LOGIN PEOPLE. Un avenir sécurisé. Décembre 2012 Transfert sur Alternext

Transcription

1 Transfert sur Alternext LOGIN PEOPLE Un avenir sécurisé D o nné e s f ina nc iè re s ( e n M ) a u 3 1/ e e e CA 0,3 0,1 1,9 4,5 var % 31,9% -62,7% ns 135,1% EB E -1,2-1,5-0,4 1,2 % CA ns ns ns 27,5% ROC -1,4-1,3-0,5 1,1 % CA ns ns ns 24,4% Rnpg -1,3-1,3-0,5 1,2 % CA ns ns ns 26,0% B npa ( ) -0,63-0,55-0,21 0,51 B npa dilué ( ) -0,44-0,40-0,15 0,37 Gearing (%) 2% -83% -72% -69% ROCE (%) ns ns -72% 79% ROE (%) ns ns -23% 37% Dette nette ,0 Dividende n - Yield (%) - Créée en 2004, démarre réellement son activité en 2007 avec le développement de la technologie de l ADN du Numérique. Elle consiste à identifier de façon unique un équipement numérique à partir de la combinaison de propriétés (fabricants, identifiants, etc.) qui constituent sa signature numérique unique. Grâce à un management et une équipe R&D de qualité, la solution de est aujourd hui industrialisée et prête à la commercialisation. Une levée de fonds de 2,5 M concomitante au transfert sur Alternext donnera les moyens à la société de mener à bien sa stratégie de commercialisation. est positionné sur le marché dynamique de la sécurité informatique et plus spécifiquement celui de l authentification forte, en croissance annuelle de 20% et d une taille de 2,0 Mds$. Dominé par RSA, Safenet et Vasco qui occupent 60% des parts de marché, le marché bénéficie d importants leviers de croissance. Le couple «Login/Password» n est plus suffisant pour répondre aux besoins de sécurité des accès aux réseaux et données dans un contexte de mobilité des employés, de multiplication des terminaux (smartphones, tablettes) ajouté au phénomène BYOD Les solutions d authentification forte offrent la possibilité d accroître les critères d identification de l utilisateur à l aide de tokens physiques ou logiciels uniques. L offre de, le Digital DNA Server, se différencie par l expérience utilisateur optimale qu elle propose. En moins d un an, l offre de a déjà séduit un certain nombre d acteurs. Ainsi, la société a signé des partenariats avec : 1/ Cris Réseaux (distribution nationale auprès d intégrateurs / revendeurs), 2/ Microsoft France (pour compléter l offre Office365 avec la sécurité des accès des collaborateurs et l ADN du Numérique) et 3/ Cassidian (pour compléter sa gamme de produits dès 2013). D autres contrats OEM (et notamment avec Cisco) sont en cours de négociation. Login People cible dans un premier temps les PME et collectivités locales, entre 0 et 1000 utilisateurs, un marché sous équipé en solutions de gestion des accès. souhaite renforcer ses équipes commerciales et marketing afin d accompagner la forte demande de son produit, le Digital DNA Server. Selon notre modèle de croissance, devrait réaliser en 2013 un CA de 1,9 M et de 4,5 M en Compte tenu de la montée en puissance du CA, nous attendons une rapide absorption des coûts fixes et une MOC de l ordre de 24,4% en Analyste : Laure Pédurand lpedurand@elcorp.com Notre valorisation pré-money de ressort à 11,6 M, issue de la moyenne des comparables et DCF.

2

3 Sommaire MODALITES DE L OPERATION 5 ARGUMENTAIRE D INVESTISSEMENT 6 MATRICE SWOT 8 HISTORIQUE 9 LOGIN PEOPLE, CREATEUR DE L ADN DU NUMERIQUE : UN NOUVEAU CAP FRANCHI : APRES L INDUSTRIALISATION, LA COMMERCIALISATION 10 LE CONTEXTE : MONTEE EN PUISSANCE DE L INSECURITE INFORMATIQUE 11 ESSOR DE LA CYBERCRIMINALITÉ 11 UNE MOBILITÉ CROISSANTE DES SALARIÉS AU DÉTRIMENT DE LA SÉCURITÉ DES DONNÉES 11 LE CLOUD COMPUTING, DES DONNÉES CONFIDENTIELLES DANS LES NUAGES 12 UNE VIE NUMÉRIQUE RÉGIE PAR LE TRADITIONNEL COUPLE LOGIN / MOT DE PASSE 12 LES SOLUTIONS DE SÉCURITÉ INFORMATIQUE 13 DE NOMBREUSES SOLUTIONS DE SÉCURITÉ MAIS PAS TOUJOURS ADAPTÉES 13 LES SOLUTIONS D AUTHENTIFICATION FORTE EXISTANTES 13 L AUTHENTIFICATION FORTE SELON LOGIN PEOPLE 15 L ADN DU NUMÉRIQUE, UNE TECHNOLOGIE BREVETÉE 15 UNE OFFRE DE PRODUITS ADAPTÉE À TOUS LES ENVIRONNEMENTS 16 ATOUTS DE L ADN DU NUMÉRIQUE 17 TENDANCES DU MARCHÉ DE LA SÉCURITÉ INFORMATIQUE 19 LE MARCHÉ DE LA SÉCURITÉ INFORMATIQUE CROIT DE 10% PAR AN 19 L AUTHENTIFICATION FORTE, UN SOUS-SEGMENT TRÈS DYNAMIQUE DU MARCHÉ DE LA CYBERSÉCURITÉ (+20% EN 2011) 20 UNE PRISE DE CONSCIENCE INTERNATIONALE AU NIVEAU DES GOUVERNEMENTS 22 OPPORTUNITÉS ET PERSPECTIVES STRATÉGIQUES 24 L INNOVATION, LA CLEF DE LA REUSSITE 24 STRATEGIE DE DISTRIBUTION 25 UNE ACTION COMMERCIALE ORIENTEE PME ET COLLECTIVITES TERRITORIALES 26 DES PARTENARIATS PROMETTEURS 29 RENFORCEMENT DES EQUIPES 31 PERSPECTIVES FINANCIÈRES 32 UN MODELE RECURRENT 32 RENTABILITE OPERATIONNELLE ATTENDUE EN STRUCTURE FINANCIERE 36 VALORISATION DE LOGIN PEOPLE 38 VALORISATION PAR LES DCF 38 VALORISATION PAR LES COMPARABLES 40 ANNEXES 43 COMPTE DE RESULTAT 43 BILAN 44 FLUX DE TRESORERIE 45 GLOSSAIRE 46

