Fenrisk est une entreprise de conseil en cybersécurité qui redéfinit la sécurité des systèmes d’information avec son approche offensive unique. Julien Szlamowicz-Czubak, Président, revient sur le fonctionnement de la société et ses actions.
Category
🗞
NewsTranscription
00:00 [Musique]
00:06 Le Grand Entretien avec Julien Slamovic Kubak, qui est patron et président de Fenrisk.
00:13 Bonjour Julien. Fenrisk, qu'est-ce que c'est ?
00:17 Alors Fenrisk, c'est une société de conseils en cybersécurité,
00:21 et plus précisément en cybersécurité offensive.
00:25 Ce que ça veut dire, en cybersécurité offensive, il y a plusieurs volets dans la cybersécurité,
00:31 et nous, notre spécialité, c'est vraiment toute la partie attaque sur les entreprises.
00:38 Ce qui fait un petit peu notre coeur de métier, on a construit l'activité comme un trépied,
00:44 c'est-à-dire que principalement, on réalise ce qu'on appelle des tests d'intrusion.
00:49 Donc en termes plus profane, ce qu'on fait, c'est qu'on enfile notre costume d'attaquant, de méchant, d'acteur malveillant,
01:01 et on réalise des attaques bien réelles à destination des entreprises qui nous engagent,
01:07 pour essayer de mettre en évidence les vulnérabilités dans leur système d'information.
01:11 Donc ça peut être sur leurs extra nets, sur leurs applications qui sont exposées,
01:15 mais ça peut être tout un tas d'assets qu'ils exposent à destination de leurs clients, de leurs prestataires, de leurs fournisseurs, ce genre de choses.
01:27 Ensuite, on a développé aussi un volet qui nous tient à coeur, qui est la formation.
01:33 Donc on essaie de former, on a quatre parcours de formation à l'heure actuelle.
01:39 - Oui, les soldats. - Pardon ?
01:41 - Former des soldats.
01:42 - Alors on essaie de former un petit peu tout l'écosystème pour justement faire en sorte qu'on ait de moins en moins de travail à l'avenir.
01:51 Donc typiquement, on a un parcours de formation où on axe vraiment sur la jeunesse et sur les étudiants qui vont sortir d'école,
02:01 pour les rendre "prêts" au monde du travail et employables directement.
02:07 Donc on donne cette formation généralement soit à bac +5, soit en sortie d'école, quand nos clients nous demandent de former leurs effectifs.
02:16 Et ensuite, on a des parcours qui sont plus avancés, qui sont "bien plus offensifs" et qui sont destinés à ce moment-là,
02:24 soit aux experts sécurité qui ont besoin de se former pour aller plus loin et devenir "meilleur",
02:29 soit les publics de développeurs. C'est-à-dire qu'en fait on fait le pari que si on forme les développeurs,
02:35 à terme on aura moins de travail parce que les applications qu'ils vont construire seront meilleures et seront moins attaquables.
02:42 - Comment est née cette société ? Et pourquoi ?
02:47 - Alors nous, enfin avec mon associé, on est passé par des grands cabinets parisiens qui faisaient, somme toute, des choses similaires.
02:58 Et à un moment on est parti du constat que ça ne nous allait plus et qu'on voulait développer, nous, notre vision de la cybersécurité,
03:05 quelque chose de plus global. Et donc juste après le Covid, on s'est lancé et donc on a commencé en 2021.
03:14 Et on essaye de développer notre vision de la cybersécurité qui est un peu plus globale et qui est un peu plus sans partenariat.
03:21 - Et quelle est la différence avec vos concurrents ?
03:23 - La différence avec nos concurrents ? En fait sur notre secteur et notre segment "très pointu", on essaie de se différencier.
03:36 Enfin on n'a pas beaucoup de concurrents sur notre segment, en fournissant des prestations de très haut niveau.
03:44 Et donc on essaye d'être toujours à la pointe de ce qui se fait en termes de menaces et de fournir des attaques qui sont le plus réelles possible.
