« Nous ne sommes qu’au début de notre histoire » affirme Julien Mauras, président fondateur du groupe de services numériques Exodata, dans l’interview qu’il nous a accordé à l’occasion de la dernière actualité du groupe : son positionnement sur la cybersécurité sous la marque Exodata Cyberdéfense et l’ouverture d’une agence à Bordeaux pour se renforcer sur le marché métropolitain. Julien Mauras met en perspective la croissance spectaculaire d’Exodata. Né à La Réunion, il y a neuf ans, le Groupe Exodata est aujourd’hui implanté en Martinique, en Guadeloupe, en Métropole, à Maurice et en Nouvelle-Calédonie. Il est en train de se faire un nom au plan national, fort de cette implantation unique qui lui permet de fonctionner en mode « Follow The Sun » : Exodata est ainsi le seul prestataire français à pouvoir proposer des services numériques en continu 24 heures sur 24 et sept jours sur sept. Un atout de taille pour développer en particulier l’offre de SOC (la surveillance à distance des systèmes d’information), pièce maîtresse de sa stratégie. Exodata est non seulement une fierté pour son fondateur et ses équipes, mais une réussite exemplaire pour toute la filière numérique réunionnaise, la preuve qu’il est possible d’avoir une ambition nationale, voire internationale, à partir de La Réunion.
Le Groupe Exodata emploie 120 collaborateurs et a réalisé 10 millions d’euros de chiffre d’affaires en 2020, neuf ans seulement après sa fondation ! Comment est née et s’est développée Exodata pour en arriver si vite à ce résultat ?
Je suis à la base ingénieur en informatique, formé également au management et à la gestion. J’ai débuté ma carrière comme responsable Informatique, puis directeur des systèmes d’Information du Groupe Austral Assistance. J’ai participé pendant 15 ans au développement de ce Groupe prestataire de services clients à haute valeur ajoutée, présent dans tout l’Outre-Mer français et en Afrique de l’Ouest francophone. Cette activité m’a fait découvrir l’Outre-Mer et en particulier La Réunion. Il y a un peu plus de dix ans, Philippe Bellard, le PDG de GAA, recherchait des relais de croissance et nous avons réfléchi à de nouveaux domaines dans lesquels nous pourrions investir. J’ai soumis mes idées autour du cloud, car j’avais identifié que cette offre n’était pas assez développée dans l’Outre-Mer français. Il y avait un créneau à prendre. Le Groupe Austral Assistance avait des moyens, j’avais des idées. Mais se lancer dans le cloud sans cybersécurité, c’était risqué. J’en ai parlé à OpenSphere, le partenaire de GAA en cybersécurité à l’époque. Il se trouve qu’OpenSphere souhaitait aussi initier ce type d’activité du cloud, mais sans en avoir forcément les moyens. Du coup, en 2012, GAA et OpenSphere se sont associés pour fonder Exodata et je me suis retrouvé nommé président de cette société. Je suis devenu entrepreneur.
Combien étiez-vous au départ ?
Nous étions cinq pour démarrer ce premier métier du cloud et des services managés. Notre métier historique qui pèse toujours 50 % de notre volume d’activité. Les clients antillais de GAA se sont très vite montrés intéressés par ce service. Notre filiale Exodata Caraïbe a vu le jour à la Martinique en 2013. A partir de là, tout s’est accéléré. Nous avons créé un service marketing en 2014 dirigé par Laurent Fontaine et tenté l’aventure d’une adresse à Paris dès 2015 pour ouvrir une filiale à vocation uniquement commerciale visant le marché métropolitain. Notre première idée, c’était qu’une partie de nos clients, dans l’ensemble de l’Outre-Mer, avaient un siège en Métropole. Pour capter ce marché, nous avions besoin d’être au plus proche des directions et des décisions. Parallèlement, nous avons décidé de développer notre offre de services en intégrant de nouveaux métiers et de nous étendre géographiquement. Notre première acquisition a eu lieu début 2016 en Métropole : API Business. Cette société nous apportait les métiers du conseil et de la business intelligence : manipulation de données, statistiques, reporting, etc. Nous maîtrisions l’infrastructure du cloud. Avec API Business, nous entrons sur les applications et, au-dessus, sur le conseil, la gestion de projet, l’accompagnement des clients. Et API Business possède un bureau en Guadeloupe. En 2017, nous nous sommes implantés dans le Pacifique en rachetant une petite société en Nouvelle-Calédonie : c’est la naissance d’Exodata Pacifique. En 2018, OpenSphere, notre ancien actionnaire, est devenu une filiale à 100 % du Groupe Exodata.