4

5 Modalités de l opération Actionnariat pré-opération* Composition du capital social : Pré-opération : actions (intégralement souscrites et libérées) Post-opération : actions avant exercice de la clause d extension Fondateurs & management 2% Public 56% Autres personnes physiques 4% Uzes Holding 1% SRL Sennac 34% Financière d'uzes 3% Nombre d actions proposées au marché : (hors clause d extension) actions nouvelles par augmentation de capital sont proposées au marché, nombre susceptible d être porté à en cas d exercice de la totalité de la clause d extension. Structure du placement : Le nombre d actions théoriquement allouées au Placement Global (PG) est de (soit 50 % du nombre d actions proposées au marché), avant prise en compte de la clause d extension. Ainsi, le nombre théorique d actions offertes dans le cadre de l Offre à Prix Ouvert (OPO) est de (soit 50% du nombre d actions proposées au marché), avant prise en compte de la clause d extension. Fourchette indicative de prix dans le cadre du PG et de l OPO: entre 3,72 et 4,30 par action, soit 4,00 en milieu de fourchette indicative. Ce prix ne préjuge pas du prix définitif qui pourra se situer en dehors de cette fourchette et sera fixé à l issue de la période de construction du livre d ordres. Actionnariat post-opération* Fondateurs & management 1% Public 68% Autres personnes physiques 3% SRL Sennac 25% Uzes Holding 1% *A noter qu il existe des éléments dilutifs : BSAR donnent droit à actions, dont au prix exercice de 11,25 avant décembre 2017 et le reste est exerçable au prix de 2,60 avant juin 2016 et 2017, soit une dilution potentielle maximale de 34% sur le nombre d actions actuel et de 27% post opération. Financière d'uzes 2% Capitalisation boursière pré-money en milieu de fourchette : 9,15 M (4,00 par action, soit le prix médian de la fourchette indicative). Capitalisation boursière post-money avant exercice de la clause d extension, en milieu de fourchette : 12,75 M (4,00 par action, soit le prix médian de la fourchette indicative). Si l émission est réalisée à un prix correspondant au milieu de fourchette indicative et si l OPO et le PG représentent chacun 50 % de l offre, le produit brut de l émission est estimé à 3,6 M (4,14 M si exercice de la totalité de la clause d extension et 3,35 M en cas de réalisation à 75%). Ainsi, le produit brut de l émission se fonde sur un prix moyen par action de 4,00. Intention de souscription : SRL SENNAC, premier actionnaire de la Société avec 34,2% du capital, a indiqué son intention de souscrire à 34,2% de l opération pour maintenir sa détention du capital, et si nécessaire, afin de sécuriser la réussite de l opération, jusqu à 2,5 M, soit un maximum de 75% de l Offre, en cas de prix en bas de fourchette. La Société n'a pas connaissance de l'intention d autres actionnaires et/ou mandataires sociaux de participer à la présente émission.

