et bientôt les Etats-Unis.
En tant que directrice des opérations, peux-tu nous en expliquer le fonctionnement ?
Le pôle opérations est un peu particulier puisqu’il comprend à la fois des profils tech et des profils business. Il a un rôle transverse, et se situe à l’intersection des autres départements chez Alsid. Dans les grandes lignes, nous intervenons sur toute la chaine de valeur post-sales et sur les opérations internes de l’entreprise.
– En après-vente ( post-sales), notre rôle est de nous assurer que le client comprend la solution, l’utilise de manière récurrente et en est totalement satisfait. Ainsi, nous assurons la livraison du produit, l’accompagnement du client tout au long de la ‘customer journey’ ( customer success ), le service client ( customer support) et la formation ( le training ). Au total l’ensemble de ces activités se répartissent sur 4 équipes.
– Les opérations internes sont composées de deux équipes : l’équipe ‘Sales Operations’ qui aide notre organisation commerciale à fonctionner efficacement – via la mise en place de process et d’outils comme Salesforce par exemple – et à avoir une vue d’ensemble sur leur stratégie et objectifs commerciaux. L’équipe ‘Business & Data Operations’ , elle, analyse les données métier de chaque département pour améliorer les performances de chaque équipe et de l’entreprise dans son ensemble.
Quelles sont tes missions en tant que directrice des opérations ?
Depuis mon arrivée chez Alsid il y a deux ans et demi, mes missions ont beaucoup évolué du fait de la croissance rapide de l’entreprise. Si je devais les catégoriser en trois types, ce serait : le build et le run, le legacy.
– Tout d’abord, le build, qui est le propre des start-ups : prendre un sujet, construire à partir de 0, poser les bases et les faire évoluer pour s’adapter à l’évolution / maturité de l’organisation. Pour ce qui est des opérations, cela consiste 1/ à définir la vision, l’organisation et les objectifs de l’équipe 2/ à recruter mon équipe. Très concrètement, pour le point 1/ il s’agit d’établir des documents de référence explicitant notamment l’articulation de cette organisation avec l’existant (organisation pre-sales, tech, marketing) ou le ROI d’une organisation post-sales sur les résultats globaux de l’entreprise.
– Vient ensuite le run ; le run c’est faire ‘tourner la machine’ quand les bases sont déjà là et s’assurer que l’activité croît selon la trajectoire définie par le business plan (BP) de l’entreprise. En ce qui me concerne aujourd’hui, c’est combler les trous des personnes de mon équipe qui ne sont pas encore arrivées – mais qui vont arriver bientôt ! – à savoir par exemple mettre en place des rapports / forecast Salesforce, gérer notre programme de formation technique à destination de nos partenaires. Mais c’est également m’assurer que chaque membre de l’équipe opérations soit pleinement satisfait de ses missions et communique sur les points de blocage / difficultés afin de réfléchir ensemble à des solutions.
– Enfin, Le legacy consiste à transmettre aux nouveaux arrivants chez Alsid l’ensemble des dossiers et des sujets sur lesquels j’ai pu travailler avant leur arrivée et qui les concernent aujourd’hui – sales, rh, marketing, gestion de notre réseau de distribution, juridique.
Je fais également partie de l’équipe de direction de l’entreprise, et participe donc aux grandes décisions sur l’orientation de l’entreprise.
Une opportunité en cybersécurité, un marché en pleine expansion
Comment définirais-tu le marché de la cybersécurité ?
La cybersécurité est un marché 1/ en forte croissance, 2/ dont les problématiques ne concernent plus uniquement les organisations étatiques et grands groupes mais aussi les TPE/PME ainsi que les individus à leur échelle 3/ moins concentré que d’autres secteurs, ce qui laisse la place à de nouveaux acteurs / challengers ; 4/ qui n’est pas aussi uniforme ou homogène comme on pourrait le penser à première vue. A l’instar de la finance par exemple qui est composée de la finance de marché, de finance d’entreprise et de banque de détail, il existe en cybersécurité de nombreux segments qui peuvent être très différents les uns des autres et une grande diversité d’acteurs.
Comment évolue le marché de la cybersécurité ?
Ce marché est en pleine expansion : les derniers chiffres sur le sujet l’estime à 130 Milliards de dollar pour 2018 avec une prévision de croissance de 10% par an prévu pour les cinq prochaines années. Peu de marchés peuvent se vanter d’avoir une croissance à deux chiffres !
Au-delà du nombre croissant d’attaques informatiques qui n’est plus à démontrer, on observe que les attaques aujourd’hui touchent tous types de secteurs (public et privé), toutes tailles d’entreprises, à tous les stades de maturité et ne connaissent pas les frontières géographiques. Ce qu’il est important de souligner ici c’est que les faits d’actualité qui font beaucoup de bruit – attaques de grande envergure à l’encontre des grands groupes – ne représentent que la partie émergée de l’iceberg ; on estime aujourd’hui que plus 70% des PME françaises ont déjà été la cible d’une cyber-attaque..
Qui sont les acteurs de ce marché ?
