Forum InCyber — Épisode 3 : les start-up cyber à l’épreuve du réel

Pour sa troisième émission en direct du Forum InCyber 2026, IT for Business a braqué les projecteurs sur les start-up et les acteurs en croissance qui veulent peser sur la cybersécurité européenne. Mais derrière les prix, les belles histoires et les promesses d’IA, une ligne commune s’est dessinée : l’innovation ne vaut que si elle résout un problème concret, trouve son marché, tient son cap et sait transformer une singularité technologique en avantage industriel durable.

L’IA est partout, jusque dans les discours, jusque dans les noms, jusque dans la manière de se présenter au marché. Cette troisième séquence entend pourtant éviter le piège de la simple vitrine. L’enjeu n’est pas de célébrer l’innovation pour elle-même, mais d’aller voir ce qu’elle change vraiment : dans les usages, dans la protection, dans les modèles économiques, dans l’émergence de nouveaux acteurs européens capables de tenir face à des concurrents déjà installés.

Et ce qui frappe, au fil des échanges, c’est que les lauréats du Forum InCyber 2026 mis en avant cette année ne racontent pas seulement de jolies histoires de start-up. Ils parlent exécution, traction, partenaires, certification, cash, focus, vitesse de déploiement, profondeur technique et, de plus en plus souvent, autonomie stratégique.

VirtualBrowser ou l’idée simple qui consiste à déplacer le risque

Avec Édouard de Remur, CEO de VirtualBrowser, cette émission démarre sur une forme de retour d’expérience entrepreneurial. Le dirigeant n’est pas un primofondateur grisé par sa première levée. Il le dit lui-même avec un sourire : « J’ai une seconde vie. J’ai créé une première entreprise il y a 25 ans, qui s’appelle Oodrive. » VirtualBrowser, née en août 2024, est pourtant une vraie jeune pousse, mais issue d’un temps long : celui d’une technologie repérée, conservée, incubée, puis sortie au bon moment.

Le récit est intéressant parce qu’il dit quelque chose de l’innovation réelle : toutes les bonnes idées ne sont pas immédiatement mûres. « Il y avait une technologie hyper intéressante, mais qui n’était pas prête. Le marché n’était pas là… Et puis, il y a deux ans, la techno a été prête. Le marché a répondu présent. » Ce décalage entre l’intuition, la maturité technologique et la fenêtre de marché reste l’un des sujets les moins bien racontés quand on parle d’innovation.

Le navigateur comme première ligne de défense

Sur le fond, VirtualBrowser porte une approche de rupture : plutôt que d’empiler les couches de détection sur les postes, l’entreprise déporte l’exécution du web dans un environnement distant et n’en renvoie à l’utilisateur qu’un flux d’interaction sécurisé. Édouard de Remur résume sa philosophie de manière très parlante : « La meilleure sécurité que l’homme ait inventée depuis des millénaires, c’est de déporter le risque. »

L’image du goûteur romain ou du robot envoyé sur un terrain miné n’est pas qu’un effet de manche. Elle dit bien la logique du produit : si l’on n’a pas confiance dans un site, on limite les droits ; si l’on a un doute, on conserve l’usage sans exposer l’utilisateur. « Si vous coupez le clavier, il n’y a plus de phishing », tranche-t-il. La formule est brutale, mais elle porte une idée forte : mieux vaut un accès restreint qu’un blocage total ou qu’une confiance mal placée.

Ne pas bloquer, mais autoriser sans risque

Le point fort de VirtualBrowser, tel qu’il est défendu ici, tient dans cette promesse de transparence. « L’utilisateur ne voit aucune différence entre un surf normal et un surf protégé. » C’est là que la proposition devient politiquement intéressante pour un RSSI : protéger sans casser l’expérience, sécuriser sans se transformer en empêcheur d’utiliser.

Édouard de Remur insiste d’ailleurs sur ce renversement de rôle. Son produit, dit-il, « rend le CISO populaire », parce qu’il autorise plus de choses qu’il n’en interdit. Accès à certains sites, usage maîtrisé de certains LLM, consultation de messageries personnelles, ouverture à des outils jusque-là bloqués : la cybersécurité cesse alors d’être seulement une logique de fermeture pour redevenir une fonction d’arbitrage.

