Klaerenn
⌘K
Klaerenn
Tribunes

We are the champions... or not

Vade, Alsid, Sentryo, Qosmos : les quatre plus belles sorties cyber françaises sont parties ailleurs. On finance la souveraineté, on vend aux Américains. Anatomie d'un circuit.
We are the champions... or not

Vade, fleuron français de la protection email, racheté par Hornetsecurity en 2024. Puis Hornetsecurity racheté par Proofpoint. Américain.

Alsid, fondée par deux anciens de l'ANSSI, technologie de pointe sur Active Directory, vendue 98 millions de dollars à Tenable¹. Américain.

Sentryo, pionnier de la sécurité industrielle, acquis par Cisco. Américain.

Qosmos, leader du Deep Packet Inspection, parti chez Enea pour 52,7 millions d'euros². Suédois.

Les quatre plus belles sorties de la cybersécurité française ces dix dernières années ont toutes pris la même direction : ailleurs.

On finance la souveraineté. On vend aux Américains.

Le circuit

J'ai cartographié près de 150 éditeurs français de cybersécurité³. Plus d'un milliard d'euros levés au total. En épluchant les tours de table, un schéma apparaît.

Bpifrance, dont la mission est d'irriguer l'écosystème, n'est présente que dans 8 entreprises sur 150 — pour des tours totalisant plus de 160 millions d'euros. Tikehau Capital, près de 120 millions. Banque des Territoires, près de 80 millions. Ace Capital, plus de 50 millions³. Ces fonds se retrouvent régulièrement ensemble au capital des mêmes entreprises. Le mot magique : souveraineté.

Et les autres ? Ils peuvent toujours postuler aux dispositifs publics. Mais les avances récupérables sont versées en fin de projet, pas au moment où il faut payer les salaires. Les prêts d'amorçage exigent d'avoir déjà obtenu un soutien public à l'innovation. Pour naviguer dans ce mille-feuille, il faut être un sachant — ou avoir les bons réseaux.

Une startup qui coche les cases — fondateurs ex-ANSSI ou ex-DGA, technologie "stratégique", discours aligné — entre dans le circuit. Les autres se débrouillent.

Le circuit mène aux certifications ANSSI. Coût : plusieurs centaines de milliers d'euros. Temps : 18 à 24 mois. Marché déverrouillé : État et entités régulées. Les entreprises privées, elles, achètent ce qui fonctionne à l'échelle, pas ce qui a un tampon.

Résultat : des startups optimisées pour le marché public français. Pas pour la compétition mondiale.

Ce choix a un prix.

Le capital qui ne convertit pas

Les chiffres agrégés de cette cartographie posent question.

Sur les startups ayant levé plus de 10 millions d'euros, le ratio médian CA/levées tourne autour de 0,2³. Pour chaque euro levé, 20 centimes de revenus. La norme internationale dans le logiciel est plutôt 0,5 à 1⁴.

L'argent arrive. Il finance des équipes, de la R&D, des certifications. Mais il ne génère pas de revenus au même rythme qu'ailleurs. La question qui suit : ces produits répondent-ils à une demande réelle, ou à l'idée qu'on se fait d'une demande stratégique ?

Quand on conçoit un produit sous le prisme de l'État, on risque de construire ce que l'État veut financer plutôt que ce que le marché veut acheter.

Le vrai critère

Qu'attend un RSSI d'une solution de sécurité ? Qu'elle fonctionne à l'échelle, qu'elle s'intègre dans l'existant, qu'elle résolve un problème concret. Le drapeau ? Cerise sur le gâteau, jamais critère décisif.

Les startups qui l'ont compris sont celles qui percent. DataDome ne vend pas de la souveraineté, elle vend de la protection bot en moins de 2 millisecondes. GitGuardian ne vend pas du made in France, elle vend la détection de secrets dans le code mieux que GitHub lui-même. 75% de leur CA vient des États-Unis.

