Trustable : cartographier les risques cyber des entreprises étendues

Vie des Entreprises

Dossier : Vie des entreprises - Transformation numérique et intelligence artificielleMagazine N°805 Mai 2025

Dans un monde interconnecté, où les entreprises s’appuient sur des fournisseurs et partenaires externes pour fonctionner, la cybersécurité ne peut plus se limiter aux frontières de l’entreprise. C’est ce constat qui a mené Olivier Patole, expert en sécurité informatique, à fonder Trustable : une solution logicielle qui évalue en continu les risques cyber sur l’ensemble de la chaîne de valeur. Rencontre avec un entrepreneur qui veut démocratiser une évaluation rigoureuse, fiable et scalable des tiers.

Pourquoi avoir fondé Trustable, et quelle est votre ambition ?

Je viens du monde de la cybersécurité. Après des études spécialisées, j’ai travaillé pendant 17 ans en audit et conseil, au contact d’organisations de toutes tailles. J’ai vu évoluer le paysage IT : nous sommes passés de systèmes d’information fermés et internalisés à des structures éclatées, où l’entreprise s’appuie sur des partenaires, des prestataires, des clouds.

Bien vite, les clients ne nous demandaient plus d’évaluer leur propre sécurité, mais celle de leur écosystème. Le problème, c’est que les outils pour le faire étaient artisanaux, lents et coûteux. J’ai donc décidé de créer une solution logicielle qui permette de cartographier et d’évaluer en continu les risques cyber liés à ces tiers. C’est ça, Trustable.

Quelle est la proposition de valeur de votre solution ?

Nous proposons une plateforme qui offre une vision 360° du risque cyber : elle permet d’évaluer la posture de sécurité d’une entreprise, de ses filiales, mais aussi de ses partenaires et fournisseurs. L’objectif est de passer d’un audit manuel, ponctuel et coûteux, à une approche continue, automatisée et scalable.

“Le risque ne prend pas de vacances, et les attaques deviennent plus fréquentes, plus ciblées et plus sophistiquées.”

Nous exploitons notamment l’intelligence artificielle pour automatiser les analyses et réduire drastiquement les coûts. C’est indispensable dans un monde où la menace évolue en permanence. L’approche classique d’un audit annuel est dépassée : le risque ne prend pas de vacances, et les attaques deviennent plus fréquentes, plus ciblées et plus sophistiquées.

Vous parlez d’un risque systémique. À quoi fait-on face aujourd’hui ?

Ce qui change, c’est que les entreprises sont interconnectées. Une faille chez un fournisseur critique peut bloquer toute une chaîne. On l’a vu récemment dans le secteur financier : un prestataire s’est retrouvé attaqué, et ce sont des dizaines de clients — banques, assurances — qui ont été paralysés. Le risque est désormais systémique. Notre rôle, c’est de permettre à une entreprise de visualiser, en temps réel, les zones de fragilité de son écosystème. Elle peut ainsi anticiper les défaillances, ajuster ses contrats, ou renforcer ses exigences. Et comme tout ne se vaut pas, notre plateforme permet d’ajuster la profondeur d’analyse selon la criticité du tiers.

Comment incitez-vous les tiers à se prêter à l’exercice ?

C’est une vraie question. Pendant longtemps, les fournisseurs refusaient ou rechignaient à se faire évaluer. Ce n’était ni leur priorité, ni leur responsabilité directe. Mais cela change. Depuis janvier 2025, le secteur financier est soumis à une nouvelle réglementation : les donneurs d’ordre doivent impérativement évaluer les risques cyber de leurs partenaires.

La directive européenne NIS2 va étendre cette obligation à dix-huit autres secteurs. Cela veut dire que très bientôt, tous les fournisseurs auront l’obligation de prouver qu’ils sont en conformité. Nous accompagnerons cette transition en proposant un outil simple, équitable, et adapté à la réalité des petites comme des grandes structures.

Quel est votre modèle économique aujourd’hui ?

