Hexatrust

01 — DéfinitionQu'est-ce qu'Hexatrust ?

Hexatrust est une association française créée en 2014 qui rassemble les éditeurs et prestataires français de cybersécurité et de cloud de confiance.

Origine et création

• 2014 : création par des fondateurs d'éditeurs français constatant que la filière manquait d'une voix collective.
• Contexte : marché mondial dominé par acteurs américains et israéliens.
• Complémentaire du CLUSIF (tous profils) et du CESIN (RSSI utilisateurs).
• Hexatrust se positionne côté fournisseurs : seuls éditeurs et prestataires.

Étymologie

• Hexa : référence à l'Hexagone, la France géographique.
• Trust : la confiance — cœur du discours sur la cybersécurité et le cloud de confiance.
• Message : le cluster de confiance français.

Évolution

• 2014 : création, quelques dizaines de membres fondateurs.
• 2016-2018 : croissance régulière, ~50 membres.
• 2019-2020 : élargissement au cloud de confiance, débats SecNumCloud post-Cloud Act.
• 2021-2022 : ~80 membres, montée en puissance du sujet souveraineté.
• 2023-2024 : enjeux EUCS (EU Cloud Certification Scheme).
• 2025-2026 : ~100 membres, association mature, participation aux débats NIS2, CRA, IA Act.

Gouvernance

• Association loi 1901 sans but lucratif.
• Assemblée générale, conseil d'administration, bureau élu.
• Équipe permanente (déléguée générale, administration).
• Financement par cotisations des membres.

Hexatrust occupe une position particulière dans l'écosystème français : ni organisation utilisatrice, ni associative généraliste, mais regroupement industriel des éditeurs français. Son rôle s'est intensifié avec la montée des enjeux de souveraineté numérique post-2020.

02 — MissionsLes rôles de l'association

Promotion de la filière française

• Faire connaître les solutions nationales auprès des acheteurs publics et privés.
• Lutter contre la domination des acteurs américains (Microsoft, Google, Amazon, CrowdStrike, Cisco, Palo Alto).
• Argument souveraineté renforcé post Cloud Act et débats SecNumCloud.
• Promotion du label HexaFrance.

Lobbying et influence

• Représenter les acteurs français dans les consultations publiques et européennes.
• Dossiers : NIS2, Cyber Resilience Act, AI Act, SecNumCloud, EUCS, DORA.
• Défense du critère de souveraineté dans les qualifications (débat EUCS sur l'immunité aux lois extra-UE).
• Relations avec parlementaires (auditions, notes).

Développement des exportations

• Pavillons communs sur salons : RSA Conference, Infosecurity Europe, It-sa Allemagne, GITEX.
• Partenariats avec Business France.
• Réduction des coûts pour les PME.
• Visibilité collective amplifiée.

Commandes publiques

• Lien avec acheteurs publics (UGAP, ministères, collectivités).
• Sensibilisation aux alternatives françaises.
• Simplification des procédures d'appels d'offres.
• Dialogue avec la DGA pour secteur défense.

R&D et projets collaboratifs

• Projets collaboratifs entre membres.
• Réponses communes aux appels à projets : France 2030, PIA, Horizon Europe.
• Liens avec Inria, CEA, CNRS.

Événements et partage

• Partenariat avec les Assises de la Cybersécurité (Monaco).
• Événements régionaux, webinaires, petits déjeuners.
• Participation au Cybermoi/s.
• Networking entre éditeurs complémentaires.

03 — MembresPanorama des éditeurs français

~100 membres en 2026, liste non exhaustive par catégorie.

Éditeurs cybersécurité produit

• Stormshield (filiale Airbus) : firewalls, produits certifiés ANSSI.
• Tehtris : XDR français, forte croissance.
• HarfangLab : EDR/XDR français, certifié ANSSI CSPN.
• Pradeo : sécurité mobile (MTD).
• Vade : anti-phishing email, filtrage.
• Atempo : sauvegarde et protection des données.
• Wallix : PAM, gestion accès privilégiés.
• Oodrive : gestion de contenu sécurisé.
• Quarkslab : sécurité offensive, reverse engineering.
• CybelAngel : protection périmètre étendu (EASM).
• CrowdSec : sécurité collaborative open source.

Hébergeurs et cloud souverain

• OVHcloud : leader européen, coté en bourse.
• Outscale (Dassault Systèmes) : IaaS qualifié SecNumCloud.
• Cloud Temple : cloud souverain SecNumCloud.
• Scaleway (iliad/Free) : cloud européen.
• Oxyl, NumSpot : acteurs spécialisés.

Prestataires de services

• Advens : SOC managé, conseil, cyber pur-player.
• Intrinsec (groupe Neverhack) : audit, SOC, CERT.
• Synetis, Amossys, Lexfo, Digital Security, Almond : audit et conseil.
• Cumul fréquent avec qualifications PASSI.