Vous avez racheté également une société à l’île Maurice : votre modèle de développement est-il fondée sur la croissance externe ?
La croissance externe est intégrée à notre modèle économique, elle explique notre croissance très rapide, mais elle n’en est pas le seul levier. Nous avons trois leviers de développement. Le premier, c’est notre implantation territoriale : nous sommes installés sur plusieurs territoires. Nous ouvrons ainsi cette année une agence à Bordeaux. Le deuxième est organique : partout où nous sommes présents, nos sociétés ont grandi naturellement. Le troisième est la croissance externe. Effectivement, en 2020, juste avant le déclenchement de la pandémie de Covid 19, nous nous sommes installés à l’île Maurice en rachetant une société spécialisée dans le SOC, la surveillance à distance des systèmes d’information, Helix Security.
Dans quel but, cette implantation mauricienne ?
SOC veut dire Security Operation Center, c’est la supervision des infrastructures sécuritaires. Notre implantation territoriale à travers l’Outre-Mer nous permet, grâce au jeu des fuseaux horaires, d’être opérationnel 24 heures sur 24, sept jours sur sept. C’est un atout pour proposer ce type de services, et cette société mauricienne nous fait gagner deux ans sur le plan technologique. Car c’est maintenant qu’il faut se positionner sur la SOC. C’est l’offre qui connaît la plus forte croissance. Nous allons la développer à partir de l’île Maurice. Nous répondons actuellement à de très gros appels d’offre nationaux et internationaux sur le SOC.
Vous avez acquis récemment la certification Hébergement de Données de Santé, HDS. Les certifications sécurité se multiplient. Sont-elles devenues indispensables ?
Parallèlement à nos acquisitions, nous avons travaillé et investi pendant trois ans pour obtenir les certifications ISO 27001, norme internationale de sécurité des systèmes d’information, et Hébergement de Données de Santé, HDS. Elles ont été d’autres étapes clés pour notre développement. Nous sommes les seuls à les posséder dans l’Outre-Mer français : elles garantissent un niveau de service qu’on ne retrouve chez aucun de nos concurrents. Beaucoup de certifications sont en train d’émerger dans le domaine de la cybersécurité.
Le gouvernement en a lancé plusieurs. Dont le PASSI, obligatoire pour pouvoir travailler avec les OIV, les « opérateurs d’importance vitale » identifiées par l’État. Nous sommes aussi en train de postuler au label Expert Cyber pour pouvoir travailler avec les collectivités et les administrations qui mettent à niveau leur sécurité informatique. Nous sommes déjà référencés auprès d’elles, mais nous avons désormais besoin, en plus, de ce label qui garantit nos compétences et nos moyens opérationnels..
Cela signifie-t-il que votre stratégie s’oriente vers la cybersécurité ?
En effet, OpenSphere et Helix Security sont deux sociétés spécialisées dans la cybersécurité. Nous venons de renommer toute notre offre de cybersécurité Exodata Cyberdéfense. Cette nouvelle marque fédère toutes nos équipes spécialisées en cybersécurité. Elle va nous donner une plus grande force de frappe. Deux de nos collaborateurs, dont l’ancien manager et co-fondateur d’OpenSphere, Stéphane Jaillet, sont partis cet été s’installer à Bordeaux, en charge de développer l’activité d’Exodata Cyberdéfense sur le territoire national. Notre agence bordelaise commercialise l’ensemble de notre portefeuille d’offres, mais avec un gros focus sur la cybersécurité. Nous avons les moyens de répondre aux besoins des petites entreprises comme des grands groupes. En fait, nous pensons que nous ne sommes qu’au début de notre histoire. Nous avons la certitude que nous pouvons aller beaucoup plus loin.
Jusqu’où ? Quelle est votre vision d’Exodata ?