03:54 Ce à quoi pourraient être confrontées les entreprises dans les prochaines semaines, les prochains mois.
04:03 - A quelle fréquence environ une entreprise est-elle susceptible d'être attaquée ?
04:07 - Alors c'est compliqué. Il y a quelques années on aurait pu répondre à cette question en disant "une entreprise va se faire attaquer une fois par an" etc.
04:17 Mais maintenant les acteurs malveillants vont tellement vite et c'est tellement continu qu'on ne peut plus répondre à cette question.
04:25 Les entreprises se font attaquer en continu.
04:28 Vous savez quand il y a une vulnérabilité qui est publiée sur une application, les acteurs malveillants ont ce qu'on appelle des robots
04:39 qui vont parcourir tout internet et essayer de compromettre automatiquement les sociétés qui vont trouver vulnérables.
04:48 Donc les sociétés ont bien intégré cette chose là, mais la question c'est plus de savoir quand est-ce que...
04:54 Enfin, si une société va être attaquée, quand est-ce que les attaquants vont parvenir à leur fin et vont réussir à pénétrer le réseau d'une entreprise.
05:02 On le voit par exemple notamment dans les boîtes mail. On a des mails de phishing, ce genre de choses qui pullulent.
05:10 Et il suffit d'une inattention ou de réagir trop tard à un moment pour que ce soit trop tard et que le système soit compromis.
05:19 - A quoi servent ces attaques ?
05:21 - Le plus souvent c'est financier. On voit depuis récemment, depuis quelques années on va dire, les groupes d'attaquants qui vont attaquer ces entreprises.
05:36 Le but du jeu c'est de bloquer les données, soit d'exfiltrer les données pour les revendre, soit de bloquer les données et de prendre la société en otage
05:48 et de leur réclamer ce qu'on appelle une rançon en échange ou pas de la libération de leurs données.
05:55 - On va voir les chiffres de votre société de Fenrisk avec Virginie Masque et on se retrouve juste après.
06:00 - Fondée en 2021, la jeune entreprise Fenrisk peut compter sur des collaborateurs expérimentés.
06:06 Ils ont tous en moyenne 8 ans d'expérience dans le domaine de la cybersécurité.
06:10 En 2023, la société a accompagné 37 clients et a formé 120 étudiants. Et la même année, 87% des prestations ont révélé au moins une vulnérabilité sévère ou critique.
06:22 Enfin, Fenrisk a enregistré plus de 100% de croissance en 2023.
06:27 - Donc on voit que la croissance est de 100% puisque vous êtes une jeune société, donc vous êtes en période de forte croissance.
06:33 Qui sont vos clients ?
06:35 - Alors nos clients, on n'a pas vraiment de clients type ni dans le secteur ni dans la taille des entreprises qu'on adresse.
06:41 C'est-à-dire qu'on a des grands comptes qui nous font confiance et qui nous prennent des missions.
06:50 Et on a aussi, donc on travaille principalement dans les grands comptes, on travaille principalement avec le secteur de la banque, de l'assurance.
06:58 On a aussi de l'industrie qui travaille avec nous. En fait, dès qu'il y a quelque chose à protéger, on peut intervenir.
07:04 - Tout est à protéger, en fait.
07:06 - Exactement. Il suffit que les gens l'intègrent, en fait.
07:09 - Il y a autant de clients que de comptes.
07:11 - Exactement. Et on a des clients aussi qui sont plus petits, mais qui ont soit dans l'ADN de leur société, ils mettent en avant la sécurité.
07:21 Et donc du coup, ils nous font confiance pour venir essayer de sécuriser leur système d'information.
07:29 Ou simplement parce que dans leur activité, ils ont une application en particulier.
07:36 En fait, toute leur activité tourne autour d'une application.
07:40 Et en fait, ce serait désastreux s'il arrivait quoi que ce soit à cette application.
07:44 Et donc du coup, nous, on vient essayer de la mettre à mal pour essayer de découvrir des faiblesses qu'ils pourraient corriger.