Acteurs spécialisés

• Ledger : hardware wallet crypto, leader mondial.
• IN Groupe / Safran Identity : identité numérique, titres officiels.
• Ixblue : IoT sécurisé.

Critères d'adhésion

• Entreprise de droit français ou à forte implantation française.
• Activité cybersécurité ou cloud de confiance.
• Conformité à certaines exigences (capital, selon catégorie sensible).
• Adhésion à la charte.
• Cotisation selon taille.
• Validation par le bureau.

Tension sur la définition « français »

• Beaucoup de membres ont du capital-risque américain.
• Certains sont cotés à l'international ou ont des filiales hors France.
• Définition pragmatique : siège social en France, équipe dirigeante française, R&D majoritaire en France.
• Hexatrust ne peut imposer un actionnariat 100% français (contraire au droit européen).

04 — ÉcosystèmeHexatrust et les autres acteurs

Hexatrust vs CLUSIF vs CESIN

• Hexatrust : côté fournisseurs, ~100 membres (éditeurs et prestataires). Mission filière, souveraineté, export.
• CLUSIF : mixte, ~1000 membres. Mission : production de contenu, groupes de travail thématiques.
• CESIN : côté utilisateurs uniquement, ~800 membres (RSSI). Mission : partage entre pairs, baromètre annuel.

Complémentaires : Hexatrust représente l'offre, CESIN représente la demande, CLUSIF fait le pont.

Partenariats institutionnels

• ANSSI : partenaire privilégié, consultations régulières.
• DGE (Direction Générale des Entreprises, Bercy).
• Ministère de l'Intérieur.
• Bpifrance : financement startups et ETI cyber.
• Campus Cyber (La Défense) : nombreux membres présents physiquement.
• France 2030 : dispositif d'investissement.

Relations internationales

• ENISA : agence européenne de cybersécurité.
• European Cyber Security Organisation (ECSO) : homologue européen.
• Bitkom (Allemagne) : équivalent allemand.
• Missions commerciales avec Business France.

Clusters régionaux

• Pôle d'Excellence Cyber de Bretagne (Rennes).
• Systematic Paris-Region.
• Campus Cyber Régional : déclinaisons territoriales.

05 — EnjeuxSouveraineté numérique

Constat du marché

• Marché mondial cybersécurité : ~$250 milliards en 2024.
• Dominé par les États-Unis et Israël.
• Top mondial : Microsoft, Palo Alto, CrowdStrike, Cisco, Fortinet, Check Point, Zscaler.
• Part des solutions françaises en France : ~20-30% selon segments.

Risques de la dépendance

• Cloud Act US (2018) : accès gouvernemental US aux données stockées par acteurs US même hors territoire US.
• Sanctions extraterritoriales : États-Unis peuvent interdire à leurs acteurs de fournir certains clients.
• Schrems II (juillet 2020) : invalide le Privacy Shield, complexifie les transferts UE-US.
• Espionnage économique : risque d'intelligence industrielle.
• Dépendance technologique : limite l'autonomie stratégique.
• Chantage géopolitique : risque de coupure en cas de conflit.

Réponses françaises

• SecNumCloud : qualification ANSSI avec critères d'immunité aux lois extra-UE.
• Cloud au centre : doctrine de l'État pour données sensibles.
• France 2030 : ~1 milliard € dédié à la cybersécurité.
• Obligation SecNumCloud pour certaines données publiques sensibles.

Débats européens

• EUCS (EU Cloud Certification Scheme) : débat sur l'inclusion d'un critère de souveraineté.
• NIS2 : transposition et application.
• Cyber Resilience Act : obligations produits.
• AI Act : articulation avec cybersécurité.
• DORA : secteur financier.

Arguments du souverain

• Confidentialité des données : juridiction française/européenne.
• Continuité d'activité : moindre dépendance géopolitique.
• Soutien filière : emplois, expertise nationale, PIB.
• Réactivité : accompagnement local, langue française.
• Conformité réglementaire : plus simple avec acteurs français.

Critiques

• Maturité : acteurs US souvent plus avancés sur certains segments (EDR, SIEM).
• Coûts : solutions françaises parfois plus chères.
• Taille critique : difficile de concurrencer les géants US.
• Recrutement : pénurie talents cyber en France.

Équilibre recherché

Hexatrust prône un équilibre : privilégier le français quand il est au niveau, utiliser les acteurs mondiaux quand pertinent, garantir la souveraineté pour les données et infrastructures critiques.

06 — ÉvénementsVisibilité

Assises de la Cybersécurité

• Événement majeur français, chaque octobre à Monaco.
• Hexatrust partenaire historique.
• ~4 000 visiteurs, 200+ exposants.
• Les éditeurs français y occupent une place visible.

