Start-up cyber européennes : pourquoi la course aux rachats profite aux Américains

« Maîtriser nos dépendances numériques ». Placardé sur les murs du Grand Palais de Lille, le mot d’ordre de la dernière édition du salon cyber FIC était clair. Paradoxalement, l’un des cuisants rappels de notre dépendance numérique était aussi présent en grande pompe. Hornet Securit occupait un vaste hall, paré des couleurs de l’entreprise, avec mascottes, super-héros en costume flashy, et même un mini-circuit de karting.

Dans le milieu de la cybersécurité, tout le monde connaît l’histoire d’Hornet Security. Pépite allemande créée en 2007, spécialisée dans la sécurité du cloud, Hornet avait racheté en 2024 Vade, une start-up française éditrice de logiciels de protection des mails, qui avait été décrite comme « l’une des entreprises les plus prometteuses » de la cyber par Emmanuel Macron en 2021. Mais la success story européenne a pris du plomb dans l’aile en 2025, lorsque Hornet s’est fait à son tour racheter par… le géant américain ProofPoint. Malgré les alertes d’un député et d’un sénateur, qui demandaient une action du gouvernement pour bloquer le rachat, ce dernier est approuvé. Pour 1,8 milliard de dollars, Vade et Hornet Security basculent sous pavillon américain.

La course aux rachats

« C’est une histoire qui se termine bizarrement, alors que la volonté à l’origine était de créer un champion européen », se désole Joffrey Célestin-Urbain. Le président du Campus Cyber est amer mais peu surpris. Le cas Hornet n’est pas isolé. Dans l’écosystème, l’idée que les Américains font leurs courses sur le continent européen tourne à l’obsession. Une situation gênante pour l’Europe, qui a redécouvert avec effroi sa dépendance aux services américains depuis le retour de Donald Trump au pouvoir. Les menaces sur le Groenland et celle d’être privé des logiciels américains sur ordre de l’administration Trump incitent plus que jamais l’Europe à veiller sur ces entreprises de cybersécurité, alors que les rachats se sont multipliés les dernières années.

En 2023, le fonds Carlyle devenait l’actionnaire majoritaire de Pr0ph3cy pour 100 millions de dollars. En 2021, la start-up Alside, créée par des anciens de l’Anssi et spécialisée dans l’identification de vulnérabilités, avait été rachetée 98 millions de dollars par l’américain Tenable. La même année, DataDog s’offrait Sqreen pour 220 millions de dollars. En 2019, c’était l’entreprise lyonnaise de sécurité industrielle Sentryo qui était rachetée par Cisco, pour un montant non divulgué. La France n’est pas la seule concernée : l’antivirus allemand Avira a été absorbé par NortonLifeLock pour 360 millions d’euros en 2020, et Accenture a mis la main sur les Espagnols d’Innotec en 2023. La même année, l’entreprise britannique Darktrace, qui utilise l’intelligence artificielle pour repérer les menaces dans le cloud, était rachetée 5,3 milliards de dollars par le fonds américain Thoma Bravo.

Les rachats sont généralement de bonnes nouvelles pour les start-up et offrent aux investisseurs des sorties naturelles. « Cela montre que le marché est dynamique », ajoute Alain Bouillé, délégué général du CESIN, (Club des Experts de la Sécurité de l’Information et du Numérique). Et que les solutions européennes sont convoitées. Selon un rapport de la Commission européenne, les Etats-Unis sont le premier investisseur étranger dans l’UE en nombre d’opérations : en 2024, ils représentaient 30 % de l’ensemble des acquisitions et 37 % des investissements de création. Au total, fin 2024, le stock d’investissements directs étrangers détenus dans l’UE par des investisseurs américains s’élevait à 2 243 milliards d’euros, selon Eurostat. Une manne dont les entreprises ne peuvent se passer.

« Mais il y a investissement et investissement », pointe Alain Bouillé qui met en garde contre certains fonds qui « rachètent tout ce qui bouge, déshabillent les équipes marketing et arrêtent la R&D avant de revendre la société plus chère quelques années après ». « Sur les cinq dernières années, si vous prenez le top 10 des investisseurs en Europe dans la cybersécurité européenne, 7 ou 8 sont des fonds américains », souligne Joffrey Célestin-Urbain. L’Europe ne pèse que 15 % des investissements en capital-risque en cybersécurité, alors même que le continent, dans son ensemble, représente plus de 30 % des dépenses du secteur, indique Carlos Alberto Silva, managing partners chez 33N Ventures, fonds portugais spécialisé dans la cyber. « Et ces investissements sont majoritairement concentrés sur l’amorçage ». Pionnier du secteur il y a une dizaine d’années, 33N a misé sur de nombreuses jeunes pousses françaises, espagnoles ou italiennes.

Les fonds européens dépassés

« L’Europe est plutôt performante pour créer des entreprises, trouver des talents, développer un produit, lancer une start-up », indique Carlos Alberto Silva. Les fonds européens sont là pour les soutenir à leurs débuts et injectent des « petits tickets » de 100 000 à 2 millions d’euros. « Mais dès qu’une start-up veut lever une Série A, c’est beaucoup plus difficile qu’en Israël ou aux Etats-Unis ». Passé un certain palier, les volumes de financements européens se raréfient et il ne reste face aux entreprises que des acteurs extra-européens.