La souveraineté, un plus… mais pas l’argument principal

Sur le terrain commercial, le dirigeant de VirtualBrowser tient un discours assez lucide. Oui, être une start-up française, souveraine, certifiée CSPN par l’ANSSI, compte. Oui, cela rassure. Mais non, ce n’est pas encore le premier déclencheur. « La souveraineté, c’est extrêmement important, mais malheureusement, dans la tête de certains clients, c’est vu comme une faiblesse », glisse-t-il. Le propos mérite d’être relevé : il dit que la souveraineté seule ne vend pas encore, ou pas partout.

En revanche, la certification, elle, joue un rôle très concret. « C’est un game changer », affirme Édouard de Remur à propos du CSPN. Non seulement parce qu’il force les équipes à progresser, mais parce qu’il raccourcit le cycle de confiance. Et dans une start-up, la confiance raccourcie est déjà un levier de croissance.

Pour une start-up, la première techno reste l’humain

L’autre intérêt de cette intervention est qu’elle sort du seul produit. Interrogé sur ce qui compte pour durer, Édouard de Remur ne répond pas « features », « branding » ou « roadmap », mais recrutement. « L’élément décisif, c’est le recrutement. » Dans un environnement désormais saturé d’outils d’IA, sa recommandation vaut d’ailleurs comme une ligne de conduite : peu de monde, mais des profils solides, augmentés intelligemment par les bons outils.

Son second conseil est plus classique, mais il revient chez tous les entrepreneurs qui ont déjà traversé plusieurs cycles : « Cash is king. » Le marché a changé, rappelle-t-il en substance. Il n’est plus question de brûler pour croître. Il faut tenir, négocier, montrer que l’on sait gérer.

Avanoo ou l’art d’allumer la lumière sur le Shadow IT

Avec Tanguy Duthion, CEO d’Avanoo, le sujet change de forme, mais pas de logique. Là encore, l’innovation se niche dans un angle mort du SI. L’entreprise, récompensée pour son impact opérationnel, s’attaque à ce que son dirigeant décrit très simplement : tout ce qui est déjà utilisé dans l’entreprise sans que la DSI ou le RSSI n’en aient vraiment la maîtrise. « On va mettre la lumière dessus. »

Le cœur de l’idée vient d’une expérience vécue : celle d’un logiciel SaaS qui s’installe par le bas, gratuitement, avant d’être institutionnalisé par les métiers. Tanguy Duthion raconte avoir vu de l’intérieur comment le Shadow IT pouvait devenir une arme commerciale. Et c’est de là qu’est née la question fondatrice : « Ce n’est quand même pas normal que le DSI n’ait pas vu le truc venir alors qu’il y a déjà tout le monde qui l’utilise. »

Avec l’IA, les DSI savent déjà qu’ils ont perdu la main

Le point intéressant, dans son propos, est que la pédagogie commerciale a changé. Peut-être qu’il y a quelques années, expliquer à une direction informatique qu’elle ne voit pas ce qui se passe chez elle pouvait froisser. Aujourd’hui, notamment avec l’IA, le constat est presque intégré. « Les DSI, les RSSI sont déjà au courant que ça va beaucoup plus vite que ce qu’ils voient et qu’ils ont déjà perdu la main sur le sujet. »

Autrement dit, l’IA a agi comme un accélérateur de lucidité. Elle ne crée pas le Shadow IT, mais elle le rend impossible à nier. Et c’est sur ce terrain qu’Avanoo avance : non pour interdire d’emblée, mais pour voir, comprendre le cas d’usage, puis gouverner.

Petit effectif, grand écosystème

Autre trait marquant : la stratégie de croissance de l’entreprise. Avanoo n’a aucune ambition de mastodonte interne. « On est dix aujourd’hui… L’objectif, ce n’est pas de faire une société où on devient 2000 employés. » Là encore, le choix est révélateur d’une nouvelle grammaire de start-up B2B : rester relativement léger, mais s’appuyer sur des partenaires forts, en France et en Europe, pour accélérer le déploiement.

Cette logique partenariale n’a rien d’un habillage. Elle devient une condition d’extension géographique et d’ancrage local. Tanguy Duthion insiste : les barrières de langue et de culture restent fortes en Europe ; pour les passer, il faut des relais qui connaissent les clients, les terrains et les usages.