6 Argumentaire d investissement Le premier pure player français de l authentification forte sur Alternext Créée en 2004 à l issue d un projet européen de R&D, démarre réellement son activité en 2007 avec le développement de la technologie de l ADN du Numérique. Elle consiste à identifier de façon unique un équipement numérique à partir de la combinaison de propriétés (fabricants, identifiants, etc.) qui constituent sa signature numérique unique. Elle permet de garantir l authentification en ne prenant en compte que des données non copiables de l équipement. La faiblesse en terme de sécurité du procédé «Login / Mot de passe» est donc contournée par l identification du matériel. Ce procédé innovant est breveté aux États-unis depuis 2010, et une demande de brevet est en cours en Europe. Grâce à un investissement de 8,0 M, un management et une équipe R&D de qualité, la solution de est aujourd hui industrialisée et prête à la commercialisation. Une nouvelle levée de fonds de 2,5 M concomitante au transfert sur Alternext donnera les moyens à la société de mener à bien sa stratégie de commercialisation. Des avantages compétitifs forts En protégeant les accès distants pour les réseaux publics et privés (VPBn Extranet, Webmails), l ADN du Numérique permet de lutter efficacement contre l usurpation d identité, le partage de mots de passe, le vol d informations personnelles ou sensibles sur tous les réseaux (entreprises et Internet). La solution de consiste en un serveur d authentification, le Digital DNA Server, installé chez le client et en un SDK (Software Development Kit) qui permet d installer la fonctionnalité de reconnaissance des équipements sur la page Web d authentification utilisée par les collaborateurs. A l inverse des différents produits d authentification forte disponibles sur le marché (token physique, biométrie, certificat numérique), la solution de est simple à intégrer et à gérer et nécessite un coût de déploiement entre 15 et 40% moins cher en fonction des options choisies. Les produits sont compatibles avec les environnements les plus utilisés aujourd hui : Windows, Mac OS, ios et Android (pour les smart phones et tablettes). Positionné sur un marché en forte croissance intervient sur un marché particulièrement dynamique. Avec l essor des nouvelles technologies de l information et notamment de l Internet, l insécurité informatique ou la cybercriminalité est un phénomène grandissant. La mobilité croissante des employés, les changements d usage (utilisation d équipement personnels BYOD) ou encore le cloud computing combinés à une gestion des identités et des accès protégés le plus souvent par un simple couple login / mot de passe facilitent les intrusions dans les réseaux et l accès aux données stratégiques et confidentielles. Garantir la confidentialité des données est devenu un enjeu majeur pour les entreprises et organisations, et un véritable levier de croissance pour les acteurs de la sécurité informatique. Le marché de la sécurité informatique (logiciels, services, appliances) devrait croître de 8,4% en 2012 à 60 Mds$ (soit 46,5 Mds ), et atteindre en 2016 une taille de 86 Mds$ (66,6 Mds ). Selon Gartner, les acteurs de l authentification forte auraient généré un revenu de 2,0 Mds$ dans le monde en 2011, avec une croissance de 20% en valeur et de 30% en volume. Ce marché est dominé à 60% par 3 grands acteurs : RSA Security, Vasco et Safenet. Leurs produits concernent principalement des tokens physiques ou software ou des certificats numériques, des produits indirectement concurrents de.

7 Des partenariats prometteurs Depuis le début de l année 2012, part à la conquête du marché et multiplie les partenariats. Un premier accord de distribution a été conclu avec Cris Réseaux, spécialiste dans la distribution de logiciels de sécurité (900 clients intégrateurs). A la suite d une collaboration avec Microsoft France dans le cadre d une étude sur la complémentarité des produits, un partenariat commercial officiel a été conclu pour proposer l offre de Login People aux utilisateurs d Office 365 en France. bénéficie ainsi d un réseau national supplémentaire de partenaires Microsoft. D autres partenariats OEM significatifs ont été signés ou sont en cours de négociation : Cassidian (EADS), Cisco. Ces collaborations confèrent à une crédibilité sans précédent sur la place de la sécurité informatique et marquent un premier tournant dans son développement commercial. Afin de répondre à une demande croissante et de soutenir son développement, doit créer et structurer une force commerciale dont le besoin est estimé à 8 personnes d ici La société a mis en place une stratégie composée de 2 priorités : 1/ distribution indirecte auprès d intégrateurs (revendeurs) au niveau national et 2/ signature de contrats OEM avec de grands éditeurs internationaux. Dans un premier temps, les actions commerciales sont orientées au niveau national afin d asseoir son positionnement. Le développement aux États-Unis, premier marché de l insécurité informatique, est envisagé mais n est pas intégré dans nos prévisions. En outre, cible essentiellement les PME et collectivités territoriales, des segments sous-équipés en solutions de gestion des accès et des identités. En effet, seulement 29% des PME et 12% des collectivités territoriales ont mis en place une solution de gestion des accès au réseau. Un business model récurrent et générateur de marge Si est un éditeur de logiciel, son business model est semblable à celui des opérateurs télécoms avec la facturation du serveur la première année et des droits d utilisation de la licence par utilisateur et par an sur une durée moyenne de contrat de 3 ans, d où une récurrence des revenus qui devrait atteindre, selon nous, 70% du CA en Nous tablons sur un CA de 1,9 M en 2013 et 4,5 M en 2014, porté par la montée en puissance de la force commerciale et une progression du panier moyen client de 250 à 1000 utilisateurs. Business model basé sur une structure de coûts fixes, la croissance du CA devrait permettre d absorber rapidement les coûts, avec une MOC attendue à 24,4% en 2014, malgré la forte progression attendue de la masse salariale, qui constitue l essentiel des charges (68% en 2013). Notre valorisation de Selon nos hypothèses de croissance et de rentabilité, nous valorisons à 8,4 M par les comparables et 14,9 M par les DCF, soit une valorisation pré-money issue de la moyenne de ces deux méthodes à 11,6 M.