Celles qui restent prisonnières du récit souverain tournent dans le circuit : financement public, certification, marché État, renouvellement, stagnation.

L'angle mort

Dans l'écosystème tech français, la culture ingénieur domine. Le commerce reste un mal nécessaire, pas une compétence stratégique. Les meilleurs profils business vont en finance ou en conseil — rarement en startup.

Et le sujet dépasse le commercial. C'est toute la chaîne produit qui manque.

NEA, l'un des plus grands fonds de capital-risque au monde, le constate : en Europe, les fonctions product management et product marketing ont un vivier de talents bien moins profond qu'aux États-Unis⁵. La captation des besoins, la roadmap, le positionnement, le pricing — ces métiers restent sous-développés.

Le ratio CA par employé dans cette cartographie — 100 à 130k€ — est dans la norme des startups early-stage³. Mais aucune n'atteint les 200 à 300k€ des scale-ups mondiales⁶. Le symptôme : des équipes techniques surdimensionnées, des fonctions go-to-market sous-dimensionnées. La conviction implicite que la technologie suffit.

Sapphire Ventures résume : "The primary challenge for French startups is not in the creation of high-quality tech products but in their distribution."⁷

Et même quand on veut scaler, où aller ?

L'Europe qui n'existe pas

J'échangeais sur le sujet avec des homologues finlandais. Leur réaction : "L'Europe, c'est 27 marchés. Pas un."

Les données leur donnent raison. Selon le State of European Tech 2025, 70% des fondateurs européens jugent l'environnement réglementaire trop restrictif, citant la fragmentation des marchés comme première barrière au scale⁸. 27 régulations différentes, 27 processus d'homologation, 27 marchés à conquérir un par un.

Résultat : 60% des scaleups mondiales sont basées en Amérique du Nord. 8% dans l'Union européenne⁹.

Aucune entreprise française de cybersécurité n'a construit une position européenne significative avant d'attaquer les États-Unis. DataDome et GitGuardian ont sauté directement de Paris à New York. L'Europe n'est pas un tremplin. C'est un marais : certification, cycle de vente, adaptation — tout est à refaire dans chaque pays.

Qui a intérêt à ce que ça change ?

C'est la question que personne ne pose.

Les fonds ont leurs deals et leurs exits. L'État a ses startups souveraines à montrer. Les entrepreneurs ont leur liquidité. Les certificateurs ont leur activité. Tout le monde trouve son compte dans le système actuel.

Sauf qu'au bout de vingt ans, on n'a toujours pas de champion mondial. Et les meilleures boîtes finissent américaines.

Les incitations sont alignées pour produire des exits moyens vers l'étranger, pas des leaders mondiaux indépendants. Et le système fait exactement ce pour quoi il est configuré.

Quelques leviers

Sans naïveté sur leur faisabilité.

Conditionner les financements publics à des objectifs de parts de marché mondial, pas seulement de CA ou d'emplois en France. Un éditeur qui fait 80% de son chiffre aux US depuis Paris contribue plus à la balance commerciale qu'un éditeur qui stagne sur le marché domestique.

Challenger aussi les VC privés. Les fonds qui co-investissent systématiquement avec le public jouent le même jeu. Les mesurer sur les mêmes critères : parts de marché mondial des participations, croissance du CA export — pas seulement sur le multiple de sortie.

Ouvrir le circuit. Des fonds comme Balderton ou Sapphire ont montré qu'ils savaient accompagner des boîtes françaises vers le leadership mondial. Peut-être que la diversité des investisseurs compte plus que leur nationalité.

Repenser les certifications. Le coût et le temps actuels créent une barrière à l'entrée qui favorise les incumbents. Une startup early-stage ne peut pas immobiliser 300k€ et deux ans pour accéder à un marché de niche.

Assumer que le commerce est un métier noble. Recruter des VP Sales internationaux. Arrêter de croire que la supériorité technique suffit.

