Créée il y a 20 ans, l’entreprise anglo-saxonne, spécialisée dans la protection du courrier électronique, s’est installée en France cet été. Dans un contexte où la question de la confiance est plus que jamais de mise, Sébastien Weber, vice-président France de Mimecast, nous rappelle les origines anglaises de l’entreprise et la gestion de le données sur des serveurs localisés en Allemagne. Propos recueillis pas Stéphane Bellec.
Comment est né le concept de Mimecast ?
Mimecast c’est l’idée géniale d’un Sud-Africain, Peter Bauer, qui a créé il y a 20 ans, en Angleterre, une société d’ingénieurs en s’inspirant des meilleurs, comme Salesforce, pour proposer une offre SaaS sous forme d’abonnement. L’email se démocratise dans le monde professionnel en 2003 et les premières attaques arrivent plus tard vers 2006-2007. L’entreprise s’est exportée en Afrique du Sud puis dans l’ensemble des pays du Commonwealth, dans tous les pays anglophones avec une extension aux US en entrant au Nasdaq et donc avec un siège social alors installé à Boston. Peter avait envie de donner un nouveau coup d’accélérateur à l’entreprise et s’est donc associé à fonds anglais, Permira. Le projet Mimecast est par ailleurs piloté par un Français chez Permira. Puis en 2021, il a rapatrié le siège social en Angleterre pour mettre en place une stratégie basée sur plusieurs volets, notamment avec de gros investissements dans les parties produit et market.
Comment cela s’est-il traduit ?
Concernant la partie produit, nous avons lancé une toute nouvelle offre l’année dernière qui s’appelle Cloud Integrated. C’est une solution full API, donc davantage une solution, qui permet son activation en quelques minutes et de récupérer 30 jours de données pour une analyse de Microsoft Office 365 ou Google Workspace. Cette analyse d’une demi-heure permet d’identifier les vecteurs d’attaque subis par l’entreprise. Ce concept basé sur l’automatisation permet aux entreprises d’augmenter leur couverture cyber avec peu de ressources techniques internes. Je rappelle que selon une étude de l’association ISC2 publiée en octobre 2023, il manquerait 4 millions de talents dans le secteur de la cybersécurité au niveau mondial. Dans ce contexte, Mimecast propose un déploiement rapide, à moindre coût et avec moins de ressources humaines.
Quels sont les nouveaux vecteurs d’attaques ?
Un des nouveaux vecteurs d’attaques est le QR Code, sur lequel nous sommes nombreux à cliquer sans réfléchir et sans aucune idée du lien qu’il y a derrière ni de là où nous allons atterrir. C’est clairement quelque chose que nous avons identifié comme très risqué. Nous en retrouvons de plus en plus dans nos emails pour recevoir des livraisons par exemple. Les hackers se sont dit “si les gens font confiance aux QR Code, utilisons-les !” C’est pourquoi, dès le début de l’année 2024, nous allons renforcer nos capacités à scanner tous les QR codes qui entrent dans les emails de nos clients. Alors, bien entendu, si nous ne sommes pas en mesure de les réécrire immédiatement, nous pouvons néanmoins avertir du potentiel danger. Dans le cas d’un usage d’un QR code douteux, cela peut se faire en mode totalement sécurisé. Pour cela, nous créons une bulle pour le faire tourner sur nos serveurs, sous forme d’isolated browsing.
Quels sont les autres investissements ?
L’autre investissement porte sur l’expansion géographique. La filiale en France a été ouverte et j’ai rejoint Mimecast au début de l’été 2023, pendant le mois de juillet. Toute une équipe est arrivée pendant le mois de septembre et nous avons ouvert officiellement les bureaux aux alentours le 13 novembre lors d’un événement à Paris où beaucoup de partenaires sont venus car nous privilégions une approche indirecte. Nous nous appuyons sur Ignition qui est notre premier partenaire importateur et distributeur pour nous déployer en France. Nous travaillons également avec Metsys. Côté recrutement, nous avons d’abord investi dans des fonctions commerciales, techniques et channel lors d’une première vague d’embauches faite pendant l’été. Mimecast France fonctionne un peu comme une start up, mais au sein d’une société qui fait déjà plusieurs centaines de millions d’euros de chiffre d’affaires à l’année et nous nous lançons en France en nous appuyant sur ce que Mimecast sait faire, notamment en termes de business. Mais nous suivons encore un plan de développement étant donné que, pour l’instant, nous couvrons le milieu de marché haut et le milieu de marché bas avec 48 clients dont 10 % du CAC 40.
Quel est l’avenir du courrier électronique selon vous ?
L’email est une technologie dont nous ne pouvons pas nous passer. Pourquoi ? Car c’est un mode de communication qui laisse une trace et qui est doté d’une certaine flexibilité sur ce qu’il peut transporter et sur l’information qu’il contient. Et nous savons que cela reste quelque chose de relativement naturel. Ensuite, avec l’arrivée en octobre 2024 et prochainement de NIS V2, les nécessités d’archivage vont s’étendre car nous allons demander à davantage de types d’entreprises en France de garder des traces électroniques du business, souvent avec l’extérieur. Avant que quoi que ce soit ne soit signé en clair, cela passe d’abord par des échanges par email et tout cela va avoir un énorme impact sur la façon dont nous considérons cet outil de communication.
Quelle est l’ambition de Mimecast ?
Nous voulons devenir la plateforme de sécurité du Digital Communication Workspace, de la messagerie professionnelle. Le Chiffre d’affaires du hacking mondial était de 8 000 milliards de dollars en 2023 et est estimé à 10 000 milliards en 2025. 8 000 milliards, c’est trois fois le PIB de la France ! Et 91 % des attaques réussies commencent par un email, c’est à dire que le ransomware n’est que la conséquence finale d’une attaque sur l’ensemble du processus. Dans 91 % des attaques réussies, il s’agit d’un vol de données ou d’identifiants. Une attaque qui commence par un email où l’humain est visé. C’est comme au poker : nous ne jouons pas contre les cartes mais contre celui qui les tient. Nous avons donc cette approche d’analyse où les mails sont toujours remis en question quoi qu’il arrive. Nous travaillons également sur la partie awareness training, pour sensibiliser les collaborateurs. Pour terminer, je rappellerai une chose importante sur la question de la confiance qui est un sujet central : nous sommes anglais et donc non soumis au Cloud Act. Nos data centers sont basés en Allemagne avec toute la protection de la donnée que cela implique au niveau du RGPD, et toutes les données sont et restent en UE.