8 SWOT FORCES une technologie propriétaire brevetée en France et aux Etats-Unis : l ADN du Numérique des avantages compétitifs forts des partenariats majeurs de distribution avec CRIS Réseaux, OEM avec Microsoft, Cassidian, Cisco et Amadeus un management de qualité des avantages compétitifs forts FAIBLESSES une force commerciale à structurer une situation financière fragile OPPORTUNITES marché de la sécurité informatique en croissance de 10% par an (source : PwC) marché de l authentification forte en croissance de 20% en 2011 (source : Gartner) montée de l insécurité informatique : cybercriminalité, BYOD, cloud marché des PME et collectivités territoriales souséquipées en France MENACES un marché trusté par 3 géants qui occupent 60% du marché de l authentification forte : RSA Security, Safenet et Vasco de nombreux freins à l utilisation de solutions d authentification forte dans les entreprises: coût, complexité une capacité de financement actuelle qui ne permet pas à d accélérer son marketing et sa prospection assez rapidement

9 Historique, créateur de l ADN du Numérique Création de en 2004 L ADN du numérique est une marque déposée et la technologie est brevetée La société a été créée en 2004 sous le nom de Mobilegov à l issue d un projet européen de R&D. Ce projet a permis de concevoir la technologie de l ADN du numérique pour détecter les modifications des composants des équipements numériques. L innovation qui en découle consiste à identifier de façon unique un équipement numérique à partir de la combinaison de propriétés disponibles (fabricants, identifiants uniques, etc.) de différents composants électroniques contenus dans les équipements. Cette combinaison permet de créer une signature unique pour chaque équipement numérique. Le processus de création de l ADN d un équipement a fait l objet de plusieurs demandes de brevets en Europe et aux États-Unis (délivré en 2010). L activité ne démarre que fin Pour financer la poursuite du développement de sa technologie de sécurisation des accès, données, réseaux et équipements, et soutenir sa croissance, la société s introduit en bourse, sur le Marché Libre, en février 2008 et lève 1,2 M. Labellisée entreprise innovante au titre des FCPI par OSEO Une nouvelle équipe pour un nouveau départ 2011 : un nouveau cap franchi En 2011, François-Pierre Le Page, l un des Fondateurs est nommé PDG par le Conseil d Administration. La société est alors rebaptisée et se concentre sur le marché de l authentification forte. La stratégie est alors orientée autour du développement puis de l industrialisation d un seul produit, le serveur d Authentification forte «Digital DNA Server». Pour ce faire, fait appel à Florence Dubois (ex Accenture) qui rejoint la société en tant que Directrice R&D. Ainsi, en septembre 2011, dévoile sa nouvelle version du serveur «Digital DNA Server» et se présente comme le seul spécialiste français de l Authentification forte. La société dispose d une avance technologique qui permet d offrir une solution de sécurité des accès parmi les plus simples à utiliser du marché. Après plusieurs mois de travail des équipes, est sélectionné par Cassidian (anciennement EADS Défense & Sécurité) pour compléter l un des produits du géant européen des solutions IT pour la Défense et la Cyber Sécurité, puis par Microsoft France pour apporter une réponse à la sécurité des accès à l offre Office

10 2012 : après l industrialisation, la commercialisation signe un accord de distribution avec CRIS Réseau & Service en décembre Les deux partenaires organisent un Tour de France de présentation de l ADN du Numérique auprès des clients Intégrateurs de Cris Réseaux à Nantes, Lyon, Bordeaux et Marseille dès le début de l année Premiers partenariats importants avec Cassidian et Microsoft Suite aux travail de collaboration technique initié à l automne 2011 avec les équipes sécurité de Microsoft France,, sur invitation de Microsoft, présente son produit dans le cadre de la sécurisation des accès aux applications dans le Cloud (Azure, Office 365) aux Microsoft Tech Days en février Les deux sociétés collaborent à la publication d un livre blanc présentant les étapes d intégration du Digital DNA Server avec Microsoft Active Directory Federation Services (ADFS) pour fournir une solution d authentification forte, unique, fédérée et inter opérable. Cette collaboration permet à de devenir Partenaire Microsoft ISV (Independant Software Vendor) qui se traduit par une collaboration commerciale dès octobre 2012 avec la mise en relation par Microsoft avec ses 80 partenaires Intégrateurs (Microsoft Partners) en France. En juillet 2012, après avoir travaillé sur l intégration du produit et livré un premier client (la société SODERN, filiale d EADS), et Cassidian (ex EADS Defense & Security) signent un contrat OEM monde (Original Equipment Manufacturer) qui permet d intégrer nativement la solution de l ADN du Numérique dans toute la gamme de produits de sécurité d une nouvelle génération (Moseo ) de Cassidian. Les produits devraient être lancés en lance aussi la version 5.5 de son Digital DNA Server compatible avec Iphone et Ipad en avril 2012 et avec Android en octobre Aujourd hui, la société dispose d une équipe de 12 personnes à Sophia Antipolis, dont 8 sont affectées à la Recherche et au Développement. La société a également installé un bureau à Paris destiné à la fonction commerciale (1 Ingénieur-Commercial). 10