Les investisseurs ne mettent plus seulement du cash, ils mettent du cap

Le passage sur le financement est aussi intéressant. Le CEO d’Avanoo explique avoir tiré des leçons du cycle post-Covid, où certaines entreprises ont levé trop vite et brûlé trop fort. Le propos fait écho à celui d’Édouard de Remur : grandir, oui, mais pas à n’importe quel prix. Surtout, il insiste sur le rôle réel de son fonds, Auriga Cyber Ventures. Pas seulement comme financeur, mais comme apporteur de recul. « Ils ont une vision du marché presque de devin », dit-il, avant de préciser qu’ils l’aident à « prendre de la hauteur » quand lui-même garde « la tête dans le guidon ».

Là encore, la leçon est claire : le bon investisseur n’est pas seulement celui qui ferme le tour, mais celui qui aide à garder le cap sans perdre la lecture du marché.

L’impact opérationnel, c’est d’abord réduire la surface d’attaque

Interrogé sur le prix reçu, Tanguy Duthion répond sans détour : oui, l’enjeu est aussi économique, oui, il y a un sujet licences, oui, il y a un sujet de communication interne. Mais au fond, le bénéfice majeur reste la réduction du risque. « À partir du moment où j’ai cette visibilité, je vais pouvoir mettre une gouvernance en place… et donc je vais pouvoir réduire mes risques par définition. »

Et lorsqu’il décrit les environnements observés chez ses clients, l’image est frappante : ce n’est pas un ou deux outils cachés dans un coin, c’est « tout un continent ». De l’IA aux outils de partage, de Notion à asana, des solutions de transcription aux PDF bricolés dans des services tiers, les usages réels débordent partout.

Label4.AI : dans un monde saturé d’IA, il faut réapprendre à tracer

Avec Nicolas Bodin, CEO de Label4.AI, on change encore de terrain. Ici, l’innovation se situe dans la capacité à distinguer, marquer, détecter, authentifier les contenus générés ou modifiés par IA. Son point de départ est limpide : nous sommes « complètement submergés de contenus générés par l’intelligence artificielle », et cette abondance atteint un niveau tel que « même pour un œil averti, c’est impossible de déterminer la nature réelle d’un contenu ».

La formule qui suit résume la promesse de l’entreprise : « Notre mission, c’est de tracer un trait entre ce qui est synthétique et ce qui est authentique. » Pas entre le vrai et le faux, précise-t-il, car la position de Label4.AI n’est pas anti-IA. Elle est pro-traçabilité. C’est une nuance décisive.

Authentifier le vrai vaut souvent mieux que détecter le faux

Le discours de Nicolas Bodin a le mérite d’éviter un piège fréquent dans ce domaine : faire croire qu’il suffit de “détecter l’IA” comme on détecterait une anomalie triviale. Lui-même insiste sur les limites, notamment sur le texte, pour lequel il refuse aujourd’hui de vendre une promesse qu’il juge académiquement insuffisante. « Notre valeur principale, c’est l’intégrité, l’objectivité. » Cette prudence est presque un signal de sérieux dans un marché où, comme il le dit lui-même, il est assez facile de prétendre qu’on sait faire.

Sa ligne de partage est claire : il y a d’un côté les techniques de marquage à la source, de l’autre la détection forensique en aval. Et entre les deux, une hiérarchie. « L’authentification du vrai » reste préférable à la seule « détection du faux ». Autrement dit, plus on remonte dans la chaîne de production, plus la confiance est forte.

L’AI Act va changer la donne, y compris industriellement

L’un des passages les plus importants de cette intervention concerne le cadre européen. Nicolas Bodin rappelle qu’à compter de l’entrée en application prévue de certaines obligations de l’AI Act, les contenus générés par IA devront devenir détectables automatiquement par machine. Et il précise que son entreprise fait partie des rares acteurs français privés impliqués dans les groupes de travail européens sur les méthodes à retenir.

Ce point change tout. Parce qu’il signifie qu’à terme, le contenu non marqué deviendra davantage l’exception que la règle. Et que les acteurs capables de travailler à la fois sur le marquage, la traçabilité et la détection disposeront d’un vrai levier normatif, pas seulement technologique.

