7,5 milliards. C’est le nombre de données récoltées par Ziwit en dix ans d’existence. Ses hackers disent ne pas les pirater directement mais les récupérer, une fois volées, sur internet ou sur le “darkweb”, afin d’alerter la cible et de lui proposer leurs services pour la protéger. Une méthode qui a permis à la jeune pousse de conquérir plus de 9200 clients — parmi lesquels de nombreux gouvernements et la plupart des grosses sociétés de la planète — et de devenir une multinationale de plus de 450 experts implantés dans sept pays.

Au milieu des portraits de lui avec les grands de France et du monde arabo-musulman qu’il équipe et conseille, Mohammed Boumediane — bientôt ex-membre du Conseil national du numérique qui se dit “sans étiquette politique” — nous reçoit dans son bureau vitré et ouvert, au siège de Ziwit à Montpellier, pour une discussion nocturne à bâtons rompus.

Diaspora : Pouvez-vous vous présenter en quelques phrases ?

Mohammed Boumediane : J’ai 33 ans. Je suis né et j’ai grandi à Meknès, où j’ai obtenu mon bac à 16 ans et demi. J’étais alors mineur non accompagné et je n’avais aucune famille en France, mais j’ai eu la chance d’être accepté chez Cryptis [une école d’ingénieurs spécialisée en cryptologie et en sécurité de l’information, située à Limoges] grâce à de très très bonnes notes en mathématiques et dans toutes les matières scientifiques, mais aussi à quelques bulletins de sécurité qui parlaient de moi. Ensuite, j’ai travaillé deux ans chez Vupen, où j’étais chargé de détecter des failles de sécurité pour les services de renseignement. Puis j’ai créé fin 2010 ma propre société, qui est devenue aujourd’hui le groupe Ziwit.

Quels sont vos points forts ?

L’avantage qu’on a, c’est qu’on n’a pas réussi à lever beaucoup d’argent quand on s’est lancé. Ça peut sembler paradoxal, mais ça nous a poussé à développer dès le départ des produits qui répondent à un besoin. On a gardé cette philosophie jusqu’à aujourd’hui. Notre premier atout, c’est donc le pragmatisme, un certain côté terre-à-terre. Le deuxième, c’est la simplicité. On se met à la place du client : un banquier, par exemple, son métier n’est pas de faire de la sécurité informatique mais de vendre des produits financiers, donc il ne faut pas qu’il passe dix heures par jour à configurer nos solutions. C’est aussi pour ça qu’on a opté dès le début pour le mode SaaS [Software as a Service], c’est-à-dire pour un logiciel qui est directement sur le navigateur, comme ça il n’y a rien à installer.

À l’inverse, quels sont vos points faibles ?

(silence) Sincèrement, je n’ai jamais réfléchi à cette question. On ne voit pas les choses comme ça. On essaie de s’autoévaluer tout le temps, en mandatant plein de cabinets. Je ne vois pas de points faibles… mais en tous cas, s’il y en a un, j’aimerais bien le connaître pour le corriger !

Quelles sont vos ambitions ?

Notre objectif, d’ici à 2025, c’est de devenir leader mondial dans la cybersécurité offensive [à l’opposé des solutions défensives classiques comme les antivirus, cette stratégie consiste à simuler en permanence des attaques afin de détecter et de combler les brèches]. Pour y parvenir, nous avons lancé en 2017 un fonds d’investissement qui s’appelle Stratinvest, désormais doté de 48 millions d’euros. Il nous a permis d’entrer dans le capital puis d’acquérir, par exemple, le brésilien TrustSign, spécialiste des certificats SSL, l’israélien Cloudfilt, qui détecte les bots, ou encore l’opérateur de fibre saoudien Numerical Data.

On emploie souvent le terme de “cyberguerre”. Par définition, tous est permis. Jusqu’où pourriez-vous aller ?

J’ai déjà reçu beaucoup de coups : problèmes de certification, vols, incendie de l’un de nos data centers… Quand vous êtes jeune, que vous créez votre entreprise, que vous arrivez du Maroc, sur un secteur très porteur où il y a beaucoup d’argent, vous dérangez pas mal de monde. Mais c’est de bonne guerre, c’est normal. Moi-même, au début, je prenais énormément de risques en faisant des démonstrations de piratage pour des émissions de télé !

Quelles seraient vos prétentions salariales ?

Aujourd’hui, un bon hacker peut gagner 100.000 dollars par mois. Il y a des chasseurs de prime à qui on propose des récompenses parfois très élevées s’ils arrivent à repérer des failles rares. Chez Ziwit, les salaires sont bons, mais on n’est quand même pas à ce niveau-là (rires) ! Et pour nos clients, ça dépend des offres, mais une suite de logiciels coûte environ 4000 euros par an et par adresse IP ou par site, donc ça peut monter assez vite.

Vous n’avez toujours pas prévu d’entrer en Bourse ?

On est toujours sur la même ligne : nous ne sommes ni à vendre, ni à reprendre. On ne communique par sur notre chiffre d’affaires [en 2016, il était estimé à 300 millions d’euros], mais vu notre rentabilité, il vaut mieux garder le groupe tel qu’il est, avec son autonomie. Aujourd’hui, la recherche et développement représente presque 80 % de nos dépenses globales. On ne veut pas se disperser mais être le meilleur dans ce qu’on sait faire.

Combien de temps seriez-vous prêt à travailler ?

Au début, j’étais vraiment sur des horaires pas possibles, sept jours sur sept, mais ce n’est plus le cas. Maintenant, ma journée type commence à 6 h du matin pour se terminer à 21 h le soir, avec une coupure le midi, et cinq jours sur sept, en ne répondant plus qu’au téléphone quand je rentre chez moi. Je suis souvent en déplacement, aussi. Un petit peu moins depuis le début de l’épidémie de coronavirus, mais je bouge tout de même, avec l’avion que Ziwit a acheté.

Vous avez qualifié certains porteurs de projets de “geeks excellents mais qui ne savent pas vendre”. Personnellement, vous vous considérez plutôt comment ?

(rires) Au début, j’avais juste le côté geek et je ne savais pas vendre mon produit. Avec le temps et tout ce qu’on a subi, ça s’est inversé. Franchement, aujourd’hui, quand je vois ce dont sont capables les jeunes hackers… J’essaie de suivre et de m’investir, mais c’est devenu ultra complexe. Il faut des réflexes qui nécessitent un entraînement quotidien.