11 Le contexte : montée de l insécurité informatique Depuis le début des années 2000, on assiste à une forte hausse des attaques informatiques et des vols de données au sein des entreprises ou des administrations. Les scandales se multiplient dans les médias, le dernier en date étant le piratage de plusieurs comptes de Hauts Fonctionnaires d État à l Élysée au printemps 2012, révélé cet automne. Les pirates ont pu récupérer leurs «Login/password» par la méthode de phishing sur leurs comptes Facebook. L usurpation d identité sur ces réseaux est devenue le problème n 1 pour les entreprises et organisations. Essor de la cybercriminalité Aujourd hui, Internet est un outil indispensable au développement d une entreprise, qui souhaite gagner en visibilité, offrir plus de services et fidéliser ses clients. Avec l essor des sites de banques en ligne, e-commerce, institutions gouvernementales, la cybercriminalité bat son plein. Chaque employé a accès à Internet ou l Intranet de son entreprise multipliant ainsi les liens et échanges numériques mais facilitant l accès aux données. Ces dernières sont donc soumises aux dangers des intrusions malveillantes et sont vulnérables. Ainsi, l activité des entreprises et administrations repose de plus en plus sur les technologies et applications Web. Leur facilité de mise en oeuvre et de déploiement les a rendues omniprésentes et incontournables, qu il s agisse de sites de commerce en ligne, d applications Intranet ou Extranet, ou de services Internet offerts ou utilisés par les entreprises. Les applications, aujourd hui presque systématiquement développées avec des technologies Web, sont désormais la cible privilégiée des piratages (75% des attaques selon Gartner). Une mobilité croissante des salariés au détriment de la sécurité des données Les travailleurs sont de plus en plus nomades et cette tendance vers la mobilité est en augmentation. Ils veulent pouvoir accéder aux ressources de leur entreprise n importe où, quelque soit l équipement numérique utilisé. En revanche, même si cette mobilité peut accroître la productivité, elle introduit un niveau de risque significatif. Une étude de Forrester a révélé que 74% des salariés (sur les interrogés) utilisent au moins deux terminaux (ordinateur, smartphone, tablette) dans le cadre de leur travail, 52% en utilisent 3, et dans 60% des cas ces terminaux font office d usage personnel également. C est ce qu on appelle le BYOD (Bring Your Own Device), un concept qui génère des problématiques en matière de sécurité. Usage des terminaux mobiles dans les entreprises Source: Forrester 11

12 Selon la dernière étude de Gartner parue en 2012, plus de 50% des utilisateurs de messageries professionnelles utiliseront un terminal mobile (smartphone ou tablette) en Le Cloud Computing, des données confidentielles dans les nuages On assiste également depuis 3 ans à l essor du Cloud Computing, pratique consistant à délocaliser sur des serveurs distants des stockages et des traitements informatiques traditionnellement localisés sur des serveurs locaux ou sur le poste de l'utilisateur. Ce système présente pour l entreprise l avantage de délocaliser et de mutualiser la gestion du système informatique. Un utilisateur (salarié, fournisseur, distributeur) peut y accéder quelque soit l heure, le lieu et l équipement utilisé au moyen d un simple couple mot de passe / login. Compte tenu de la facilité d accès et du fait que les données sont hébergées par une société tierce, le cloud computing présente des risques pour la sécurité informatique et compromet ainsi la confidentialité des données de l entreprise. Gartner estime qu en 2017 plus de 50% des entreprises opteront pour les services du «Cloud Computing» alors qu elles sont moins de 10% à l utiliser aujourd hui. Selon les estimations du cabinet Pierre Audoin Consultants, le marché du Cloud a connu une croissance de 30% en 2011 en France. Sur le plan mondial, le Cabinet Forrester annonce un chiffre d affaires global de 40 milliards de dollars. Une vie numérique régie par le traditionnel couple login / mot de passe Les accès aux mails, réseaux sociaux, intranet, ordinateurs professionnels ou personnels (ouvertures de session), et autres sites ou équipements sont dans la plupart des cas régis par un simple couple login et mot de passe. Dans ce contexte, force est de constater que le couple login/mot de passe pour sécuriser les accès est insuffisant. Plusieurs problématiques se posent : - simplicité des mots de passe et donc risque de récupération de celui-ci - difficulté à les mémoriser et gérer quand ceux-ci deviennent trop compliqués (mix chiffres et lettres) et trop nombreux - facilité de piratage des mots de passe Dans un contexte de développement considérable de l Internet et des nouvelles technologies, les systèmes d information et de communication occupent désormais une place centrale dans le fonctionnement de la société. Or, il apparaît aujourd hui que ces systèmes et leur interconnexion croissante dans toutes les formes d activités ont souvent été conçus au détriment des exigences de sécurité. 12