Aujourd’hui, ce sont principalement les donneurs d’ordre qui nous rémunèrent. Ils ont l’obligation réglementaire, donc ils financent l’évaluation de leurs tiers. Mais nous anticipons une bascule dans les trois ans : ce seront les fournisseurs qui devront prouver à l’ensemble de leurs clients qu’ils respectent un certain niveau de sécurité. Nous proposerons alors un modèle de souscription, où le tiers finance sa propre évaluation, et la met à disposition de son écosystème. C’est un changement culturel : prouver qu’on est digne de confiance deviendra une démarche proactive. La sécurité ne sera plus seulement une exigence contractuelle, mais un levier commercial.

Êtes-vous un organisme certificateur ?

Non, nous ne délivrons pas de certification. Nous digitalisons et automatisons ce qu’un audit ferait de manière artisanale. Notre promesse, c’est de combiner la profondeur d’une analyse humaine avec la rapidité et l’échelle d’un outil logiciel. Les agences de notation cyber existantes scannent ce qui est visible sur Internet. C’est utile, mais insuffisant. Nous, nous allons plus loin : nous analysons les configurations internes, les pratiques, les niveaux d’exposition réels. Un peu comme si on testait la solidité d’une porte en y appliquant toutes les techniques d’effraction connues. C’est cette granularité qui permet d’obtenir une évaluation crédible.

Comment s’adapte votre analyse selon le profil du tiers ?

Nous avons conçu un système de parcours différenciés. Une entreprise peut classer ses tiers selon trois niveaux de criticité. Pour les fournisseurs standards, nous faisons une évaluation légère, centrée sur les documents et les pratiques déclarées.

Pour les tiers sensibles, nous poussons plus loin. Et pour les plus critiques, on va jusqu’à tester des configurations cloud, simuler des attaques, mesurer l’efficacité des protections. Le donneur d’ordre peut donc calibrer l’effort en fonction du risque réel. Et le fournisseur, lui, peut valoriser les efforts qu’il fait en obtenant une note plus élevée et plus fiable que celle d’un simple scan.

Quels sont vos délais et vos moyens humains aujourd’hui ?

Un audit simple prend environ une semaine. Un audit complet peut s’étaler sur un à deux mois. Aujourd’hui, nous sommes quatre personnes dans le cœur de l’équipe, tous issus du monde de la cybersécurité. Je me suis entouré de deux associés, l’un avec un profil de chercheur, l’autre en charge des opérations. Nous travaillons aussi avec des indépendants en développement logiciel et en IA. L’idée est de renforcer notre équipe, notamment côté tech et vente. Nous préparons une levée d’un million d’euros pour accélérer ce développement. Notre ambition est de lever à terme vingt millions et de devenir un acteur clé du risk scoring cyber en Europe.

Quelles sont vos ambitions à moyen et long terme ?

À court terme, nous voulons couvrir l’ensemble des secteurs concernés par les nouvelles réglementations, au-delà de la finance. Puis nous comptons nous étendre à l’échelle européenne. Les obligations de cybersécurité ne s’arrêtent pas aux frontières, et les chaînes de valeur non plus. Notre objectif est que Trustable devienne une référence de confiance : un standard utilisé par les entreprises, les assureurs, les investisseurs, les acheteurs publics. La cybersécurité ne doit plus être un frein au business, mais un catalyseur. Et pour ça, il faut de la transparence, de la rigueur… et des outils accessibles.

Un mot pour les lecteurs et lectrices du réseau Polytechnique ?

Je crois beaucoup à l’intelligence collective. La cybersécurité est un défi global, qui dépasse les frontières techniques. Chez Trustable, nous voulons bâtir une solution ambitieuse, rigoureuse et utile. Nous cherchons à renforcer notre équipe avec des profils solides, et nous sommes ouverts à des collaborations, des soutiens, des idées. L’exigence, l’esprit critique et la rigueur que j’associe à Polytechnique sont des qualités que nous valorisons énormément. Ce que nous faisons aujourd’hui peut sembler technique, mais c’est une brique essentielle pour sécuriser les modèles économiques de demain.

Pour en savoir plus