« Nous venons de réunir 5,9 millions de dollars pour continuer à faire ce que j’aime le plus : casser des choses avant que les méchants ne le fassent ».
C’est sur son compte LinkedIn que Roni Carta a annoncé le montant du tour de pré-amorçage de Lupin & Holmes, start-up spécialisée dans la cybersécurité offensive qu’il a co-fondé avec son frère ( voir son interview sur Silicon).
Le créneau de Lupin & Holmes : sécuriser la Software Supply Chain (la chaîne d’approvisionnement logicielle) et l’utilisation de composants préconstruits dans les systèmes d’information.
« Nous avons identifié et divulgué via les programmes Bug Bounty des vulnérabilités sur Google, Amazon, Netflix et PayPal. J’ai été nommé Hacker le plus utile lors de deux événements de piratage en direct de Google. Et chaque fois que je trouvais un moyen d’entrer, j’avais l’impression de résoudre le meilleur puzzle du monde.» explique Roni Carta.
Pour adresser ces failles de sécurité qui vont être activement exploitées dans tous les écosystèmes et dans les différentes industries, Lupin & Holmes a lancé Depi, une plateforme en mode SaaS.
« Pour comprendre ce qu’est Depi, il faut comprendre toute la complexité de la Software Supply Chain. Notre définition, c’est l’entièreté des processus qui permettent de construire et de déployer des applications dans les systèmes d’information. En gros, quand on utilise des composants préconstruits, on crée une chaîne d’approvisionnement logicielle. Ce faisant, il y a beaucoup de failles de sécurité différentes qui peuvent survenir. Le but de Depi, c’est de montrer de manière proactive tous les points d’entrée qu’un attaquant peut prendre dans la Supply Chain logicielle de nos clients..» indiquait Roni Carta à Silicon en mai dernier.
Penser comme des hackers
Agé de 23 ans, Roni Carta est un profil singulier dans l’écosystème des start-ups cyber. Autodidacte sans diplôme, hacker éthique reconnu à l’international, il a glané plus de 800 000 $ de primes pour avoir dévoilées les pires failles lors d’évènements Bug Bounty.
« Nous pensons comme des hackers parce que nous sommes des hackers. Et honnêtement ? On passe le meilleur moment de notre vie.» s’amuse-t-il.
Il sera la semaine prochaine à la RSA Conference « pour montrer ses muscles, pirater quelques trucs et conclure de gros contrats.» dixit un de ses investisseurs.
Romain Dachy a rejoint Domitys il y a un an, peu après l’acquisition complète du groupe par AG2R La Mondiale, finalisée en février 2025. Fort d’un parcours de près de trente ans dans l’IT, il arrive avec la mission claire de moderniser un système d’information qui n’a pas suivi la croissance de l’entreprise.
Son constat est sans ambages. « On a eu une constellation d’applications installées progressivement sans forcément de vision globale. On a coutume de dire : on n’a pas un système d’information, on a de l’informatique. » décrit-il.
Résultat : des applications qui ne communiquent pas entre elles, des données qui circulent en double ou en triple, des processus métiers encore largement portés par Excel, et des pans entiers d’activités non outillés.
Une situation qui s’explique historiquement. Quand Domitys ne comptait que dix ou quinze résidences, ces pratiques étaient acceptables. Aujourd’hui, avec plus de 200 résidences, 5 000 collaborateurs et une cible fixée à 220 établissements d’ici fin 2027, elles ne le sont plus.
S’y ajoute un autre constat organisationnel : des sous-ensembles d’activités IT étaient portés par des directions métiers, en dehors de la DSI. L’un des objectifs de la transformation est précisément de recentraliser l’ensemble des activités informatiques au sein de la direction des systèmes d’information.
Une feuille de route sur 6 ans et une dizaine de projets
À l’issue d’une étude de schéma directeur menée dès son arrivée, Romain Dachy a obtenu en début d’année la validation du conseil de surveillance pour lancer la transformation. La feuille de route s’étale sur six ans et regroupe une dizaine de projets structurants.
La cybersécurité a été le premier chantier engagé, et pour cause : l’adossement à AG2R La Mondiale impose des exigences fortes, même si Domitys n’est pas soumis aux mêmes contraintes réglementaires que son actionnaire.