13 Les solutions de sécurité informatique De nombreuses solutions de sécurité mais pas toujours adaptées Il existe de multiples produits ou solutions de sécurité informatique, destinés aux particuliers ou aux entreprises : logiciels antivirus, pare-feu (ou firewall), antispam, antiphishing, etc. solutions matérielles comme les boîtiers (pare-feu, cartes à puces, VPN SSM, etc.) les solutions de contrôle d accès logiques : authentification forte, biométrie et certificats Les 2 premières catégories concernent des milliers de produits disponibles sur le marché. Elles protègent des attaques externes et internes, et pourtant on assiste encore aujourd hui à de nombreux piratages. Il faut protéger l accès à la source, au moment de l authentification de l utilisateur. Aujourd hui, la connexion par «login / mot de passe» n est plus suffisante. Les administrations et entreprises, quelque soit leur taille, doivent prendre des mesures sérieuses pour protéger l accès à leurs données internes. Ceci montre clairement le besoin d une sécurisation des accès plus efficace et la nécessité de passer à une authentification forte. L authentification forte consiste à vérifier les coordonnées et informations relatives à un individu ou un processus dans le but de garantir qu il est bien celui qu il prétend être. Cette étape permet de renforcer la sécurité des accès aux données, applications ou fichiers d un serveur commun ou d un VPN (Virtual Private Network). Pour authentifier un utilisateur sur un réseau, il est nécessaire de combiner 3 types d informations : «qui je suis» (un identifiant) + «ce que je sais» (un mot de passe) + «ce que je possède» (Tokens USB cartes à puce tokens OTP) Les solutions d authentification forte existantes La procédure d authentification forte requiert la combinaison d au moins deux facteurs d authentification. Il existe aujourd hui 3 familles de produits d authentification qu on utilise en complément ou à la place du couple identifiant / mot de passe : le «one time password» (OTP), le certificat numérique ou PKI (Public Key Infrastructure) et la biométrie. Ces méthodes permettent toutes, selon des niveaux de sécurité différents, de valider l identité d un utilisateur et sa légitimité à se connecter au réseau concerné. Pour intégrer une solution d authentification, il est important d identifier correctement ses besoins en fonction de ce qu on cherche à protéger. Par exemple, tous les employés n ont pas le même niveau d accès aux informations critiques de leur entreprise. 13

14 Les «one time passwords» ou mot de passe à usage unique La technologie OTP permet de s authentifier à un réseau ou un service à l aide un mot de passe à usage unique. Le mot de passe est généré par un équipement physique (token hardware, clef USB, carte à puce) ou logiciel (token software), qu on appelle un jeton d authentification. Ceux-ci peuvent être protégés par un PIN, ajoutant un niveau de sécurité supplémentaire. Certains tokens sophistiqués - et donc plus sûrs - utilisent une carte intelligente («smart card») à microprocesseur intégré capable de calculer un OTP de façon autonome, contrairement aux tokens classiques qui relaient l OTP initialement généré par un serveur central. Le fonctionnement du mode d authentification par OTP est simple : l utilisateur entre son identifiant et le code numérique fournit par le token. Le serveur valide le code et l accès aux ressources demandées est autorisé. En revanche le coût de déploiement de cette technologie peut rapidement devenir cher. En effet, un token distinct est nécessaire pour se connecter à chaque serveur et les coût cachés notamment au niveau de la gestion des tokens et du support aux utilisateurs augmentent très significativement la facture. Le certificat numérique Un certificat numérique (aussi appelé certificat de clé publique) peut-être vu comme une carte d'identité numérique. Cette technologie est utilisée pour s authentifier, crypter des messages ou des documents, sécuriser des transactions en ligne, dans le stockage de données ou dans des logiciels de signature digitale. Elle fournit un haut niveau de sécurité notamment pour les utilisateurs qui ont accès aux informations sensibles d une entreprise. Il est signé par un tiers de confiance qui atteste du lien entre l'identité physique et l'entité numérique (Virtuel). Le principe de fonctionnement des certificats électroniques est basé sur le chiffrement d'informations et sur la confiance. Le coût des certificat est le plus élevé des solutions existantes. La biométrie Elle utilise des caractéristiques physiques ou comportementales de l homme comme ses empreintes digitales, sa voix ou sa rétine pour vérifier l identité d un utilisateur. En comparaison avec les autres méthodes d authentification, les identifiants biométriques sont difficiles à voler, à perdre ou à partager. Cependant il faut noter que si une empreinte biométrique est volée, il est impossible de la réinitialiser. Aujourd hui, ce sont les tokens OTP classiques qui se vendent le plus, mais ils ne sont pas pour autant imparables. S il est possible de combiner plusieurs méthodes d authentification pour renforcer le degré de protection (OTP + biométrie, etc.), cela constitue généralement un frein majeur pour l utilisateur. Toutes les solutions proposées sur le marché ne sont pas adaptées à une utilisation simple et facile par les collaborateurs ou le public (trop compliquées, pas ergonomiques, coûteuses, etc..). 14

15 L authentification forte selon L ADN du Numérique, une technologie brevetée est le créateur de la technologie logicielle brevetée de l ADN du Numérique qui permet d identifier de manière unique chaque équipement numérique, que celui-ci soit : un composant électronique (carte mère, carte graphique, disque dur, etc.) un périphérique USB à mémoire de masse (clé, disque dur externe, appareil photo, smartphone, etc.) l ordinateur complet ou une combinaison de plusieurs de ces équipements En effet, tout équipement numérique peut être identifié de façon unique grâce à une combinaison de certains de ses composants constituant ainsi la signature numérique unique de l équipement. Avec sa technologie, met à profit cette propriété pour proposer une nouvelle approche de la sécurité. Elle permet de garantir l authentification en ne prenant en compte que des données non copiables ou duplicables de l équipement. La faiblesse en terme de sécurité du procédé «Login / Mot de passe» est donc contournée par l identification du matériel. En protégeant les accès distants pour les réseaux publics et privés (VPBn Extranet, Webmails), l ADN du Numérique permet de lutter efficacement contre l usurpation d identité, le partage de mots de passe, le vol d informations personnelles ou sensibles sur tous les réseaux (entreprises et Internet). L ADN du Numérique de permet ainsi aux utilisateurs des réseaux publics ou privés d être authentifiés à la fois par ce qu ils connaissent (login et mot de passe) et par ce qu ils possèdent (équipement matériel). L utilisateur choisit lui-même les équipements matériels servant à son authentification. Combinaison de propriétés disponibles (fabricants, identifiants uniques, etc.) de différents composants électroniques contenus dans les équipements Signature Unique Digital DNA Technology ou ADN du Numérique Source: société 15

