Laurent Balmelli, cofondateur de Strong Codes et Strong Network : «Être optimiste est indispensable pour entreprendre»

Laurent Balmelli, diplômé en informatique et docteur de l’EPFL, a cofondé Strong Codes et Strong Network, deux start-up spécialisées en cybersécurité. Désormais directeur des espaces de développement sécurisés chez Citrix, qui a acquis Strong Network en 2024, il livre son point de vue sur les enjeux numériques actuels et les influences qui ont façonné sa vision de l’entrepreneuriat.

La science et la technologie vous passionnaient-elles déjà enfant?

Oui, totalement. J’ai grandi dans les années 80, avec les premiers ordinateurs personnels à la maison. J’essayais de comprendre leur fonctionnement, de les démonter et de les remonter, à une époque où peu d’informations étaient accessibles. J’ai aussi développé une passion pour les États-Unis, qui représentaient un peu l’eldorado technologique. Dès l’école secondaire, j’ai participé à des programmes d’échange pour partir là-bas et m’immerger dans cette culture. Plus tard, un livre me rappelant cette époque m’a beaucoup marqué: Hackers: Heroes of the Computer Revolution de Steven Levy, qui retrace l’histoire de l’informatique. Il m’a donné envie de maintenir ma connaissance technique, même lorsque j’ai pris des rôles managériaux.

Comment se sont passées vos études à l’EPFL?

L’EPFL était un peu le paradis, car je pouvais y faire de l’informatique tous les jours. Mes années d’études m’ont paru extrêmement rapides, si bien que, lorsque j’ai obtenu mon diplôme, je voulais rester dans le domaine académique. J’ai donc décidé de faire un doctorat. J’avais effectué un projet au Laboratoire de traitement des signaux. Son responsable, le professeur Murat Kunt, m’a recommandé à Martin Vetterli, qui venait tout juste d’arriver de Berkeley.

J’ai eu beaucoup de chance car, début 96, pendant mon travail de diplôme, j’ai eu un grave accident de snowboard et j’ai été opéré au cerveau. J’ai failli manquer le message de Martin et l’ai découvert avec plusieurs semaines de retard, à la fin de ma convalescence. J’ai finalement pu effectuer mon doctorat dans son laboratoire, de 1996 à 2000. Ensemble, nous avons travaillé sur un projet en lien avec l’informatique graphique et l’optimisation de modèles 3D, avec une approche mathématique qui était novatrice à l’époque.

Après votre doctorat, vous avez débuté votre carrière chez IBM. Comment s’est passé ce basculement du milieu académique au monde de l’entreprise?

Durant mon doctorat, j’avais eu une première expérience chez Bell Labs, une entreprise chargée d’histoire en lien avec la création du téléphone par Alexander Graham Bell. À la fin de mon doctorat, l’une des chercheuses que j’avais connues chez Bell Labs et qui venait de rejoindre IBM Research m’a contacté. J’avais également une proposition de Hewlett-Packard mais j’étais plus attiré par New York et la côte Est, où se trouvait IBM Research, que par la Silicon Valley.

L’équipe que j’ai rejointe en 2000 était dédiée à l’informatique graphique, en lien direct avec mon doctorat. J’ai notamment pu côtoyer Gabriel Taubin, une référence mondiale dans le domaine. Par la suite, mon rôle a évolué vers des collaborations avec des clients d’IBM, actifs principalement dans l’aérospatial, pour les accompagner notamment dans l’utilisation du design conceptuel pour développer leurs produits. Dans ce cadre, j’ai développé avec des membres de ces entreprises le langage SysML, qui permet la description informatique de ces produits. C’est toujours quelque chose que j’enseigne aujourd’hui à la Keio University de Tokyo, tous les ans en octobre. En 2006, j’ai eu l’opportunité de partir au Japon pour continuer à développer ce modèle avec IBM. Ma femme et moi devions partir pour un an, nous y sommes finalement restés cinq et nos deux enfants sont nés là-bas.

Comment vos séjours aux États-Unis et au Japon ont-ils nourri votre approche entrepreneuriale par la suite?

Pour les États-Unis, c’est avant tout la culture du «Hustle & Bustle», c’est-à-dire l’effervescence, le bouillonnement d’idées. Il existait une véritable dynamique entrepreneuriale que l’on ne retrouvait pas en Suisse à la fin des années 90, où entreprendre était vu comme une démarche encore marginale et un peu exotique. En plus de cela, le Japon m’a apporté la perspective client: c’est une culture profondément centrée sur la satisfaction et l’expérience des utilisateurs et utilisatrices. Je me souviens d’une rencontre avec un fabricant de douches qui effectuait des recherches sur les sensations des personnes au premier jet d’eau. C’est un autre niveau d’attention au détail! C’est quelque chose qui me parle, carla réussite ou l’échec d’un projetse joue souvent à très peu de chose.

