Le marché des logiciels espions commerciaux pèse aujourd’hui 12 milliards de dollars. Derrière les noms des sociétés qui ont fait la une des journaux ces dernières années, se cache un écosystème financier complexe où se croisent fonds de capital-risque, géants de la défense et holdings opaques. Cet épisode explore le financement de ce marché si particulier et les stratégies employées par les investisseurs pour échapper aux sanctions qui pèsent parfois au-dessus de leurs têtes. 

Des failles et des fonds : qui investit dans le marché des logiciels espions ?

Si pendant des décennies, la conception des logiciels espions est resté l’apanage de certains États, cette branche de la cybersurveillance s’est transformée en une industrie juteuse pour le secteur privé, avec l’apparition d’entreprises spécialisées qui ont défrayé la chronique comme NSO Group ou Candiru. Selon le dernier rapport d’Atlantic Council, Mythical beasts and where to find them, le marché mondial de la vente de logiciels espions s’élèverait à 12 milliards de dollars. 

Loin de l’image de l’organisation clandestine, les entreprises leaders du secteur sont aujourd’hui des entités structurées, dont la croissance est dictée par des logiques de rentabilité financière et de consolidation de marché. Devant le besoin d’outils pour lutter contre le terrorisme ou le crime organisé, le secteur semble rentable sur le long terme et attire les investissements massifs. Sur le podium des plus gros investisseurs, on retrouve les sociétés américaines à la première place (31 investisseurs identifiés), suivies par les sociétés israéliennes (26 investisseurs) et les les italiennes (13 investisseurs). 

Si les entreprises qui commercialisent les logiciels espions occupent régulièrement le devant de la scène, ce n’est pas le cas de ceux qui investissent dans leur activité et leur permettent d’exister. Il est temps de mettre la lumière sur cet écosystème obscur et sur les stratégies des différents acteurs qui le composent. 

Pourquoi investir dans les logiciels espions commerciaux ? 

On ne peut pas comprendre l’investisseur sans lire entre les lignes de ses intentions. Ses motivations répondent en réalité à une combinaison de motifs stratégiques, financiers et géopolitiques. 

Tout d’abord, le marché de la surveillance est perçu comme extrêmement lucratif, avec des marges élevées et une croissance résiliente. La tentative d’entrée en bourse de NSO Group, entre 2017 et 2019 en témoigne (celle-ci a été finalement abandonnée suite au scandale Pegasus, qui a entaché sa réputation et remis en cause le projet). De plus, comme beaucoup d’éditeurs de logiciels, ces entreprises reposent un modèle économique “capital light” : ces sociétés ont peu d’actifs physiques lourds, mais génèrent un flux de trésorerie régulier grâce à des contrats gouvernementaux souvent pluriannuels. 

Ensuite, l’investissement est alimenté par la certitude que les gouvernements resteront des clients fidèles, car de nombreux États considèrent les logiciels espions comme essentiels pour leur sécurité (notamment dans la lutte contre les organisations criminelles et terroristes). Et cela se traduit dans les chiffres : au moins 80 pays ont acheté des logiciels espions auprès de fournisseurs commerciaux en 2022, selon un rapport du GCHQ (les services de renseignement britanniques). Pour beaucoup d’entre eux, l’achat d’une solution “clé en main” est beaucoup moins coûteux et beaucoup plus accessible que le développement d’une capacité cyberoffensive interne. 

Parfois, les investissements servent des intérêts qui surpassent l’aspect financier. On peut citer en exemple le cas israélien : parfois, l’investissement dans des entreprises de cybersurveillance est lié à des accords stratégiques entre pays pour le partage des technologies sensibles, avec une véritable dimension diplomatique. Souvenez-vous également du 5e épisode de notre série à propos du paradoxe américain : les États-Unis sont devenus le premier investisseur mondial (en nombre de transactions) en 2024, illustrant sans doute une volonté de contrôler les acteurs clé de ce marché malgré des restrictions gouvernementales.

 

Quelles structures investissent dans le marché des logiciels espions ?

Selon les rapports du SIPRI et d’Atlantic Council, le marché des logiciels espions est soutenu par une base d’investisseurs de plus en plus diversifiée.

Les sociétés de capital-risque (venture capital) et de capital-investissement (private equity) font partie des acteurs les plus dynamiques de cet écosystème et concentrent une grande partie des investisseurs américains et britanniques. Elles sont particulièrement attirées par la rentabilité du secteur des logiciels espions commerciaux, qu’elles considèrent équivalentes aux logiciels traditionnels, mais avec des barrières à l’entrée plus fortes. Des sociétés comme Novalpina Capital ou Berkeley Research Group ont joué le rôle de “fonds de consolidation” et ont notamment permis à des entreprises incontournables du secteur de se structurer financièrement, comme NSO Group. Grâce à ce type de financement, le logiciel espion s’est définitivement imposé comme une verticale stratégique au sein du vaste marché de la cybersécurité.  