Ils sont nombreux. Au tout début de la chaîne de valeur, il y a les ‘éditeurs de logiciels’, qui développent et produisent les logiciels. Il peut s’agir de grandes entreprises déjà établies, comme Palo Alto, Checkpoint ou Symantec ou des nouveaux acteurs / startups /challengers comme Alsid spécialisés sur une problématique ou une technologie. On trouve ensuite les revendeurs / intégrateurs des solutions comme Orange Cyberdéfense ou Atos ; les prescripteurs / cabinets de conseils ayant des practices cyber dédiées comme Wavestone ou PWC ; et enfin des entités publiques comme l’ANSSI, référent des problématiques cyber en France, définissant le cadre des bonnes pratiques et pouvant intervenir dans des cas de compromissions critiques.
Quels sont les programmes pour aider les startups ?
Pour ce qui est des programmes dédiés aux start-ups cyber, nous avons bénéficié du programme d’accélération de Thales lancé au sein de Station F destiné aux startups early stage. De manière plus globale, nous avons été accompagnés dès le début par Wavestone dans le cadre de son programme d’accompagnement de start-ups ‘Shake-up’ et Axeleo, spécialisé dans la phase d’amorçage de start-up tech B2B.
Parle-t-on assez de cybersécurité en école de management ?
De cybersécurité très spécifiquement, je ne pense pas. Et c’est pourtant sur les bancs de l’école qu’il est le plus propice d’éveiller les curiosités et vocations. Il y a tout de même eu ces dernières années une prise de conscience que les deux débouchés classique, la finance et le conseil en stratégie, n’intéressaient plus 100% des étudiants d’une promotion.
HEC a commencé à développer d’autres tracks dans ses Masters et électifs. Le partenariat avec l’École 42 en est un bel exemple. Certaines entreprises s’emparent également du sujet pour éveiller les étudiants à la cybersécurité.. C’est le cas d’Akerva ou de startups qui viennent sur le campus.
Quels métiers peut-on exercer dans le secteur de la cybersécurité ?
À l’instar d’Alsid, la moitié des métiers sont à pourvoir par des profils business, que ce soit en sales, en marketing, en finance ou en management d’équipes ; et les besoins sont énormes compte tenu de la croissance. Aujourd’hui, clairement, nous devons faire face à une pénurie de talents. Dans la mesure où la complémentarité des profils est créatrice de valeur pour l’entreprise et constitue un point d’attention particulier pour les investisseurs, les étudiants d’écoles de commerce ont une vraie valeur ajoutée en intégrant une entreprise avec un fort ADN tech.
La technique peut faire peur, mais la curiosité et l’intérêt pour le projet vous permettront d’en venir à bout rapidement. A titre d’exemple, j’ai passé mon premier mois chez Alsid à me plonger et à me familiariser avec la technologie sous-jacente au produit d’Alsid.
Quels stages recommanderais-tu ?
Je vais prêcher pour ma paroisse ici : un stage en startup bien sûr. Cela vous permettra d’avoir une vue à 360 dans l’entreprise, et une exposition aux différents métiers, et vous verrez très concrètement le résultat de vos actions étant donné la taille et maturité de l’entreprise. Il n’y a rien de plus formateur. Pour en trouver en cybersécurité, vous pouvez faire un tour sur Welcome to the jungle, regarder le radar Wavestone des start-ups cyber en France ou les start-up du programme Thalès de la Station F.
Une alternative serait un stage en fonds de Venture Capital (fonds VC). Ce type d’expérience a l’avantage de vous donner une vue d’ensemble sur l’écosystème des startups techs et d’avoir des missions à composante financière et stratégique. Ce type de stage a aussi l’avantage de comprendre ce qu’il se passe côté investisseur, toujours intéressant si vous décidez un jour de passer de l’autre côté, dans une start-up souhaitant lever des fonds. Seul problème, il y a relativement peu d’opportunités.
Quelles sources d’information peuvent nous aider à nous former ?
Pour rester au fait des informations tech, faites un tour sur le site généraliste TechCrunch. Pour de la cybersécurité pure, Dark Reading , et pour des études de marché Gartner ou Forrester .
Quel est ton ressenti en tant que femme dans ce milieu extrêmement masculin qu’est la cybersécurité ?
Ce n’est pas un scoop, il n’y a pas assez de femmes en cybersécurité (taux de représentation d’environ 10%). Je pense que les femmes qui y évoluent ont un double rôle à jouer : lors des phases de recrutement, mettre en confiance celles qui postulent ; et de façon plus générale prendre la parole à des événements publics, pas forcément sur la thématique des femmes en cybersécurité mais simplement pour montrer qu’il y a bien des hommes et des femmes dans cette industrie.
Le chômage n’existe pas en cybersécurité. Le marché étant très porteur et peu connu des étudiants en école de commerce, il y a une pénurie de main d’œuvre, donc de belles opportunités à saisir !
Quels conseils donnerais-tu à quelqu’un qui viendrait de rentrer en école de commerce ?
Vous me vieillissez de dix ans avec cette question (rires). Je vous conseillerai d’exploiter au mieux le large panel d’opportunités qui s’offrent sur le campus : récolter le plus d’informations – sur les différents métiers / secteurs par exemple – et développer son réseau, notamment via les associations. Je vous conseillerai aussi de partir à l’international, surtout via une expérience professionnelle. Familiarisez-vous avec un environnement de travail international !
Merci encore à Anne-Sybille pour son temps et son attention.
