Malgré son succès naissant, Evina fait partie des startups les plus discrètes de l'écosystème français. Sûrement la faute, en partie, au marché méconnu bien qu'imposant qu'elle adresse : la jeune pousse a pour spécialité la détection de fraude dans les paiements par téléphonie mobile, ces transactions réalisées via la carte SIM et facturées sur le contrat de téléphonie mobile. Aujourd'hui, elles représentent 20% des achats mondiaux de contenus numériques, pour un montant, d'après le cabinet de conseil Juniper Research, de 37 milliards de dollars en 2020 (32,7 milliards d'euros), avec une croissance annuelle à deux chiffres. Ce montant devrait plus que doubler dans cinq ans : Juniper Research estime que ces revenus dépasseront les 100 milliards de dollars (88 milliards d'euros) à l'horizon 2025.
De quoi donner des étoiles dans les yeux à Joan Larroumec, tout à la fois cofondateur et directeur stratégique et marketing d'Evina, qui voit dans l'explosion de cet usage une opportunité à saisir. « Notre vision, c'est que les opérateurs téléphoniques vont devenir les futurs géants de la fintech en cherchant à mieux monétiser leurs utilisateurs. Et parmi les relais de croissance à développer se trouve le paiement », explique-t-il à la Tribune. Et de poursuivre :
« Les opérateurs ont déjà accès au téléphone portable, à l'identité et aux coordonnées du client. Tout ce qui leur manque, c'est un niveau de sécurité des transactions équivalent au niveau bancaire. Sauf qu'un téléphone mobile est une plateforme ouverte, plus difficile à sécuriser qu'un paiement par carte bancaire », poursuit-t-il.
C'est ici qu'interviendrait Evina : la jeune pousse créée en 2018 espère imposer ses services de détection comme les outils anti-fraude de référence du secteur.
Près de 100% des fausses transactions détectées
Concrètement, Evina a pour mission de définir si une transaction effectuée sur un smartphone est légitime ou non, ce qui revient à deviner qui d'un humain ou d'un programme informatique (qu'on peut qualifier de "robot") l'a initiée. Pour faire cette vérification, Evina capte des centaines de types de données fournies par ses clients, puis en tire différentes analyses automatiques. En comparant ses résultats avec les plaintes de fraude déposées par les utilisateurs, la startup affirme détecter 99,94% des fausses transactions.
Elle n'aurait également que 0,06% de faux positifs, c'est-à-dire de transactions signalées alors qu'elles sont légitimes. « Nous avons beaucoup travaillé sur la réduction du temps d'analyse pour le réduire à moins de 100 millisecondes, car ajouter un temps d'attente à l'acheteur, c'est le risque de le perdre », précise le directeur stratégique. Pour les utilisateurs, le système de détection d'Evina est invisible, et il ne requiert pas d'installer un programme sur son smartphone.
20 millions d'euros pour sa première levée de fonds
L'entreprise parisienne compte déjà Orange et Bouygues Telecom parmi ses clients français, et sécurise des transactions dans 70 pays en signant d'autres clients prestigieux comme Vodafone. Elle n'équipe pas que les opérateurs, puisqu'elle vend aussi ses services aux autres acteurs de la chaîne de valeur du paiement mobile : les marchands numériques, comme le Britannique PM Connect chargé entre autres de la mise en vente des matchs NBA (la ligue américaine de basketball) ou des séries HBO ; et les agrégateurs de paiement. Résultat : chaque jour, l'entreprise analyse plus de 16 millions de transactions, un nombre en constante augmentation.
Afin d'accélérer son emprise sur le marché, Evina a décidé de lever 20 millions d'euros en série A auprès du fonds américain Radian Capital. Ses investisseurs historiques français, parmi lesquels 50 partners, SaaS Partners et Id4VC, remettent aussi au pot. Cet enveloppe alimentera pour moitié la division recherche et développement de la startup afin de conserver son avance technologique, et pour moitié la force de frappe commerciale dans l'objectif de signer de nouveau clients. L'entreprise espère ainsi plus que doubler son nombre d'employés en passant de 40 actuellement à plus d'une centaine fin 2022.
« Qu'un fond d'investissement américain vienne nous voir représente un signal fort pour nous. Cela signifie qu'il adhère à notre vision du marché des paiements opérateurs et que le marché américain pourrait être accessible », se réjouit le cofondateur. A l'heure actuelle, les opérateurs américains relancent à peine leur offre, là où les marchés européens, et surtout africains et asiatiques sont déjà bien développés. D'ailleurs, ce relatif retard du marché américain a joué en faveur d'Evina. « Les grands fabricants de cybersécurité sont les Etats-Unis, et Israël, qui est branché au marché américain. Commencer sur le marché européen nous a permis de bâtir une vraie avance. »
Gagner le jeu du chat et de la souris face aux cybercriminels
Face à la startup se trouve une industrie cybercriminelle florissante, appâtée par le gain. « La véritable fraude organisée s'est structurée autour de 2015, lorsque de grandes entreprises cybercriminelles ont commencer à développer des virus sophistiqués -transmis dans des apps ou par le navigateur web- capables de prendre le contrôle intégral du smartphone et de signer des achats ou des abonnements pour le compte de leur victime », constate Joan Larroumec. Et de préciser le niveau de sophistication de la menace : « Aujourd'hui, un virus peut initier un paiement dans la plus grande discrétion, empêcher le SMS de la double authentification de s'afficher, le rentrer lui-même pour valider la transaction, puis supprimer le SMS. ».
Pour pousser les utilisateurs à télécharger leurs applications vérolées, les cybercriminels multiplient les ruses. Par exemple, ils achètent des applications légitimes qu'ils infectent avec des mises à jour malveillantes. Ou encore, ils créent des apps gratuites et utiles bien que malveillantes, qu'ils mettront en avant avec de la publicité. Ensuite, il s'agit pour eux d'éviter de se faire repérer : certains logiciels malveillants ne se déclencheront que dans un cas sur 100, d'autres ne s'activeront que sur les réseaux de certains opérateurs. «Une application inoffensive à Paris peut voler des utilisateurs à Dakar », résume le cofondateur.
Contre cet attirail de techniques, Evina a aussi diversifié son arsenal : en plus des analyses, elle met en place des honeypots [pots de miel ou appâts, Ndlr], des appareils destinés à attirer et télécharger les virus dans différents pays pour mieux les étudier. Mieux, elle va aussi les chercher directement à la source. « Nous surveillons les réseaux criminels parallèles aux nôtres. Nous achetons par exemple les logiciels de fraude pour faire de la rétroingénierie et identifier les comportements frauduleux », confie Joan Larroumec.
Mais être parmi les meilleurs au jeu du chat et de la souris avec les cybercriminels a un coût : Evina injecte plus d'un tiers de son chiffre d'affaires (gardé secret) dans la recherche et le développement. Sans ces investissements, la startup serait déjà rentable, affirme son cofondateur. Mais le prix à payer en vaut la chandelle : Evina revendique avoir empêché sur les 12 derniers mois le vol de plus d'1 milliard d'euros.
« C’est une décision difficile, mais nous avons décidé d'arrêter des "Chiffres et des lettres" » (Stéphane Sitbon-Gomez, France Télévisions)
Sujets les + commentés