16 Une offre de produits adaptée à tous les environnements A partir de sa technologie brevetée, a mis au point le Digital DNA Server, un serveur qui fournit les fonctionnalités permettant aux utilisateurs de s authentifier non seulement avec ce qu ils «connaissent» (mot de passe), mais également avec ce qu ils «possèdent» (ordinateur, etc.). Ce serveur de gestion d authentification utilise comme «token» les équipements de l utilisateur pour chacun desquels un ADN numérique est créé, constituant ainsi sa signature numérique unique. Le Digital DNA Server s adresse à toutes les collectivités, administrations et entreprises B2B et B2C quel que soit le secteur d activité. Une offre B2B adaptée à tous les acteurs environnants l entreprise Elle s adresse aux entreprises désirant une authentification fiable, simple et économique, capable d assurer la sécurité des accès à ses réseaux publics et privés à destination de ses employés, partenaires ou fournisseurs. L offre permet de sécuriser à la fois l accès aux réseaux d entreprise (intranet, extranet), aux connexions distantes (VPN SSL), aux systèmes de messagerie électronique (webmail) et aux applications d entreprise (ERP, CRM). Source: société Une offre B2C principalement dédiée au secteur privé L offre B2C de s adresse aux sites de e-commerce, de banques en ligne ou autres sites Web, souvent sujet à des attaques, et leur propose de se doter de l ADN du numérique pour sécuriser l accès des consommateurs à leurs comptes en ligne. L internaute, en plus de son mot de passe, utilise l ADN du Numérique de son équipement pour s authentifier. Lors de la création de son compte sur un site Web il connecte et enregistre un équipement qu il possède déjà (ordinateur, tablette numérique, smartphone). Une fois le compte créé, il peut associer d autres équipements à son compte afin de pouvoir se connecter avec toujours plus de liberté et de mobilité, tout en privilégiant la sécurité de ses informations. Source: société 16

17 Une ligne de produit simple La technologie de l ADN du Numérique se présente sous la forme de 2 éléments principaux: Digital DNA Server serveur d authentification permettant la gestion des utilisateurs, le paramétrage des politiques de sécurité, etc. il est fourni sous forme de machine virtuelle (compatible VMWare ou HyprV) ou sous forme de fichier ISO pour une installation sur n importe quel équipement de l entreprise Software Development Kit (SDK) : le SDK correspond à une boîte à outils qui fournit tous les éléments nécessaires à l installation de la technologie dans la page web d authentification qui sera utilisée par les collaborateurs. Il existe plusieurs types de SDK : SDK WEB (ou client léger) pour intégrer la technologie directement sur le site web du client (webmail, Intranet, Extranet, etc) SDK RICH Client (ou client lourd) : un éditeur de logiciels peut intégrer la technologie dans ses produits et ainsi proposer à son client une solution d authentification forte native. SDK IOS : un éditeur d applications pour iphone et ipad peut intégrer la technologie dans ses produits et ainsi proposer à son client une solution d authentification forte native. Les produits sont compatibles avec les environnements les plus utilisés aujourd hui : Windows, Mac OS, ios et Android (pour les smart phones et tablettes). propose également des fonctionnalités complémentaires telles que le WINLOGON qui permet de sécuriser les accès à la session Windows. Aujourd hui l ADN du Numérique a la capacité de sécuriser les postes de travail, les réseaux d entreprises, les accès distants (VPN SSL, extranet, webmail). Son déploiement peut même s étendre aux réseaux et sites internet avec, pour les utilisateurs, la protection de leurs comptes personnels et la connexion en un clic. Pour les éditeurs de sites, la technologie de l ADN du Numérique permet également une prévention contre le partage des mots de passe, phénomène qui représente une perte significative de revenu. Atouts de l ADN du Numérique L objectif de est d améliorer et de simplifier l expérience utilisateur. Facile à intégrer La solution de est facile à intégrer puisqu elle est compatible avec de multiples environnements (Windows, Mac, ios, Android). Facile à utiliser La technologie de repose sur le principe de simplicité d utilisation, une notion importante à prendre en compte quand on sait que toute contrainte liée à la complexité constitue un frein majeur pour l utilisateur final : Aucun déploiement : l utilisateur conserve ses équipements déjà existants (professionnels ou personnels) qui sont utilisés pour l authentification. Ceci a l avantage de réduire les coûts et les contraintes logistiques associés aux tokens physiques. 17