Le marché est jeune, donc il attire aussi les illusionnistes

Nicolas Bodin le reconnaît volontiers : son marché est en train de se structurer, et avec lui émergent des acteurs plus ou moins sérieux. Son constat est assez sévère : « C’est plutôt facile de faire croire qu’on fait bien ce qu’on fait » dans ce domaine. D’où l’importance de l’adossement aux laboratoires et à une recherche de haut niveau. Chez Label4.AI, l’équipe reste petite — huit personnes — mais elle s’appuie sur des liens actifs avec l’INRIA, le CNRS et l’université Federico II de Naples.

Ce point-là aussi mérite d’être relevé : dans certains domaines cyber-IA, la start-up n’est pas seulement une équipe produit augmentée d’un peu de R&D. Elle devient un prolongement industrialisable d’un socle scientifique.

Qevlar AI : au SOC, la vitesse seule ne suffit pas

Avec Jean-Baptiste Guglielmine, Director of Sales Engineering de Qevlar AI, l’émission revient à un sujet très observé cette année : l’application de l’IA aux centres d’opérations de sécurité. L’entreprise, fondée en 2023, a reçu le prix de la croissance. Mais son représentant prend soin de rappeler que grossir n’a de sens que si la promesse tient en production. « Ce qui est extrêmement important, la vitesse, c’est une chose, mais il faut aussi donner de bons résultats. »

Voilà tout l’intérêt de son propos. Il ne suffit pas de dire qu’un agent va trier plus vite. Encore faut-il qu’il produise une analyse fiable, profonde, répétable, documentée. C’est là que Qevlar AI entend se distinguer : non dans le seul triage, mais dans la capacité à produire des « rapports d’investigation extrêmement profonds », en rebondissant d’un système à l’autre, d’une information à une autre, pour remonter à la cause ou à tout le moins à une compréhension beaucoup plus solide de l’alerte.

L’IA utile au SOC, c’est celle qui sait rester constante

Le passage le plus fort de cette intervention concerne sans doute l’architecture de la solution. Jean-Baptiste Guglielmine explique que le cœur d’orchestration de Qevlar AI n’est pas fondé uniquement sur des LLM, précisément parce que ces derniers manquent de constance dans des investigations longues. Son étude interne est frappante : sur une investigation simple, un LLM reste relativement constant ; sur des séquences de 15 à 20 étapes, cette constance s’effondre.

Or dans un SOC, la répétabilité compte autant que la vitesse. « On a des playbooks qui sont répétables. Donc une IA doit aussi faire les choses de manière répétable. » Cette remarque est essentielle : elle dit que l’industrialisation de l’IA en cybersécurité ne se joue pas seulement sur la puissance du modèle, mais sur l’architecture qui encadre son usage.

Le SOC de demain n’élimine pas l’analyste, il lui rend du temps

L’autre ligne forte de Qevlar AI, c’est la réallocation du temps humain. L’entreprise promet de traiter en quelques minutes ce qu’un analyste mettrait une demi-heure à faire. Mais le discours ne tombe pas dans la fiction d’un SOC sans humains. Il va dans l’autre sens : « Les humains ont de meilleures choses à faire que de regarder des alertes de phishing toute la journée. »

Le luxe que promet cette IA-là n’est donc pas l’effacement de l’analyste, mais le retour du temps d’enquête, de la réponse à incident, du detection engineering, bref de tout ce qui exige réellement du jugement et pas seulement de l’exécution répétitive.

HarfangLab, ou la sortie du récit de la “petite pépite française”

Pour conclure cette séquence, Grégoire Germain, CEO de HarfangLab, apporte une perspective différente : celle d’une entreprise qui n’est plus une start-up au sens strict, mais qui n’a pas encore terminé sa mue. Son propos est particulièrement intéressant parce qu’il met des mots sur un plafond de verre que beaucoup d’acteurs français connaissent : réussir l’innovation initiale ne suffit pas, il faut ensuite devenir une alternative crédible à grande échelle.

HarfangLab s’est imposée d’abord sur l’EDR, sur un terrain largement occupé par des acteurs non européens. Mais Grégoire Germain insiste : l’entreprise ne se définit plus seulement comme un éditeur d’EDR. Elle veut devenir une « plateforme de protection de l’espace de travail », étendue aux vulnérabilités, à la conformité, à l’identité, aux containers, aux workloads cloud. Autrement dit, la transformation d’une start-up en acteur structurant passe aussi par l’élargissement cohérent de sa proposition de valeur.