Malgré la controverse causée par ces outils, des investisseurs institutionnels et des fonds publics ont contribué au fonctionnement de ce marché mondial. Par exemple, le fonds de pension du gouvernement norvégien (GPFG) participait au financement de Cognyte, avant que des comités d’éthique ne préconisent le désinvestissement en 2022 en raison du risque de complicité dans l’abus de droits humains. Fin 2021, le fonds possédait environ 0,87 % des actions de la société (soit environ 7,5 millions d’euros). Des fonds européens et des aides régionales ont contribué, par ailleurs, au financement de certaines entreprises productrices de spyware, comme le mentionne explicitement le rapport d’enquête de la Commission PEGA. 

Sous couvert de « cybersécurité » ou de « développement numérique », certaines entreprises ont capté des subventions destinées au développement de l’innovation. En octobre 2025, le média d’investigation Follow the Money a publié une enquête sur le financement des entreprises de logiciels espions commerciaux par des aides européennes, ce qui concerne principalement Verint Systems, Cognyte, le Consortium Intellexa et Cy4gate. Cette dernière aurait d’ailleurs reçu 3,8 millions d’euros d’aides européennes, incluant des subventions du Fond Européen de Défense. En France, Nexa Technologies (anciennement Amesys, dont les dirigeants ont été condamnés pour complicité d’actes de torture en Lybie) a, selon le média La Lettre, bénéficié d’un Crédit Impôt Recherche (CIR) d’un montant de 333 000 € entre 2014 et 2015. Nexa Technologies fait partie du consortium Intellexa et, tout en produisant des systèmes d’interception à destination des agences gouvernementales, elle est aussi connue pour distribuer le logiciel espion Predator à des gouvernements autoritaires (notamment Madagascar). 

Il peut arriver également que les investisseurs soient des entreprises du secteur de la défense ou de la surveillance, qui cherche à développer leur offre et à proposer des solutions plus complètes à leurs clients. Cela peut aller jusqu’au rachat de l’entreprise de logiciels espions. On peut citer comme exemple la tentative de rachat de NSO Group par le géant américain L3 Harris Technologies en 2022, dont les discussions n’ont pas abouti. 

Intermédiaires, montages financiers et petites magouilles

Le marché des logiciels espions est beaucoup plus risqué que celui des logiciels traditionnels : les sanctions et les restrictions concernant ces outils sont de véritables barrières. Pour les contourner et permettre aux acteurs précédemment énoncés de continuer à investir, des intermédiaires ont émergé. Leur rôle est important et participe à l’opacification du marché. 

Dans l’épisode 0 de notre série, nous avions évoqué le cas du marché des failles 0-day, qui constituent à la fois la matière première des logiciels espions et un véritable marché parallèle à celui de la cybersurveillance. Sur ce marché peu régulé où l’opacité prévaut, le rôle des intermédiaires est incontournable pour protéger l’anonymat des acheteurs, qui n’hésitent pas à effectuer les transactions en bitcoin pour laisser le moins de trace possible. C’est dans ce contexte que le rôle des brokers et des revendeurs de failles a émergé. Des entreprises comme la célèbre Zerodium et la moins connue Zeronomicon ont développé une activité de revente particulièrement lucrative, puisque le prix d’une faille peut s’élever à plusieurs millions d’euros en fonction de sa popularité. Elles ont donc un véritable impact sur la valeur de ces failles.

En dehors de ce cas précis, l’opacité sur le marché des logiciels espions est assurée par la présence de holdings. Le rapport d’Atlantic Council montre leur prépondérance et leur rôle structurel. Elles ont plusieurs avantages : elles permettent de fragmenter la propriété d’une entreprise de logiciels espions à travers plusieurs couches de sociétés écrans, de domicilier le siège social et la propriété intellectuelle dans des pays où les contrôles à l’exportation d’armes numériques sont faibles ou inexistants… Et cerise sur le gâteau, elles peuvent aussi faciliter la disparition puis la réapparition rapide de l’entreprise en cas de sanction ou de bad buzz.