18 Transparence de la procédure : seul un plug-in est installé dans le navigateur web et scanne l ADN du Numérique, ne nécessitant pas de droits d administrateur pour être installé Combinaison possible de plusieurs équipements pour former un seul et même ADN numérique ou à l inverse utilisation d un même équipement pour accéder à plusieurs services Un mode «Back-Up» peut être activé au cas où l utilisateur oublie son équipement : il fournit un OTP par , SMS ou par un centre d appel, qui remplacera temporairement l équipement. Une plus grande mobilité : la solution est beaucoup plus simple à utiliser que les Token OTP dès lors que le collaborateur utilise des équipements mobiles (ipad, iphone, smarthpones ou tablettes Android). Facile à gérer Grâce à une console d administration Web, les administrateurs peuvent gérer les configurations du serveur et personnaliser leurs politiques de sécurité par groupe d utilisateurs. Des fonctions de self-service sont proposées pour gérer les ADN numériques et traiter les cas de récupération et d urgence. Réduction du Total Cost of Ownership (TCO) L expérience utilisateur simplifiée et améliorée, ajouté au fait qu aucun équipement supplémentaire ne doit être acheté ou géré, permet au client de réduire son total cost of ownership : - une mise en service rapide et un gain de temps sur la gestion («le temps c est de l argent») - des coûts de déploiement réduits - des coûts de maintenance réduits En outre, propose des tarifs dégressifs en fonction du nombre d utilisateurs et de la durée du contrat (1 à 3 ans). Les tarifs sont en moyenne 15 à 40% moins élevés que ceux pratiqués par la concurrence (RSA Security, Vasco, ActiveIdentity). 18

19 Tendances du marché de la sécurité informatique Le marché de la sécurité informatique croit de 10% par an PricewaterhouseCoopers définit la cybersécurité comme étant la protection des systèmes d information contre toutes les menaces pesant sur leur intégrité et leur bon fonctionnement. Ces menaces peuvent être diverses : des cyber attaques contre les infrastructures informatiques stratégiques au vol des données dans les entreprises. La majorité des analystes s accorde pour dire que le marché de la sécurité informatique est en très forte croissance. Selon PricewaterhouseCoopers, les investissements des entreprises et administrations en cybersécurité ont été en très forte croissance en 2011 et ont atteint 60 Mds$ soit environ 46,5 Mds. Les États-unis concentrent la moitié du marché, suivi par le Japon et le Royaume-Uni. Selon le cabinet, le marché de la sécurité informatique devrait continuer à croître de 10% par an durant les 3 à 5 prochaines années. Répartition des investissements en cybersécurité par pays Royaume-Uni 6% Allemagne 5% France 4% Etats-Unis 50% reste du monde 35% Source : PwC, Euroland Corporate Alors que les investissements IT étaient en hausse de 7,9% en 2011, ils devraient selon Gartner observer un net ralentissement en 2012 à +3,0% (3 600 Mds$). Néanmoins, le ralentissement ne concerne pas le marché des ventes de logiciels, appliances et services de sécurité dont la croissance devrait être de 8,4% en 2012 à 60 Mds$ (soit 46,5 Mds ), une hausse qui devrait perdurer jusqu en 2016 avec des revenus du secteur atteignant 86 Mds$ (66,6 Mds ). Concernant les éditeurs de logiciels de sécurité informatique, ils ont généré 17,7 Mds$ de revenus à l échelle mondiale en 2011 contre 16,4 Mds$ l année précédente (+7,9%). Le secteur est dominé par 5 géants : Symantec, Mc Afee, Trend Micro, IBM et EMC. Ils génèrent à eux seuls 44% des ventes soit un revenu de 7,8 Mds$, une PDM qui s est toutefois réduite puisqu elle était de 60% 5 ans auparavant. Ces acteurs proposent une large gamme de produits de sécurité des données, des réseaux, des systèmes d exploitation et du reste de la chaîne informatique. Le reste du marché (56%) est constitué d une multitude de petits éditeurs de logiciels plus spécialisés et opérant sur des marchés de niche, apportant des solutions innovantes et plus ciblées pour des besoins ou menaces déterminées, comme celui de l authentification forte. 19

20 Parts de marché au niveau mondial des éditeurs de logiciels de sécurité informatique Symantec 21% Autres acteurs des solutions de sécurité informatique 56% EMC 4% McAfee 7% Trend Micro 7% IBM 5% Source : Gartner 2012, Euroland Corporate L authentification forte, un sous-segment très dynamique du marché de la cybersécurité (+20% en 2011) Les solutions d authentification forte constituent aujourd hui un véritable sous segment de marché lucratif et en forte croissance. Selon Gartner, les acteurs de l authentification forte auraient généré un revenu de 2,0 Mds$ dans le monde en 2011, avec une croissance de 20% en valeur et de 30% en volumes. Un paysage concurrentiel très concentré Le cabinet a recensé plus de 175 entreprises proposant des solutions d authentification forte dont 3 dominent le marché : RSA Security (25%), SafeNet (20%) et Vasco (15%) occupent 60% du marché en nombre d utilisateurs. Ci-dessous le fameux Magic Quadrant réalisé par Gartner regroupant les 23 plus grands acteurs du marché selon l efficacité de leurs produits et l étendue de leur offre: Magic Quadrant Source : Gartner