Sur nos territoires historiques, nous sommes sur des taux de croissance de plus de 20 % par an. Nous allons poursuivre notre croissance externe par des acquisitions. La création de l’agence de Bordeaux s’inscrit dans l’objectif d’ouvrir d’autres agences sur le territoire national. Nous sommes aussi en train de construire de nouvelles offres sur notre métier historique, le cloud. Enfin, je commence à réfléchir à une stratégie d’internationalisation, notamment sur les métiers de la cybersécurité. Notre développement futur suivra donc plusieurs axes. Croissance naturelle. Croissance externe avec de nouveaux métiers et de nouveaux territoires qui vont renforcer notre implantation. Développement stratégique de la cyberdéfense. Nous allons doubler nos équipes de cyberdéfense dans les dix-huit prochains mois : 17 recrutements sont en cours. Nous sommes à ce jour 120. Je sais déjà que, dans dix-huit mois, nous serons 200. Nous avons atteint aujourd’hui une taille qui nous permet financièrement de poursuivre notre croissance et d’aller plus loin. Voilà pourquoi je dis que nous n’en sommes qu’au début.
La cybersécurité a-t-elle vocation à devenir votre principal activité ?
Elle peut le devenir. Elle représente aujourd’hui 20 % de notre activité. J’estime qu’elle en représentera à terme 50 %. En mettant en place le télétravail un peu dans l’urgence et la précipitation avec la pandémie, les entreprises ont ouvert leur informatique vers l’extérieur en prenant conscience de leur vulnérabilité. Dans ce contexte de fragilisation des systèmes d’information, il y a eu une recrudescence des attaques cyber : en volume, c’est-à-dire plus d’attaques, mais aussi en complexité. Les besoins en cybersécurité sont énormes.
Les attaques principales sont des rançongiciels ?
Oui. Une économie parallèle s’est créée. Le mot paraîtra peut-être un peu fort, mais je considère que nous sommes confrontés à du cyber-terrorisme. Comment une entreprise insuffisamment préparée peut se relever si elle perd ses données clients, ses données de facturation, etc. Tous les métiers sont digitalisés. Comment travailler en étant privé d’informatique ? Il n’y a pas que le montant de la rançon à prendre en compte, il y a aussi le coût de l’indisponibilité globale de l’informatique en termes d’activité perdue.
A mon avis, les entreprises vont de plus en plus confier leur informatique à des tiers à cause de la complexité croissante des attaques. Elles requièrent des niveaux d’expertise, de formation, de disponibilité des équipes tels qu’une PME ne peut plus cocher toutes les cases en interne. Or les PME représentent l’essentiel du tissu économique de La Réunion et de l’Outre-Mer. Il faut comprendre que la question n’est pas de savoir si ça se produira ou pas, mais quand ça se produira. Et le risque zéro, en informatique, n’existe pas. L’enjeu, c’est de réduire au maximum la probabilité de la crise, de rendre l’exercice trop difficile au hackeur pour qu’il insiste, et de mettre en place tous les moyens pour s’assurer, qu’en cas d’attaque, l’informatique redémarrera rapidement.
Votre offre de cybersécurité met en avant la notion de cyber-défense, mais aussi celle de cyber-offensive. Qu’est-ce que la cyber-offensive ?
La sécurité défensive consiste à sécuriser le système d’information, à mettre les sécurités au bon endroit. La sécurité offensive applique l’adage selon lequel la meilleure défense, c’est l’attaque. Elle va tester la sécurité du système d’information. Nous avons des équipes composées de ce que nous appelons des « hackeurs éthiques » qui réalisent des tests d’intrusion et de pénétration des systèmes informatiques afin d’en identifier les failles. Ces tests s’effectuent dans un cadre parfaitement sûr pour nos clients. Les objectifs du test sont convenus avec eux. Nous organisons aussi des exercices de crise. Cette tendance nouvelle commence à se pratiquer à La Réunion. Nous le faisons d’ailleurs pour nous-mêmes. Réuni dans une salle de travail, un comité de direction se livre à un jeu de rôle. Une attaque d’envergure est simulée contre l’entreprise. On voit comment elle réagit face à cette simulation. L’objectif est d’améliorer la préparation de l’entreprise pour le jour où une attaque se produira.
Exodata subit également des attaques ?
Nous avons détecté des tentatives d’intrusion sur nos propres systèmes, comme sur ceux de nos clients. Tout ce que nous vendons, nous nous l’appliquons. Les mêmes outils. Nous avons procédé le mois dernier à un exercice de crise cyber, comme nous préconisons de le faire à nos clients pour être prêt en cas d’attaque. Le management global de la sécurité fait partie de notre offre.
Êtes-vous amené à collaborer avec les services de sécurité pour remonter à la source des attaques ?