Salons internationaux

• Pavillons Hexatrust : RSA Conference (San Francisco), Infosecurity Europe (Londres), Black Hat USA (Las Vegas), It-sa (Nuremberg), GITEX (Dubaï).

Événements internes

• Assemblées générales, commissions thématiques.
• Petits déjeuners, afterworks de networking.
• Groupes de travail sur dossiers européens.

Campus Cyber

• Hexatrust partenaire du Campus Cyber à La Défense (2022).
• Nombreux membres ont bureaux ou équipes au Campus.
• Écosystème physique renforçant les liens.

Publications et médias

• Études sur la filière cyber française.
• Prises de position sur les dossiers européens.
• Interventions dans Les Échos, La Tribune, Usine Digitale, LeMagIT.

07 — FAQQuestions fréquentes

Hexatrust est-il ouvert aux utilisateurs ?

Non. Hexatrust est strictement réservé aux éditeurs et prestataires français. Les utilisateurs (entreprises clientes, RSSI, administrations) n'y adhèrent pas. Pour les utilisateurs : CESIN (RSSI d'entreprises utilisatrices), CLUSIF (mixte, ouvert à tous), CIGREF (DSI grandes entreprises). Cette séparation permet à Hexatrust de défendre les intérêts des fournisseurs sans conflit d'intérêt avec les acheteurs.

Comment devenir membre d'Hexatrust ?

Processus : être une entreprise éligible (société de droit français ou forte implantation française, activité cybersécurité ou cloud de confiance). Déposer une candidature via hexatrust.com avec présentation entreprise, produits, références, engagement charte. Évaluation par le bureau puis validation en CA. Adhésion avec cotisation annuelle (échelle selon taille, de quelques centaines à plusieurs milliers d'euros par an). Intérêt : visibilité, pavillons salons, lobbying collectif, mutualisation R&D, networking.

Quels sont les champions français de la cyber ?

Plusieurs catégories. Licornes cyber (valorisation >1 milliard USD) : Ledger (hardware crypto). Entreprises établies et cotées : OVHcloud (Euronext Paris, leader cloud européen), Wallix (Euronext), Stormshield (filiale Airbus). Scale-ups en croissance : Tehtris, HarfangLab, Vade, Pradeo, CybelAngel, Atempo, Quarkslab. Grands groupes avec activités cyber : Thales, Atos/Eviden, Airbus CyberSecurity, Orange Cyberdefense, Capgemini, Sopra Steria. La filière française compte environ 1000 entreprises pour 60-80 000 emplois en 2026, en croissance régulière. Objectif gouvernemental France 2030 : doubler ces chiffres d'ici 2030.

L'Europe peut-elle rattraper les États-Unis en cyber ?

Débat complexe. Arguments pour l'optimisme : filière européenne en croissance, régulations européennes qui structurent le marché (NIS2, CRA, RGPD), talents techniques de haut niveau, sensibilisation accrue sur la souveraineté, France 2030 et équivalents européens. Arguments pour le pessimisme : écart de financement capital-risque (US : 10-20x plus d'investissements cyber qu'Europe), taille du marché intérieur US, préférence d'achat traditionnelle des grandes entreprises pour acteurs US, rapidité d'innovation US. Position intermédiaire crédible : l'Europe peut occuper certains segments (souveraineté, secteurs régulés, niches spécialisées) sans dominer tout le marché mondial. Stratégie pragmatique plutôt que rêve d'autarcie complète.

Hexatrust est-il impartial dans ses positions ?

Hexatrust est par définition une association de lobbying industriel : ses positions défendent les intérêts de ses membres (éditeurs français). Ce n'est pas un think tank neutre. Exemples de positions : pour le critère de souveraineté dans EUCS (favorable aux membres français, défavorable aux acteurs américains), pour le renforcement de la préférence nationale dans les marchés publics, pour l'application stricte de SecNumCloud. Ces positions sont légitimes comme représentation d'un secteur économique, mais sont parfois critiquées comme protectionnistes ou excessives par d'autres acteurs (clients finaux, filiales françaises d'acteurs US, certains experts qui regrettent les limitations). À prendre en compte comme toute parole d'association professionnelle.

Où trouver la liste complète des membres ?

Liste officielle consultable sur hexatrust.com dans la section « nos membres » ou similaire. Mise à jour régulière avec logos, liens vers sites des entreprises, catégorisation par domaine d'activité. Utile pour : identifier des solutions françaises alternatives sur un besoin spécifique, connaître l'écosystème, repérer des fournisseurs potentiels pour appel d'offres. L'absence d'un éditeur ne signifie pas nécessairement qu'il n'est pas français (certains ne sont pas membres, d'autres sont plus récents et en cours d'adhésion). La liste est vivante et évolue avec fusions-acquisitions (concentration du marché), créations (nouvelles startups), fermetures ou rachats par acteurs étrangers.