Global Security Mag : Merci de nous accorder ce temps. Pouvez-vous vous présenter et nous dire comment votre parcours vous a amené à votre rôle actuel ?

Francis Grégoire : En tant que Directeur Général ou Deputy CEO de Memority, j’ai la charge de tout ce qui est Stratégie, Technologie, Innovation. Je suis Cofondateur avec Gilles Castéran qui est le CEO.
Depuis 25 ans, que je travaille autour de l’Identité, donc l’IAM (Identity Access Management ou la Gestion des Identités et des Accès), dans des sociétés d’intégration ou des services, de conseils autour des solutions présentent aux Assises, telles que Ping Identity, ForgeRock, ou IBM, et d’autres. Je gérais notamment la mise en œuvre on-premise chez des clients. Et en 2012, en travaillant chez ARISMORE, j’ai eu l’idée de proposer le même service en Saas (Software as a Service) hébergé chez un Cloud Provider et nous avons décidé de lancer cette offre. Nous avons travaillé deux années pour la construire et elle a été lancée aux Assises en 2014 avec pour nom, Memority. Pour être très transparent, l’accueil a été assez froid de la part des RSSI, parce que mettre son identité dans le cloud en 2014, n’était pas la première chose qu’ils avaient envie de faire. Le message était plutôt le contraire, car leur choix était plutôt de mettre les Application en SaaS et peut-être d’envisager cela en dernier pour l’Identité. Dix ans plus tard, ça a changé, tout le monde quasiment est prêt à mettre son Identité dans le Cloud. Entre-temps, de notre côté, nous avons pas mal évolué sur les dix dernières années, puisqu’à l’origine filiale d ’ARISMORE, Memority a été rachetée en 2017 par Accenture. Mais la problématique était qu’il s’agissait de deux business modèles différents. Accenture étant une société de services, et Memority un éditeur de logiciels, la notion de retour sur investissement n’était pas la même. Un autre point était qu’Accenture, énorme société de services, travaillait avec nos compétiteurs américains, donc il y avait un problème de lisibilité sur le marché. Nous avions aussi bizarrement une difficulté d’accès à des marchés, dû au fait que quand vous êtes rachetés par Accenture, ce qui est « brandé », la marque qui est visible, c’est Accenture. Et donc Memority a disparu du marché, concernant la marque. Plus personne ne savait qui était Memority. Alors, au bout de 5 ans, il a été décidé de procéder à un carve-out, autrement dit, à la cession de la branche d’activité Memority.
Gilles et moi avons ainsi repris la société, officiellement le 1er juin 2023 pour devenir 100 % français, complètement autonome, sortie d’Accenture. Aujourd’hui Accenture est un partenaire pour des services d’intégration, comme c’est le cas pour d’autres sociétés, et nous avons transféré le personnel, soit une trentaine de personnes, ainsi que les contrats des clients et la plateforme avec la propriété intellectuelle. Nous avons remis en œuvre tout le Marketing, l’équipe de Vente, etc., et investi sur la R&D (Recherche et Développement). De 30 personnes, nous sommes passés à environ 80 personnes, et on commence de nouveau à reconnaître Memority sur le marché français. Nous avons fait de belles signatures de contrats, et cela va continuer, car la gestion des Identités et des Accès est un sujet vraiment très porteur. La question de la mise de l’Identité dans le Cloud ne se pose plus.

Global Security Mag : Pouvez-vous nous parler de Memority et de ses solutions ?
Quels sont les thèmes qui font la différence ? Pouvez-vous aussi nous parler du partenariat avec b.connect ?