Grâce à ces holdings, le financement de certaines entreprises reposent sur des montages financiers complexes, qui permettent de diluer la responsabilité des investisseurs en cas de sanction. Et comme illustration, on ne peut pas ne pas citer le cas du Consortium Intellexa, dont la structure a été passée à la loupe dans un article de Der Spiegel. Créé par l’investisseur Tal Dilian en 2019, il s’agit d’une alliance d’entreprises de cybersurveillance (notamment WiSpear, Nexa Technologies et Cytrox) qui regroupent leurs technologies respectives pour vendre aux gouvernements des solutions d’espionnage « clé en main », incluant notamment le puissant logiciel Predator. Le but de ce groupement ? Créer un cluster européen pour contourner la législation européenne, tout en rassurant certains clients par le “Made in UE” et en facilitant les transactions dans l’espace Schengen. En imbriquant des sociétés mères en Irlande, comme Thalestris, avec des holdings opaques aux Îles Vierges britanniques et des filiales opérationnelles en Grèce ou en France, les fondateurs ont réussi à créer un écran de fumée presque impénétrable. Ce labyrinthe de sociétés permet non seulement de masquer l’identité des investisseurs réels comme Tal Dilian ou Stéphane Salies (fondateur de Nexa), mais aussi de faire circuler les licences d’exportation d’un pays à l’autre pour contourner les contrôles de sécurité. Cela a notamment permis de fournir certains pays autoritaires (Égypte, Libye et bien d’autres encore) avec du matériel d’intrusion de pointe. 

Des stratégies d’investissement plurielles pour un marché singulier

La stratégie mise en place par Intellexa avec ce montage financier s’appelle le “saut de juridiction” ou “juridiction hopping” (structuration des filiales à travers plusieurs frontières pour exploiter les faiblesses des contrôles nationaux, notamment grâce à des sociétés écran basées dans des paradis fiscaux). Le rapport d’Atlantic Council souligne qu’il s’agit d’une pratique très fréquente, mais elle est loin d’être la seule stratégie d’investissement que l’on rencontre sur le marché des logiciels espions. 

Malgré les restrictions gouvernementales, les investisseurs américains sont devenus des acteurs dominants, avec une stratégie bien à eux (présentée dans l’épisode 5 de notre série) : le rachat pour réhabilitation”. Le but est d’investir dans une entreprise considérée comme “grillée” afin qu’elle change de main et qu’elle puisse redevenir “fréquentable”. C’est le cas pour la célèbre entreprise israélienne NSO Group, qui est aujourd’hui composée de figures américaines à des postes clés de son administration (David Friedman, proche de Donald Trump, en est le président exécutif). Bien sûr, les investissements ne se font pas au hasard et les investisseurs choisissent des produits qui pourraient intéresser les services gouvernementaux en cas de levée des sanctions.

Les stratégies adoptées ne sont pas les mêmes selon la nationalité de l’investisseur, comme l’analyse le rapport d’Atlantic Council. Alors que les investisseurs basés aux États-Unis et au Royaume-Uni adoptent une approche globalisée en exportant massivement leurs capitaux vers des entreprises étrangères, les acteurs italiens et israéliens privilégient un ancrage local fort. L’étude de l’Atlantic Council met en lumière une disparité frappante dans les stratégies géographiques des flux de capitaux finançant le marché de la surveillance. Ce phénomène de réinvestissement domestique aboutit à la formation de véritables clusters nationaux. 

Ces clusters sont renforcés par une forte culture de “l’entreprenariat en série” : un petit cercle d’individus qui réinvestissent systématiquement leurs talents et leurs capitaux dans de nouvelles structures. Par exemple, Quadream et Interionet ont été créés par d’anciens employés de NSO Group, qui ont décidé de fonder leurs propres startups grâce à leur expertise technique et à leur réseau de clients. Lorsqu’une entreprise est placée sur liste noire ou liquidée, les investisseurs et fondateurs recréent souvent une entité sous un nouveau nom pour continuer leurs activités (comme Hacking Team en Italie, qui devient Memento Labs quelques années après un scandale médiatique). Cela crée un véritable “jeu de la taupe” (“whac-a-mole”) où les mêmes acteurs réapparaissent continuellement sur le marché, sans être réellement affectés par les sanctions (quand il y en a) ou les attaques réputationnelles.

Restez informés en temps réel
S'inscrire à
la newsletter
En fournissant votre email vous acceptez de recevoir la newsletter de Incyber et vous avez pris connaissance de notre politique de confidentialité. Vous pourrez vous désinscrire à tout moment en cliquant sur le lien de désabonnement présent dans tous nos emails.
Restez informés en temps réel
S'inscrire à
la newsletter
En fournissant votre email vous acceptez de recevoir la newsletter de Incyber et vous avez pris connaissance de notre politique de confidentialité. Vous pourrez vous désinscrire à tout moment en cliquant sur le lien de désabonnement présent dans tous nos emails.