OneWave, c’est la startup de cybersécurité dédiée à l’authentification forte issue de la rencontre d’experts convaincus qu’une solution d’authentification matérielle peut éviter bien des déconvenues en entreprise. Entre la volonté d’emmener les entreprises vers des standards de cybersécurité plus robustes et le constat qu’il faut simplifier le quotidien des collaborateurs, OneWave a mené un long travail de R&D depuis sa création. Thomas Lechevallier, CEO de OneWave, et Laurent Miralabé, CTO, nous en disent plus sur leur aventure entrepreneuriale et sur la raison d’être de OneWave.
Sommaire
De quels constats est né la startup de cybersécurité OneWave ?
Thomas : À l’origine, j’avais depuis plusieurs années l’idée de travailler sur un objet connecté dédié à la sécurité. OneWave est né de la vision commune d’un noyau de 5 experts passionnés d’entrepreneuriat. Laurent, Guillaume, Léonard et moi-même sur le volet cyber, et Sylvain à la Direction Administrative et Financière. Grâce aux spécialités de chacun, que ce soit au niveau cryptographie, production, architecture ou R&D, mon concept de base et mes idées ont été améliorés et cristallisés, pour devenir un projet concret. Nous avons créé la startup en 2016, puis suite à notre première levée de fonds en 2018, l’équipe s’est étoffée, notamment sur la partie applicative et embarquée. Ces recrutements, couplés à la pluralité des compétences de chacun, nous ont permis de créer un système complet de sécurité matérielle dédié à l’authentification.
Laurent : Il faut savoir que l’ADN premier de OneWave était orienté vers le marché grand public et les authentifications du quotidien (transport, paiement, fidélité…). L’authentification est donc le lieu commun entre notre projet initial, et notre cœur de métier actuel. L’authentification est un besoin très présent dans le monde professionnel, notamment dans le contexte des solutions émergentes zero trust, et l’utilisation quotidienne du mot de passe. En entreprise, face à une pression des cyberattaques en constante augmentation, il devenait urgent de démocratiser l’utilisation du second facteur d’authentification : c’est la première défense contre le phishing !
Nous avons de plus remarqué que contrairement à il y a une dizaine d’années, où l’on observait des cyberattaques très techniques et ciblées, les attaques d’aujourd’hui sont souvent opportunistes, massives, et visent en majorité le facteur humain. Les cyberattaquants ont l’habitude de tromper le collaborateur pour lui faire faire une action, et malheureusement, si on se fait avoir, cela leur ouvre une première porte vers la sécurité de l’entreprise.
Thomas : Techniquement, il n’est pas très difficile de bloquer ces attaques, mais en pratique, cela nécessite de démocratiser les bonnes pratiques de cybersécurité auprès du plus grand nombre, surtout en ce qui concerne les populations les moins technophiles.
Partant de ces constats, nous avons décidé de nous spécialiser dans la simplification et la sécurisation des authentifications dans le cadre professionnel. Notre équipe d’experts a à cœur de porter des solutions de cybersécurité performantes vers le grand public, pour maximiser la résistance aux attaques, et ce sans contraindre les collaborateurs.
Aujourd’hui, pourquoi les entreprises sollicitent OneWave ?
Thomas : En allant au contact des DSI, j’ai rapidement constaté une réalité : une grande majorité d’entre eux rencontre des problèmes avec le facteur humain, lorsqu’il s’agit de garantir la sécurité numérique d’une structure. Tout l’enjeu pour eux est donc de trouver un moyen de pallier ce facteur humain, pour assurer une sécurité efficace. C’est là que OneWave intervient.
Les entreprises nous sollicitent pour renforcer leurs authentifications, que ce soit uniquement sur du mot de passe, mais aussi pour démocratiser le second facteur. Ces entités souhaitent trouver un outil solide, mais surtout, compatible avec leurs collaborateurs et le quotidien. Il se trouve que le positionnement de OneWave est justement orienté vers l’humain et son expérience lors de l’authentification.
Nous sommes en effet convaincus qu’une solution de cybersécurité, aussi robuste soit-elle, n’a qu’une utilité limitée si sa complexité l’empêche d’être utilisée correctement chaque jour par des collaborateurs plus ou moins technophiles.
Concrètement, si la solution de cybersécurité n’est pas simple à appliquer et à mettre en place, elle donnera lieu à des manœuvres d’évitement ou à des mauvaises pratiques (les fameux post-its). Les entreprises nous sollicitent car pour nous, atteindre cette simplicité n’est pas une option mais un pilier indispensable de notre vision, un essentiel au même titre que le design de la carte, ou encore la solidité de la cryptographie. Les sociétés qui souhaitent renforcer la sécurité des authentifications de leurs collaborateurs ont donc conscience que la OneWave a de meilleures chances que d’autres solutions de convaincre les populations moins techniques, et de susciter leur adhésion. Grâce au capteur biométrique et au Secure Element, le collaborateur ne se rend pas compte des différents processus de MFA qui se cachent derrière le simple geste d’un déverrouillage par empreinte.
Il y a par ailleurs une dimension de plus-value pour l’utilisateur final, au-delà de sécuriser l’entreprise. La OneWave enlève aux collaborateurs le poids et la fatigue des nombreux mots de passe qu’ils doivent retenir pour chaque service. De la même manière qu’on utilise une calculatrice ou un tableur Excel pour résoudre des opérations, nous donnons aux salariés un outil qui simplifie leur quotidien en accélérant chaque authentification. Notre but est d’optimiser le temps de travail des collaborateurs : l’avantage est donc double, pour la sérénité des collaborateurs, et pour la sécurité de l’entreprise.