La vraie question

Près de 150 entreprises. Plus d'un milliard d'euros. Zéro leader mondial indépendant.

Ce n'est pas une fatalité. C'est le résultat d'un système. Les systèmes, ça se change — mais seulement si quelqu'un décide que le résultat actuel n'est pas acceptable.

Le champion français de la cybersécurité n'existe pas encore. La question est : veut-on vraiment qu'il existe — et si oui, qui est prêt à changer ses critères ?

Sources

¹ Tenable, "Tenable finalise l'acquisition d'Alsid" (avril 2021) — https://www.tenable.com/press-releases/tenable-finalise-l-acquisition-d-alsid-et-lance-tenable-ad-pour-s-curiser-les

² Enea, communiqué d'acquisition Qosmos (2016) — 52,7 M€

³ Base de données personnelle : ~150 éditeurs français de cybersécurité, consolidation Societe.com/Pappers (2025). Détail des tours de table, calcul ratios CA/levées et productivité.

⁴ KeyBanc Capital Markets / SaaS Capital, benchmarks capital efficiency — https://www.saas-capital.com/blog-posts/how-much-money-do-private-saas-companies-raise/

⁵ Speedinvest / NEA, "Strengths and challenges for the European startup ecosystem" — https://www.speedinvest.com/blog/strengths-and-challenges-for-the-european-startup-ecosystem

⁶ SaaS Capital, "Revenue per Employee Benchmarks" (2025) — https://www.saas-capital.com/blog-posts/revenue-per-employee-benchmarks-for-private-saas-companies/ ; Tomasz Tunguz — https://tomtunguz.com/revenue-per-employee/

⁷ Sapphire Ventures, "La French Tech: A Tour de Force of Innovation and Growth" (2024) — https://sapphireventures.com/blog/la-french-tech-a-tour-de-force-of-innovation-and-growth/

⁸ State of European Tech 2025, Atomico — https://www.stateofeuropeantech.com/

⁹ Commission européenne / Allied for Startups, "Analysis of the EU Startup and Scale-up Strategy" — https://alliedforstartups.org/insights/analysis-of-the-eu-startup-and-scale-up-strategy-choose-europe-to-start-and-scale/

Initialement publié sur LinkedIn le 2025-12-11

More like this

Les faucons du numérique

Les faucons du numérique

Une vulnérabilité, c'est une faille à corriger. C'est ce qu'on nous apprend. Un rapport de l'Atlantic Council dit l'inverse : c'est un actif stratégique à exploiter. Et ses auteurs savent de quoi ils parlent — leurs financeurs fabriquent les armes qui en dépendent.
Lord of Cyber War

Lord of Cyber War

La dernière lettre de marque américaine remonte à 1812. Deux siècles plus tard, le Congrès envisage de ressusciter l'instrument. Pour lutter contre le cybercrime, dit-on. L'explication ne tient pas. Quelque chose d'autre se prépare.
Le dernier canal

Le dernier canal

« Le renseignement était authentique. C'était là toute sa beauté. » Le 7 janvier, les États-Unis se sont retirés de trois forums de coopération cyber. Le 9 janvier, la CISA a clôturé dix Emergency Directives. Moins une maturation qu'un arbitrage contraint.
I Am Altering the Deal

I Am Altering the Deal

On January 7, 2026, the United States withdrew from the Hybrid CoE, the Freedom Online Coalition and the GFCE. Three Western cyber forums abandoned. European dependencies remain intact.
I Am Altering the Deal

I Am Altering the Deal

Le 7 janvier 2026, les États-Unis ont quitté le Hybrid CoE, la Freedom Online Coalition et le GFCE. Trois forums cyber occidentaux abandonnés. Les dépendances européennes, elles, restent intactes.
Final report, 2026. Third officer reporting.

Final report, 2026. Third officer reporting.

600 millions de données exposées. 50 organisations majeures compromises. EDR en place, SOC opérationnel, conformité respectée. Elles ont quand même été compromises. Bilan 2025.