L’autonomie stratégique, de lubie française à critère de marché

Le mot-clé chez HarfangLab n’est pas exactement souveraineté, mais « autonomie stratégique ». Et Grégoire Germain le dit clairement : il y a huit ans, cette expression faisait sourire. Aujourd’hui, plus vraiment. « On s’est positionné sur un différenciant énorme qui est l’autonomie stratégique… aujourd’hui, tout le monde dit : ça y est, on a compris ce que c’était. »

Ce glissement n’est pas anecdotique. Il signifie qu’un discours longtemps perçu comme un supplément franco-français devient désormais une vraie valeur de marché. Et chez HarfangLab, cela se traduit concrètement : possibilité d’opérer on premises, recours à des modèles embarqués chez le client, certifications, transparence, focus sur des marchés “mission critical” où la dépendance aux acteurs non européens devient de plus en plus questionnée.

Quand sait-on qu’on a cessé d’être “une start-up prometteuse” ?

La question posée sur le plateau est la bonne : à quel moment sait-on qu’on a franchi une étape ? Grégoire Germain répond par deux indices. D’abord, quand des clients très exigeants vous confient des parcs massifs, dans des environnements extrêmement sensibles. Ensuite, quand ce que vous avez construit devient répétable, y compris à l’échelle européenne.

Son diagnostic est lucide : la société a fini une étape, pas le voyage. Elle a atteint la rentabilité, elle dispose de plus de 800 clients, elle vise 20 millions d’ARR et annonce vouloir monter à 100 millions en quatre ou cinq ans. Mais le véritable défi est ailleurs : dans la consolidation. Croissance organique, nouveaux produits, partenariats technologiques, puis éventuellement croissance externe. Là encore, le sujet n’est plus seulement l’idée. C’est la capacité à exécuter dans la durée.

Pas de recette miracle, mais un impératif : rester focus

La conclusion de Grégoire Germain vaut presque pour tous les invités de cette émission : il n’y a pas de martingale générale. « Il n’y a aucun entrepreneur qui est capable de dire qu’il a la recette. » En revanche, il y a des invariants. Le premier est le focus. Sur son marché, sur sa proposition de valeur, sur la cohérence entre ce qu’on sait faire et là où cela résonne.

Cette idée traverse en réalité toute la séquence. Chez VirtualBrowser, le focus est celui d’un usage critique du web. Chez Avanoo, celui du Shadow IT et du Shadow AI. Chez Label4.AI, celui de la traçabilité des contenus synthétiques. Chez Qevlar AI, celui de l’investigation SOC réellement industrialisable. Chez HarfangLab, celui d’une autonomie stratégique concrète appliquée au workspace security.

Pour les DSI, ce que disent vraiment ces start-up

Au terme de cette troisième émission, la leçon pour les DSI est moins naïve qu’il n’y paraît. Oui, l’innovation existe en France et en Europe. Oui, elle est capable de produire des acteurs sérieux, parfois déjà très mûrs. Mais cette innovation n’a plus rien d’abstrait ni d’incantatoire. Elle se juge à des critères très concrets.

D’abord, sa capacité à résoudre un irritant réel, sans forcer artificiellement un cas d’usage. Ensuite, sa capacité à s’intégrer sans casser l’expérience, qu’il s’agisse du navigateur, du SOC ou du poste de travail. Puis, sa capacité à inspirer confiance, par la recherche, par la certification, par la transparence ou par la profondeur technique. Enfin, sa capacité à tenir dans le temps, donc à trouver un modèle économique, des partenaires, du cash et un marché répétable.

Pour les DSI, la vraie question n’est donc plus seulement “faut-il regarder les start-up ?”. Elle devient : lesquelles sont déjà en train de transformer un point de douleur opérationnel en avantage stratégique, et lesquelles ont vraiment les moyens de durer ?

---

À LIRE AUSSI :

Secu

Forum InCyber — Épisode 2 : « Être ou ne pas être poutré, telle n’est plus la question »

Alessandro Ciolek

1 Avr