Cela nous arrive. J’ai personnellement suivi la formation de l’Institut des Hautes Études de Défense Nationale. J’appartiens à la réserve citoyenne de la gendarmerie. Nous avons des relations avec la gendarmerie, les autorités locales, l’Agence Nationale de Sécurité des Systèmes d’Information (ANSSI). L’État a conscience de la vulnérabilité des entreprises, des collectivités, des hôpitaux, face aux attaques informatiques. Il investit beaucoup dans la cybersécurité via l’ANSSI. Une autre tendance est à prendre en considération : des assurances exigent aujourd’hui des entreprises qu’elles disposent de certains services de cybersécurité. Les très gros appels d’offres de grands groupes nationaux, auxquels nous répondons, sont motivés par cette exigence des assurances et leur imposent des échéances, notamment en matière de SOC. Et c’est ce qui explique que l’activité du SOC explose aujourd’hui tous nos prévisionnels en termes d’activité.
Vous proposez aussi un livre blanc de la transition numérique en entreprise. Qu’y a-t-il dans ce Livre et à qui s’adresse-t-il ?
Nous avons rédigé plusieurs livres blancs destinés aux professionnels. Celui-ci s’adresse aux gérants des TPE et des PME pour leur montrer l’éventail de tous les enjeux d’une transformation numérique. Beaucoup d’entreprises n’ont qu’une vision parcellaire de ces enjeux. L’objectif de ce livre blanc est de leur faire toucher du doigt tous les enjeux et tous les bénéfices qu’elles peuvent retirer d’une bonne transformation digitale.
Le siège d’Exodata restera à la Réunion ?
Oui, j’y tiens. Je suis arrivé à La Réunion, il y a plus de 20 ans, en tant que stagiaire. La Réunion m’a accueilli. J’y ai développé mes activités professionnelles. Mes enfants y sont nés. C’est pour moi un juste retour des choses qu’Exodata contribue à l’activité, à l’emploi et au rayonnement de La Réunion. D’autre part, nous n’avons aucun besoin de délocaliser notre siège. Les infrastructures, les compétences sont là. Les cursus de formation locaux s’ajustent aux nouveaux enjeux du numérique. L’emplacement se justifie aussi par le positionnement géographique de La Réunion entre Est, Ouest, Nord et Sud. C’est notre fierté d’avoir débuté notre histoire à La Réunion et d’avoir construit, à partir de l’Outre-Mer, une notoriété et une présence nationale. Nous préparons actuellement une communication nationale. Nous avons déjà diffusé une campagne TV sur BFM Business. Nous prouvons que, tout en étant sous les tropiques, nous sommes capables de rivaliser avec les grands noms de notre secteur d’activité. Je ne peux pas révéler les appels d’offres auxquels nous répondons actuellement, mais je peux vous dire que nous avons déjà écarté de grandes sociétés métropolitaines concurrentes. Nous avons gagné de très beaux marchés, y compris à l’international. Pour vous citer un exemple, nous avons signé récemment avec une grande banque belge pour la gestion de la cybersécurité de ses trois filiales européennes de Londres, Bruxelles et Paris.
Le Groupe Exodata peut-il servir d’exemple à d’autres entreprises réunionnaises ?
Je suis convaincu qu’il est possible de s’exporter et se développer à partir de La Réunion. C’est le message que je porte au sein de la filière numérique réunionnaise, Digital Réunion, la French Tech, où j’interviens pour faire part de notre expérience. Si nous l’avons fait, d’autres peuvent le faire.
LES QUATRE MÉTIERS D’EXODATA
Le premier, c’est le cloud et les services managés destinés aux sociétés qui externalisent leur informatique. Ce qui comprend l’infrastructure des serveurs, réseaux, liaisons internet et bâtiment. Les services managés ont vocation à compléter les équipes informatiques des clients, non à s’y substituer. Second métier, les applications métiers. Exodata propose des solutions existant déjà ou développe des applications professionnelles sur mesure. Troisième métier, le consulting : conseil en amont des projets, gestion de projet, conception de schémas directeurs, assistance à maîtrise d’ouvrage. Exodata accompagne ses clients dans leurs stratégies de digitalisation, dans la conduite du changement, dans l’établissement d’une feuille de route. « Ambassadeurs » d’Exodata, les consultants s’appuient sur toute l’offre de services et de solutions que le groupe peut proposer en aval. Le quatrième métier, indissociable des trois autres, c’est celui de la cybersécurité sur lequel Exodata fonde désormais sa stratégie de développement.
