La société de conseils et de services en cybersécurité vient d’obtenir la qualification PASSI (prestataires d’audit de sécurité des systèmes d’information), sésame indispensable pour fournir des prestations d’audit de sécurité aux opérateurs d’importance vitale (OIV) et, de plus en plus, aux grands groupes et aux opérateurs de services essentiels (OSE). C’est la plus jeune société à décrocher cette qualification sur la grosse cinquantaine qui la détiennent actuellement en France. Spin-off d’Engie, Holiseum a été fondée il y a tout juste trois ans par d’anciens responsables de la sécurité des systèmes d’information eux-mêmes passés par des OIV.
Non seulement la société a su décrocher le plus haut niveau de qualification auquel puisse prétendre un prestataire d’audit de sécurité en France, mais elle l’a validé sur les cinq portées d’audit du référentiel de l’ANSSI : organisation et physique ; architecture ; configuration, tests d’intrusion et code source. « Ces cinq portées d’audit témoignent de la diversité de nos expertises et de notre approche holistique de la cybersécurité, consistant à aborder les problématiques de cybersécurité dans toute leur complexité et leur dimension multifactorielle », expose Faïz Djellouli, son directeur général et co-fondateur (photo).
Cette qualification PASSI sur ses cinq portées d’audit témoigne aussi de l’ambition de la société qui rêve de s’imposer rapidement parmi les acteurs de référence du conseil et des services de cybersécurité en France et en Europe. Après trois ans d’existence, la société compte déjà une trentaine de consultants, prévoit de réaliser plus de 3 millions d’euros de chiffre d’affaires cette année (contre 2 M€ en 2020) et revendique une vingtaine de clients (essentiellement des grands groupes). La société compte créer deux filiales à l’étranger cette année, l’une en Afrique et l’autre en Asie, pour accompagner ses clients à l’international.
Si son cœur de métier reste le conseil et les services, la société déploie également une activité d’éducation et de formation et consacre une partie de ses revenus à l’innovation. Holiseum détient notamment une chaîne Youtube, baptisée Cybervox, sur laquelle elle diffuse des contenus traitant des problématiques cyber à destination des RSSI et des écoles d’ingénieurs en cybersécurité. Et elle a lancé pas moins de cinq projets R&D, dont l’un, baptisé « Tir à blanc », a déjà débouché sur une offre commerciale.
Holiseum a ainsi créé un rançongiciel dépourvu de charge malveillante mais pourvu de tous les attributs des rançongiciels les plus sophistiqués pour tester l’exposition des systèmes d’information de ses clients. « On mime le fonctionnement d’un rançongiciel et on l’inocule dans le système d’information des clients pour étudier l’étendue des actions qu’il nous est possible d’y réaliser, explique Faïz Djellouli. Cela permet de cibler et prioriser les actions de remédiation qu’il est indispensable de mener. »
La solution rencontre un grand succès, à en croire Faïz Djellouli, « Nous avons été contactés par la moitié du CAC 40 pour des démonstrations, qui se sont transformées en opportunités pour un quart d’entre eux. » Quant à la qualification PASSI, elle susciterait d’ores et déjà l’intérêt des grands services de l’État.