Laurent : Bien évidemment, nous n’oublions pas les DSI et RSSI, qui sont eux aussi des collaborateurs. Les entreprises nous contactent également pour simplifier l’administration des authentifications, notamment avec l’automatisation rendue possible par la OneWave. La DSI peut ainsi gérer la sécurité à distance, en sortant le collaborateur de l’équation cyber. Cela est possible car la OneWave est une véritable racine de confiance communicante dans la poche de chaque collaborateur.
Quels sont les avantages d’une solution matérielle pour l’authentification, par rapport à une solution logicielle ?
Laurent : L’authentification repose sur des secrets, qui sont mémorisés par des appareils de confiance. Or, par définition, un appareil de confiance ne peut pas être représenté par un système qui a des failles, ou par un organisme détenu par un tiers, qui n’aurait pas la même politique que nous sur les données personnelles, par exemple. Vous l’aurez compris, je parle bien des ordinateurs et des smartphones, qui de par leur aspect multifonction et multiconnecté, présentent d’importantes failles de sécurité. Sans parler de la succession d’acteurs impliquée sur ce type d’appareil (constructeur matériel, développeur d’OS, développeur d’applications…) qui augmente la surface d’attaque potentielle.
À l’inverse, un appareil uniquement dédié à la sécurité de l’authentification supprime cette porosité, à l’origine de nombreuses failles. La seule mission de la OneWave est de protéger un secret, ce qui réduit significativement cette surface d’attaque.
Thomas : Le réflexe de faire appel au smartphone semble logique, dans le cadre de la MFA par exemple. Il est d’ailleurs préférable d’utiliser l’authentification forte sur smartphone à défaut de ne pas mettre en place du tout la MFA. Mais… Chacun doit être conscient qu’en agissant ainsi, ses secrets sont détenus par un device particulièrement faillible et non souverain.
Notre objectif est aussi de rendre l’utilisateur autonome et responsable de ses propres secrets, avec un outil user centric. L’idée est de décentraliser, avec notre solution hardware : ce n’est pas une institution qui contrôle ce que fait l’utilisateur, il est le seul à choisir si oui ou non, il souhaite partager ses données.
Chez vos clients, comment se déroule l’adhésion des collaborateurs à la OneWave ?
Thomas : Ce qui ressort le plus souvent dans les retours de nos clients est sans conteste la surprise devant la facilité d’utilisation de la OneWave, qui encourage son usage auprès des collaborateurs.
Nous avons misé sur des éléments déjà connus et utilisés par le grand public, comme le Bluetooth et la biométrie. Ces deux technologies sont présentes dans les objets connectés du quotidien comme les écouteurs, enceintes et autres montres connectés. Le grand public se les sont déjà appropriées.
Laurent : Nos clients sont unanimes sur le fait que la biométrie joue un rôle considérable dans la simplification du parcours utilisateur. On pourrait penser que la sécurité matérielle alourdit la logistique globale de la solution, mais il se trouve qu’elle permet en réalité de gagner du temps et de couvrir plus de cas d’usage, en comparaison à une clé matérielle, par exemple. Avec la OneWave, le second facteur est démocratisé, sans même que l’utilisateur ne s’en rende compte !
Quel est l’impact d’un acteur français comme la startup OneWave dans l’écosystème cybersécurité ?
Thomas : La plupart des entreprises françaises aimeraient travailler avec des acteurs de proximité. Malheureusement en France, l’écosystème de sécurité hardware est encore peu développé. Nous sommes donc très fiers d’y apporter notre contribution, avec notre startup de cybersécurité, représentant actuellement le meilleur compromis entre sécurité et ergonomie.
Laurent : Côté législation, la OneWave est régie par les lois européennes. Le savoir-faire est européen, avec un device conçu et maîtrisé en France. Cela nous permet de garder la maîtrise de nos données, et de nous affranchir des plateformes non contrôlées par l’Europe, comme l’ordinateur ou le smartphone.
Cela est particulièrement intéressant lorsque l’on sait qu’aujourd’hui, l’Europe se pose la question suivante : « Quelle plateforme pour quelle identité ? ». Nous pouvons imaginer que la OneWave est une solution toute trouvée !
Et pour la suite, quels sont vos projets ?
Thomas : Dans un premier temps, nous aimerions populariser l’usage de la OneWave, en devenant une startup de cybersécurité incontournable de l’authentification forte. Nous visons d’ailleurs une phase de certification d’ici l’année prochaine.
À moyen terme, nous souhaiterions multiplier les usages de la OneWave, en éloignant le plus possible les collaborateurs des mauvaises pratiques comme l’utilisation du mot de passe, qui n’est pas un support privilégié pour une cybersécurité robuste.
Laurent : Il est vrai que derrière le positionnement de OneWave, il y a l’idée que la facilité d’utilisation permet également de proposer des solutions de cybersécurité de plus en plus performantes et sophistiquées. Pour nous, l’élément de sécurité matériel est essentiel pour le futur de notre société, dans un monde où nous devons de plus en plus vérifier la véracité des informations. Au-delà d’aller vers plus de sécurité dans les usages quotidiens des entreprises, nous entrevoyons une utilisation élargie de la OneWave, pour répondre à ces enjeux sociétaux stratégiques.