Francis Grégoire : Les grands différenciateurs de Memority par rapport à la concurrence, et je le dis avec beaucoup d’humilité, c ’est qu’au niveau mondial, on est la seule offre en SaaS (Software as a Service) qui permet de gérer n’importe quel type d’identité numérique, que cela soit les employés, les partenaires, les clients, ou les objets connectés, en offrant toutes les fonctionnalités de l’IAM (Identity & Access Management ou la Gestion des Identités et des Accès), donc l’IGA (Identity Governance & Administration ou la Gouvernance et l’Administration des Identités), le SSO (Single Sign-On) Fédération et le MFA (Multi-factor Authentification ou l’Authentification multi facteurs) , et tout cela dans la même plateforme avec une vue à 360 degrés et avec un niveau de personnalisation sans équivalent sur le marché. Tous nos concurrents ont souvent un amalgame de produits qui sont dans le Cloud ou deux plateformes. Nos clients font tout avec notre plateforme unique, y compris la production de rapports ou l’analyse des données.
Quand tout est dans la même plateforme, vous apportez plus de valeur. Le niveau de personnalisation aussi est très important. Nous avons un passé d’Intégrateur qui nous a donné cette expérience de la personnalisation des solutions à déployer on-premise ou sur site, avec des montées de version très compliquées. Nous savons mettre en place un niveau de personnalisation très pointu pour répondre aux attentes commerciales des clients et en s’assurant que les montées de version vont se passer normalement, sans problème et sans régression pour les clients. Nous avons donc construit de cette façon-là. Un autre point business était aussi très important pour nous, et j’avais une exigence qui consistait à vouloir une plateforme qui soit multi-tenant applicative, pas au niveau OS ou VMware, mais vraiment au niveau applicatif, afin qu’elle soit hautement scalable, apte à la mise à l’échelle, pour gérer des dizaines de millions d’identités, mais en même temps que je puisse l’utiliser pour des petits comptes qui ont 1000 identités et donc avoir un prix d’entrée qui soit acceptable, et cela était important pour nous. Encore un autre grand différenciateur par rapport à nos concurrents qui sont pour la majorité américains, c’est que Memority est une société française, ce qui est quand-même important pour le travail sur l’obtention de la qualification du SecNumCloud. Memority est disponible sur deux Cloud Providers, AWS (Amazone Web Services) et S3NS (Thalès et Google). Évidemment, quand vous êtes sur AWS, vous n ’êtes pas éligible au SecNumCloud, mais quand vous êtes sur S3NS, qui est la Joint-Venture ou le consortium entre Thalès et Google, en train de passer leur propre qualification SecNumCloud au niveau IaaS (Infrastructure as a Service) / PaaS (Plateforme as a Service) et qui vont l’obtenir normalement vers l’été 2025, ce qui nous nous permettra de pouvoir enchaîner pour la passer nous-mêmes. Memority a été retenue par France 2030 pour l’accompagnement à l’obtention de cette qualification SecNumCloud au niveau SaaS (Software as a Service) avec l’objectif de l’obtenir fin 2026 début 2027. Et cela fait écho sur le marché français, car il y a une sensibilité de « choisir » des technologies françaises, et surtout, si vous voulez travailler avec les entités publiques, vous n’avez pas le choix. Soit, vous avez la qualification SecNumCloud, soit il faut déployer votre solution on-premise ou sur site.
Concernant b.connect, c’est partenariat important, et b.connect est un client qui propose un service d’authentification forte lancé par 5 grands groupes bancaires français (BNP PARIBAS, GROUPE BPCE, CREDIT AGRICOLE, CREDIT MUTUEL, SOCIETE GENERALE) , pour les particuliers, pour sécuriser le e-commerce français.
Il s’agit de poser un bouton b.connect sur les sites d’e-commerce, qui quand vous cliquez dessus va vous redirigez vers votre application mobile bancaire sur votre téléphone pour vous authentifier et donc plus besoin de login et mot de passe, et dans 80 % des cas il y aura une authentification dite passive, du SSO one click pour éviter des demandes d’authentification incessantes. Par exemple, si je vais sur le site internet de la FNAC, je me connecte avec b.connect, je m’authentifie avec mon application mobile bancaire, je fais mes courses etc., et ensuite je vais sur le site web d’EDF, je clique sur b.connect, comme j’ai déjà interagit avec b.connect juste avant, je ne suis pas redirigé vers l’application mobile bancaire, mais par une authentification dite passive, on calcule une empreinte du device ou terminal que vous utilisez, vos habitudes de connexion, et on génère un « one-time password » sur le réseau qui permet de vous authentifier de manière sûre par rapport à votre terminal. Cela va aussi permettre de fluidifier le « check-out » du paiement, même s’il ne s’agit pas du paiement. B.connect va générer un score de risque sur le fait qu’on pense que la personne qui est derrière le device ou le terminal est bien celle qui prétend l’être. Ce score de risque est envoyé au fournisseur et au site de e-commerce qui va le transmettre à la banque et la banque va décider si oui ou non elle redemande une authentification 3D Secure dans le mode approprié au moment du paiement. La plateforme qui est derrière b.connect, c’est Memority qui gère tout le cycle de vie du particulier, des identités, etc. Qui gère toute l’authentification passive, qui fait l’analyse des scores de risque, etc. Et qui, dans 20 % des cas, va rediriger les infrastructures d’authentification bancaires. B.connect a décidé de travailler avec Memority pour choisir une solution de Confiance. Et nous travaillons avec Thales et Accenture comme intégrateurs. L’objectif en matière de volumétrie, est de supporter les 42 millions de Français bancarisés, plus de 5 000 sites de e-commerce à terme, des dizaines de millions, voire des centaines de millions de transactions.
Il s’agit d’avoir une infrastructure qui permette de supporter à la seconde des milliers de transactions, lors des soldes, par exemple. Memority est la technologie en marque blanche dans l’infrastructure de la plateforme b.connect, donc ne sera pas visible.

