Un boitier portable appelé station blanche sur lequel on peut brancher tout type de support amovible (clé USB, disque dur externe, carte compact flash…) pour analyser et décontaminer les fichiers qui y sont stockés, avant de les brancher sur un système d’information. C’est la solution proposée par la bien nommée start-up Hogo (qui signifie «protection» en japonais), crée en 2016 à Rennes (Ille-et-Vilaine), et qui dispose depuis 2022 de sa propre plateforme technique d’assemblage à Lyon-Villeurbanne (Rhône). Une solution «conçue pour tenir face à des attaques auxquelles un PC ne pourrait pas résister» assure Quentin Ruillère, l’un des trois co-fondateurs d'Hogo et président de la start-up qui compte douze salariés.
Un processus de certification qui s’étale sur plusieurs années
Les trois co-fondateurs d’Hogo – Quentin Ruillère, Franck Di-Nocera et Laurent Collet, qui ont respectivement travaillé dans la sureté nucléaire, chez Airbus Helicopters et Orange – s’orientent logiquement vers le secteur de la défense et les industries sensibles. Parmi les premiers clients de la start-up qui en compte aujourd'hui 200, Airbus Helicopters, Thales, mais aussi des administrations et le ministère des Armées. Des organisations concernées par la directive européenne NIS I, transposée en France en février 2018, qui vise à garantir la continuité des activités de quelques 200 opérateurs dans les secteurs d’importance vitale (défense, énergie, etc.) en assurant un niveau de sécurité élevé de leurs systèmes d'information. Leur mise en conformité passe notamment, pour les acteurs les plus critiques, par des stations blanches comme celle développée par Hogo.
En parallèle, la start-up planche dès sa création sur l'obtention de la Certification de Sécurité de Premier Niveau (CSPN) de l’Agence nationale de la sécurité des systèmes d'information (Anssi). Un processus de certification long et fastidieux, qui s’est étalé sur plus de six ans. «C’est une sorte de contrôle technique au cours duquel on doit justifier de la conception et de la manière dont on compte maintenir à jour la station pour conserver un taux de détection élevé. Nous avons également dû effectuer des tests de détection de virus à partir de scénarios d’attaque», détaille Quentin Ruillère. En 2022, la S3box d'Hogo devient la première station blanche certifiée CSPN en Europe. Avec un prix de vente compris entre 2000 et 5000 euros.
Les clés usb, une porte d’entrée privilégiée des cybers attaquants
Depuis, la pépite connait une croissance annuelle de 80%. Car, rappelle Quentin Ruillère, «lacontamination par clé USB, encore très répandue dans l’industrie, est dans le top 5 des moyens utilisés par les cybers attaquants». Mi-janvier, le FBI communiquait sur un programme malveillant lancé par la Chine en 2023 et propagé via des clés USB, qui a infecté des milliers d’appareils dans le monde. Une opération dont la propagation a été bloquée en France par l’entreprise de cybersécurité Sekoia.io, accompagnée de la gendarmerie, de l’unité de lutte contre le cybercrime, ainsi que du FBI.
Mais elle a touché massivement des pays africains, notamment le Nigéria, ainsi que des États d’Amérique latine, moins bien protégés. Dans ce contexte, «latendance est à l’augmentation de la demande de mise en conformité via l’installation de stations blanches», assure Quentin Ruillère, qui estime que quelques 2000 entités pourraient être concernées par l'entrée en vigueur de la directive NIS2, qui devrait être transposée dans la loi au printemps 2025.
Forte de la reconnaissance de sa solution CSPN en Allemagne, Hogo a ouvert en 2024 un bureau à Francfort avec le soutien de Bretagne commerce international. Dans le but de poursuivre sa croissance et de conquérir de nouveaux marchés, elle cherche à recruter six nouveaux salariés pour renforcer sa R&D ans les prochaines années.
