Secu
Olivier Rizet (Filigran) : « C’est le FBI qui s’est tourné vers nous »
Par Laurent Delattre, publié le 09 avril 2026
Chez Filigran, la cyber threat intelligence ne reste ni dans des PDF, ni dans les mains de quelques spécialistes. OpenCTI, l’open source et l’IA y servent une même idée : transformer la donnée de menace en réflexes défensifs, en tests de résilience, en décisions opérationnelles. Olivier Rizet, Group Channels & Alliances Director, de la startup française est passé sur notre plateau au Forum InCyber 2026 pour évoquer les liens entre cybersécurité et communautés open source.
Il y a des entreprises qui naissent d’une nécessité immédiate. Filigran est de celles-là. En 2017, l’Élysée contacte Samuel Hassine, alors responsable de la CTI au sein de l’ANSSI, pour obtenir une évaluation des risques avant un déplacement en Russie. La réponse tient dans des PDF laborieusement assemblés. Ce moment fondateur, presque anecdotique, va donner naissance à OpenCTI, puis à Filigran, aujourd’hui l’un des acteurs européens les plus en vue de la cybersécurité et de la « Threat Intelligence ».
La particularité de Filigran ? Sa solution est depuis l’origine très ancrée dans l’approche open-source. Alors que les dépendances technologiques sont au cœur de la 18ème édition du Forum InCyber, nous avons rencontré sur le Show Lillois, Olivier Rizet, Group Channels & Alliances Director, de Filigran pour évoquer les relations entre le monde de la Cyber et le monde de l’open source.
Une start-up française à l’ambition planétaire
Filigran n’a plus grand-chose d’une jeune pousse hexagonale confidentielle. L’éditeur, français, membre du Next 120, revendique plus de 110 millions d’euros levés et surtout une empreinte déjà très internationale, avec des références qui vont du FBI à EDF, Bouygues Telecom, Lloyds ou Barclays. Des chiffres qui traduisent une trajectoire exceptionnelle pour une société dont le produit phare, OpenCTI, est aujourd’hui utilisé par plus de 10 000 organisations dans le monde.
Filigran n’est pas un outil de niche pour experts en chambre. La startup répond à une faiblesse encore très répandue dans les entreprises : la difficulté à transformer la masse d’informations sur les menaces en capacité opérationnelle. Sa solution phare, OpenCTI, est une plateforme XTM (eXtended Threat Management) qui s’adresse à quiconque a décidé d’adopter une posture proactive face à la cybermenace et qui veut que cette intelligence du risque irrigue réellement l’ensemble du système d’information et la culture cyber de son entreprise.
L’open source comme ADN
Ce qui distingue fondamentalement Filigran dans le paysage cyber, c’est le choix originel et assumé de l’open source. OpenCTI a été mis en accès libre dès ses débuts, et cette décision n’était pas un calcul commercial : elle reflète la conviction de son fondateur que la cybersécurité se pratique collectivement. « L’open source a été un moyen de vraiment coller aux besoins des analystes, des gens du métier qui font de la Cyber Threat Intelligence », explique Olivier Rizet. Le résultat ? Une diffusion organique et mondiale, portée par une communauté qui dépasse aujourd’hui 7 500 membres actifs sur Slack et GitHub.
Pour les DSI, la question de l’open source en matière de cyber est loin d’être tranchée. D’un côté, la transparence du code, la réactivité communautaire et l’absence de dépendance propriétaire constituent des atouts réels de souveraineté numérique, un sujet qui résonne particulièrement au Forum InCyber 2026, dont le thème central est précisément « Maîtriser nos dépendances numériques ». De l’autre, l’adoption de la version Enterprise Edition d’OpenCTI recrée une forme de relation fournisseur, avec ce que cela implique en termes d’engagement contractuel et de dépendance opérationnelle.
Olivier Rizet ne botte pas en touche sur ce point : le socle open source constitue une garantie structurelle. La communauté co-construit les fonctionnalités, les connecteurs vers les autres outils du SI sont développés et partagés librement, et le format de données utilisé — le STIX 2.1, standard ouvert de description des cybermenaces — garantit une dissémination de l’information « sans aucune distorsion ». La version Enterprise, elle, apporte ce que toute mise en production sérieuse exige : audit logging, conformité, support éditeur et, de plus en plus, des capacités d’automatisation avancées.
Transformer la donnée de menace en décision opérationnelle
Pour comprendre la valeur réelle d’OpenCTI, il faut saisir ce qu’est concrètement la Cyber Threat Intelligence pour une organisation de taille significative. Il ne s’agit pas seulement de collecter des indicateurs de compromission. Il s’agit de contextualiser la menace, de la modéliser, de la relier aux actifs critiques de l’entreprise, et d’en dériver des actions défensives. Un travail d’analyse considérable, longtemps artisanal, que Filigran cherche à industrialiser.
L’IA joue ici un rôle croissant dans l’offre Enterprise. La plateforme est désormais capable d’ingérer automatiquement des rapports PDF sur les derniers malwares ou groupes d’attaquants, de les mapper sur le format STIX 2.1, et de générer des synthèses décisionnelles. « Ce qui économise à l’analyste un temps phénoménal de devoir plutôt que d’inscrire à la main, d’ingérer un PDF en quelques minutes, d’avoir déjà l’information dans sa plateforme », résume Rizet. Et pour les équipes dirigeantes qui attendent des rapports réguliers sur l’état de la menace, une IA générative permet désormais d’automatiser une production qui « prenait des jours, parfois une semaine ».
La boucle ne s’arrête pas à la connaissance. Filigran ne veut pas seulement aider à voir la menace ; l’entreprise veut aider à tester en continu la capacité de défense du SI face à elle. Olivier Rizet présente ainsi OpenAEV comme le prolongement logique d’OpenCTI qui permet de pivoter de la threat intelligence vers le test de résilience : je connais la menace, je teste mon système, je vérifie que je n’y suis pas perméable. Ce que le MITRE framework appelle le Threat Informed Defense. « Une boucle vertueuse », selon Rizet, que la suite XTM de Filigran rend opérationnelle. Et un positionnement qui conduit aujourd’hui à une vision plus large et ‘extension du portfolio.
Remote, communautaire, mondial
Dernier point qui a retenu notre attention : Filigran est, depuis son origine, une entreprise 100 % distribuée. Ses deux co-fondateurs ont commencé à coder le soir et le week-end depuis chez eux. Ce modèle remote-first a permis à l’entreprise de dépasser 230 collaborateurs sur cinq continents en moins de trois ans, d’ouvrir une filiale au Japon, et de recruter directement dans les communautés d’utilisateurs, y compris d’anciens de l’ANSSI qui avaient pratiqué OpenCTI avant de rejoindre l’éditeur.
Pour les organisations qui cherchent à construire leur propre culture de la CTI, l’exemple Filigran illustre quelque chose de structurant : la compétence en threat intelligence ne se recrute pas facilement sur le marché ouvert. Elle se cultive, elle se partage, elle s’agrège autour de communautés praticiennes. L’open source, ici, n’est pas seulement un modèle de distribution logicielle : c’est un levier de formation et de fidélisation des talents rares que sont les analystes CTI.
À LIRE AUSSI :
À LIRE AUSSI :