En un an, les équipes ont déployé le MFA, sécurisé l’ensemble du parc PC selon les standards du groupe, et mis en place un SOC avec un outil SIEM. Les prochaines étapes porteront sur le MDM et une refonte complète de l’IAM. « C’est un bon exemple de ce que nous apporte AG2R La Mondiale : on n’a pas eu à se poser la question des outils. Si on avait tout fait seuls, on y serait encore. » indique le DSI.
Viennent ensuite, pour 2026, deux chantiers étroitement liés : la transformation data et la refonte du CRM. Sur la data, la priorité n’est pas encore l’intelligence artificielle mais le préalable indispensable : la gouvernance, la qualité de la donnée et la mise en place de référentiels d’entreprise.
CRM, Data…construire une vision à 360 degrés du client
« Dans un premier temps, il faut remettre les données au propre », résume Romain Dachy. Une plateforme data viendra dans un second temps pour ouvrir la voie aux cas d’usage IA. Sur le CRM, l’enjeu dépasse la simple prospection commerciale : il s’agit de construire une vision à 360 degrés du client, couvrant l’ensemble du cycle de vie en résidence.
La feuille de route comprend également la mise en place d’un ERP finance pour consolider comptabilité, facturation et achats aujourd’hui éparpillés sur plusieurs applications mais également d’un SIRH centralisé, et d’un projet ITSM visant à industrialiser les processus internes de la DSI, de la gestion des tickets d’incidents aux méthodes projet.
L’objectif transversal de tous ces chantiers est identique : libérer les collaborateurs en résidence des ressaisies et des tâches manuelles, pour qu’ils consacrent davantage de temps aux résidents. « L’idée, c’est d’avoir un système digital pour le collaborateur, pas forcément pour le client. »
L’opportunité de l’IA
Interrogé sur le calendrier de sa transformation, Romain Dachy formule une réponse inattendue : l’entreprise arrive au bon moment. « C’est l’avantage d’être en retard : on peut rattraper des pans entiers du SI en rebattant les cartes, notamment avec une approche IA. Celui qui peut faire de l’agentique aujourd’hui, c’est aussi celui qui avait anticipé un SI flexible il y a deux ou trois ans. »
La GenAI sera intégrée progressivement dans les nouveaux processus, notamment sur le CRM, sans pour autant être un objectif en soi. Romain Dachy se montre volontairement prudent : « On ne va pas mettre de l’IA partout pour des questions de coût, de ROI. Il faut savoir résister aux sirènes de la mode. » Il cite en exemple le cas de Microsoft Copilot, dont les retours à grande échelle restent décevants selon lui.
Cloud souverain et alignement sur AG2R La Mondiale
Sur le sujet de l’infrastructure, Domitys s’aligne sur les choix technologiques de son actionnaire. Pour la data, le choix s’est porté sur Google Cloud au travers de l’offre S3NS de Thales, qui répond aux exigences de souveraineté portées par AG2R La Mondiale. « L’offre S3NS coche toutes les cases : les capacités Google en matière de data, et l’approche souveraine apportée par Thales. Notre actionnaire nous a imposé cette direction, et ça me va bien, d’autant plus vu les dernières postures des États-Unis. »
Pour le reste du SI, Domitys conserve une approche hybride avec ses propres data centers. La DSI de cinquante personnes réalise elle-même ses projets, en s’appuyant sur les équipes architecture et les contrats cadres d’AG2R La Mondiale, sans en dépendre pour l’exécution.
Le DSI de demain : partenaire, innovateur, recruteur de mindsets
Sur la posture du DSI, Romain Dachy est catégorique : « Un DSI qui n’accompagne pas ses métiers passe à côté de quelque chose. » La transformation qu’il mène est partie des irritants exprimés par les directions métiers, et il entend que ses équipes deviennent leurs partenaires de confiance. « Un DSI moderne doit être aussi data, aussi innovation, pour anticiper les mouvements à opérer sur son système d’information. »
Il observe également que le mouvement s’est fait dans les deux sens : les directions métiers, notamment sous l’effet de l’IA générative, ont aussi développé une culture technologique plus affûtée. « On voit des directions métiers qui prennent la réflexion sur l’automatisation et qui amènent l’informatique dans la boucle. »
Connexion