Global Security Mag : Comment Memority gère les problématiques de la nécessité de conformité aux Directives et Règlements européens (NIS 2, DORA, etc.) ?

Francis Grégoire : En effet, les enjeux de Cybersécurité et Conformité sont énormes. En tant que service essentiel, Memority va être soumis à NIS 2, malgré notre taille actuelle de petite entreprise. C’est important pour nous et pour nos clients. En regardant le site de l’ANSSI (l’Agence Nationale pour la Sécurité des Systèmes d’Information), on peut constater qu’une société est éligible dès qu’elle dépasse 10 millions d’euros de Chiffre d’Affaires. Au-delà de ce que nous avons mis en œuvre en matière de Cybersécurité, nous travaillons sur des certifications, des qualifications, telles que ISO 27001, ou ISO 27701 qui est relative à la protection des données personnelles. Nous travaillons avec l’ANSSI sur notre qualification SecNumCloud, avec pour objectif de l’obtenir d’ici 2026 ou 2027. C’est extrêmement exigeant car on va beaucoup plus loin que les normes ISO. Et on le voit bien, car très peu de sociétés en SaaS, sans parler de Cloud Providers, ont cette qualification. Par ailleurs, Memority travaille aussi avec Thales qui est notre SOC (Security Operations Center ou Centre des Opérations de Sécurité), tout en ayant sa propre équipe de Cybersécurité. Nous travaillons également beaucoup avec d’autres sociétés pour des Pentests et des audits externes. Memority est en permanence auditée.

Global Security Mag : Quels seraient vos messages clés à nos lectrices et lecteurs ?

Francis Grégoire : Memority est native Identity Factory, permet de générer n’importe quel type d’identité, de rationaliser les coûts d ’infrastructure et d’expertises, palliant ainsi la pénurie des talents notamment avec une seule plateforme à gérer. Pas besoin d’embaucher plusieurs personnes expertes pour gérer plusieurs outils ou plateformes. Nous formons aussi beaucoup d’intégrateurs pour la plateforme Memority. Une de nos spécificités est la capacité de croisement des données, par exemple celles de l’identité avec celles de la gestion des accès. Ainsi, lorsque nous provisionnons des comptes sur une application, nous vérifions si ces comptes sont utilisés avec la possibilité de les supprimer si nécessaire et en permettant par ce procédé à gagner ou optimiser des licences. Ce niveau de personnalisation conduit à vous rapprocher vraiment de vos besoins fonctionnels sans les tordre pour rentrer dans l’outil. C’est l’outil qui va s’adapter à vous et pas le contraire. Cela représente un important point différenciateur et un grand intérêt en matière de gestion du changement auprès des métiers. En résumé, les trois grandes promesses de Memority, globalement sont : La Cybersécurité en toute Conformité, l’Expérience utilisateur (tout type d’identité, que cela soit pour les employés, les partenaires, les clients finaux ou les particuliers), et la promesse métier (Memority s’adapte à tous vos besoins métiers).