Cela tient à plusieurs facteurs. Des fonds d’envergure existent bien – Eurazeo, Tikehau, Auriga Partners, etc. « La difficulté pour ces entreprises reste de trouver des solutions qui leur permettent de bien valoriser leurs participations lorsqu’elles sortent », souligne Joffrey Célestin Urbain. Les seuls fonds capables de surenchérir sont bien souvent américains. « En alpinisme, au-delà de 7 500 mètres, c’est la zone de la mort. Sur les marchés de capitaux, c’est un peu pareil : au-delà de 100 millions d’euros, il n’y a plus tellement d’Européens », illustre le patron du Campus Cyber.

Les groupes américains ont alors tout loisir de cueillir les entreprises les plus prometteuses. « Le marché américain est un marché unifié. C’est un zéro de plus partout : un zéro de plus sur l’investissement et un zéro de plus sur les ventes », résume Thomas Gayet, CEO de Scovery, une agence de notation cyber.

Les pays européens ont la possibilité de s’opposer à certains rachats, avec des lois permettant de contrôler des investissements étrangers. L’Etat peut mettre son véto si les acquisitions touchent des secteurs stratégiques. Des entreprises travaillant dans le domaine de la cybersécurité des télécoms, des satellites ou d’autres infrastructures critiques pourraient être concernées, tout comme celles dont les clients opèrent dans ces secteurs.

L’Anssi a toutefois « une position très mesurée » en ce qui concerne les blocages de rachat, analyse Thiébaut Meyer, directeur de la cybersécurité chez Google Cloud. Il en veut pour preuve l’acquisition d’Alside par Tenable en 2021, qui avait abouti à la dissolution de la start-up française. « L’agence avait autorisé le rachat pour ne pas freiner l’innovation et l’entrepreneuriat. » L’arbitrage est il est vrai délicat : à trop bloquer les sorties, l’Etat prend le risque de voir les entrepreneurs aller monter leur boîte ailleurs en Europe. Ou, scénario cauchemar, directement aux Etats-Unis.

L’exemple israélien

Les 27 marchés nationaux de l’Union ne facilitent rien. Un véritable marché unifié, à l’américaine, donnerait aux entreprises européennes un avantage décisif. En attendant, dans des pays comme la France, les entreprises subissent « la malédiction des marchés moyens », pointe Carlos Alberto Silva. Les start-up peuvent atteindre une taille respectable – jusqu’à 10 millions d’euros de revenus annuels – sans avoir à quitter l’Hexagone. « Mais cela finit par jouer contre elles, car elles ont beaucoup de mal à franchir le cap de l’internationalisation ».

A l’inverse, des entreprises issues de petits marchés locaux n’ont d’autres choix que de s’exporter dès le départ. C’est le cas des start-up portugaises, mais surtout, des israéliennes. « Ils ont beaucoup de fonds d’amorçage, qui aident les start-up à s’implanter dans le marché américain. Ils créent ensuite des plateformes très larges, font des acquisitions et revendent l’entreprise. L’argent récolté retourne en Israël, sous la forme d’investissement dans de nouvelles entreprises. Et ainsi de suite », décrit Carlos Alberto Silva. Un cercle vertueux, qui vient aider un écosystème déjà très développé.

Le pays a mis en place de longue date une mécanique organique, entre universités, armée et acteurs financiers. Lors de leur service militaire, obligatoire, les jeunes les plus talentueux en mathématiques sont recrutés au sein de l’unité 8200, spécialisée dans la cyberdéfense. Une fois leur service terminé, ils fondent des start-up cyber, financées par divers organismes de recherche et d’autres fonds. A Beer-Sheva, ville accueillant l’unité 8200, s’est ainsi formé tout un pôle d’excellence cyber, rassemblant les plus grands acteurs du pays. Un cluster qui a directement inspiré la création du Campus Cyber.

La résistance s’organise

Malgré la longue liste de rachats opérés par des entités américaines, l’Europe ne manque pas de fleurons. Des géants industriels comme Orange, Airbus, Siemens ou Leonardo se sont lancés dans le secteur avec succès. D’autres acteurs spécialisés sont reconnus mondialement, comme ESET, BitDefender, Nomios, FScecure, GData, SAP, SmartDigit, ou encore Oixio, et peuvent jouer des rôles de consolidateurs.

Certains passent à l’acte. Thales a multiplié les acquisitions ces dernières années : l’Australien Tesserent, l’Américain Imperva, le Néerlandais OneWelcome, l’Espagnol S21Sec et le Luxembourgeois Excellium ont tous rejoint le groupe français depuis 2020. La tendance se retrouve ailleurs en Europe. Une étude du fonds d’investissement français Axeleo Capital montre que, bien que 40 % des rachats de start-up européennes de la cyber aient été réalisés par des acteurs américains, les Européens sont présents. Proton, Ekinops, Orange Tersedia et Cyber Guru ont toutes réalisé des acquisitions en 2024 et 2025.

Il reste cependant du chemin à parcourir. Pour donner un vrai coup de fouet au secteur, il faudrait que « l’Etat achète davantage de solutions cyber françaises et européennes. Et que les entreprises en fassent autant », exhorte Joffrey Célestin-Urbain. La transition d’une solution américaine à une européenne n’est cependant pas simple, et requiert souvent plusieurs années. Il n’existe de plus pas toujours d’équivalent exact, ou aussi complet. Enfin, les velléités européennes ne sont pas forcément alignées. « L’Europe de la cyber n’existe pas. Chaque pays se dit ‘je veux être plus souverain, mais je veux être souverain avec mes solutions' », résume Joffrey Célestin-Urbain.