07:51 - Alors quand vous intervenez pour une entreprise, une fois que votre intervention est terminée, vous repartez ou vous gardez un contact ?
07:56 - Alors, on assure toujours, nous, un suivi dans le temps.
08:00 C'est-à-dire qu'on lâche jamais vraiment le contact avec nos clients.
08:05 Mais on essaye surtout de faire en sorte que nos recommandations soient bien comprises.
08:11 C'est-à-dire que tant que les recommandations qu'on a émises pour résoudre telle ou telle vulnérabilité n'ont pas été comprises ou mises en pratique.
08:19 Ou si un client nous dit que, par exemple, dans ses contraintes, il ne peut pas la mettre en application, par exemple, la remédiation qu'on a émise.
08:36 À ce moment-là, on cherche des solutions avec lui pour essayer de trouver un petit peu un compromis et le meilleur compromis entre business et sécurité.
08:44 C'est toujours un jeu, une balance, en fait.
08:47 - Vous êtes dans un secteur où l'innovation est permanente. Comment vous suivez tout ça ? Vous arrivez à suivre le train ?
08:54 - Alors, nous, on a pris le choix de réserver, pour tous nos experts sécurité, environ 30% de leur temps à ce qu'on appelle de l'innovation et, plus particulièrement, de la recherche et du développement.
09:06 Nos experts font, sur un tiers de leur temps environ, de la recherche de vulnérabilité, par exemple, dans des produits grand public, etc.
09:16 Soit on les publisse, soit on les remonte aux éditeurs, le cas échéant, pour essayer d'augmenter le niveau de sécurité des produits qui sont utilisés soit par nos clients, soit par tout un chacun.
09:28 Et derrière, on travaille aussi sur des projets innovants pour essayer de faire évoluer un petit peu la façon de faire de la sécurité offensive en France à l'heure actuelle.
09:43 - Vous êtes une jeune société, on l'a vu. Quels sont vos objectifs à court et moyen terme ? Est-ce que les événements aussi peuvent vous faire grandir, comme les Jeux Olympiques à Paris ?
09:52 - Alors, les Jeux Olympiques, on sait que la menace va s'accroître. On le sait de source sûre, ça a été le cas pour tous les derniers Jeux Olympiques qui ont eu lieu.
10:02 Donc, nous, on va continuer à essayer de fournir le meilleur niveau de qualité à nos clients et les meilleures prestations techniques à nos clients.
10:15 Ça, c'est grosso modo l'objectif qu'on a à court et moyen terme. C'est de garder le même niveau d'exigence qu'on a envers nous-mêmes et le même niveau d'exigence technique
10:26 pour fournir à nos clients des prestations de qualité qui leur servent vraiment. C'est-à-dire qu'on n'a pas vocation à leur remonter des vulnérabilités
10:35 qui n'ont pas vraiment d'intérêt et qui n'augmentent pas vraiment leur niveau de sécurité. Nous, on se concentre vraiment sur...
10:43 Notre spécialité, c'est vraiment le premier accès qu'un attaquant pourrait attraper à partir d'Internet, par exemple.
10:55 Et donc, du coup, vraiment, on essaye de se concentrer sur ça et de rester à la pointe au niveau technique pour pouvoir fournir des prestations de qualité.
11:03 - Comment vous voyez votre entreprise en 10 ans ?
11:06 - On essaye pour le moment... Enfin, c'est compliqué parce qu'avec les... Comment on appelle ça ? Les contraintes qu'on se donne, notamment de qualité technique,
11:18 c'est relativement difficile de recruter à notre niveau d'exigence. Donc, voilà, ça va dépendre un petit peu des rencontres qu'on va faire
11:28 et des profils qu'on va avoir l'occasion de rencontrer au fil du chemin. Mais voilà, si on peut continuer pendant les prochaines années à avoir des croissances de 100% tous les ans,
11:40 on ne va pas se plaindre. - D'accord, merci beaucoup.
11:45 - Je vous en prie.
11:47 - Bismarck.
11:48 - Bismarck.
11:49 [SILENCE]