Au-delà de ces expériences à l’étranger, mon parcours entre-preneurial a aussi beaucoup été inspiré par mes parents. Tous deux sont devenus entrepreneurs un peu par la force des choses: mon père était au chômage lorsque je suis né, et ma mère était une immigrante qui avait juste fait l’école obligatoire. Ils se sont lancés dans la restauration, jusqu’à racheter, transformer et diriger l’Hôtel Beaulac à Neuchâtel pendant 15 ans. Ce sont des modèles pour moi.

Pourquoi vous être lancé dans la cybersécurité avec Strong Codes à votre retour en Suisse?

Au retour du Japon en 2011, j’avais le choix entre retourner aux États-Unis et quitter IBM. J’ai choisi la deuxième option, car nous voulions rester en Suisse avec nos enfants. Mon épouse et moi avions décidé de quitter nos emplois sur un coup de tête pour nous lancer dans l’entrepreneuriat. Dans ce cadre, j’ai passé quelque temps entre la Suisse et l’Afrique pour développer des projets avec les entreprises de télécommunication locales. Par la suite, je suis devenu consultant pour plusieurs start-up suisses et j’ai fait la connaissance de membres de la HEIG-VD qui avaient un projet entrepreneurial dans la cybersécurité. J’avais déjà un fort intérêt pour ce domaine et nous avons fini par cofonder Strong Codes en 2014. Je dirigeais l’entreprise et m’occupais notamment de la partie vente. J’adorais l’idée de vendre un produit que j’avais moi-même contribué à concevoir. Le secteur était en train de prendre son envol dans les années 2010 ; auparavant, cela se résumait à la cryptographie.

Je pense que, lorsqu’on conçoit des technologies, il faut se poser la question du monde dans lequel nous voulons vivre. Les systèmes mis en place par les algorithmes des réseaux sociaux, en particulier à destination des plus jeunes, sont extrêmement contestables.

Contre quels types de menaces luttiez-vous avec Strong Codes?

La solution que nous avons développée avec Strong Codes était très spécifique: elle visait à rendre le code binaire des applications et des logiciels beaucoup plus difficile à analyser, afin de les protéger contre la rétro-ingénierie, le piratage de code et les modifications non autorisées. Pour beaucoup d’entreprises, par exemple celles du secteur bancaire, c’est un enjeu essentiel, car même s’il y a peu d’informations critiques dans les applications elles-mêmes, celles-ci communiquent avec un serveur en back-end et peuvent donc servir de porte d’entrée aux informations qui y sont stockées.

L’aventure s’est conclue par un beau succès: le rachat de la start-up par Snapchat.

Oui, Snapchat était l’un des clients que nous visions et j’avais développé de solides relations avec leurs équipes. Ils se sont intéressés à notre technologie jusqu’à la racheter en 2016. C’était une réussite assez inattendue pour de jeunes entrepreneurs à la tête d’une entreprise âgée de moins de trois ans.

Portrait inspiré de Salvador Dalí, généré par Gemini sur un prompt de Laurent Balmelli.

Vous avez alors pu voir le monde des réseaux sociaux de l’intérieur. Certains enjeux éthiques vous ont-ils marqué?

Je pense que, lorsqu’on conçoit des technologies, il faut se poser la question du monde dans lequel nous voulons vivre. Les systèmes mis en place par les algorithmes des réseaux sociaux, en particulier à destination des plus jeunes, sont extrêmement contestables. Ils amplifient volontairement les idées extrêmes car favoriser les émotions fortes est une manière reconnue de maximiser l’engagement. Je pense que l’une des priorités pour les entreprises de médias sociaux devrait être d’avoir un philosophe au sein de leur conseil de direction! Plus largement, ma période chez Snapchat a été longue et peu inspirante car l’entreprise n’a aucune vision à long terme — le seul but est la croissance des utilisateurs pour survivre au sein d’un marché très saturé. Après trois ans, j’ai senti qu’il était temps de partir pour une nouvelle expérience.

C’est à ce moment que vous fondez votre deuxième entreprise, Strong Network.

Exactement. Un de mes employés en Suisse souhaitait m’accompagner dans l’aventure et nous nous sommes vus pendant plusieurs mois pour élaborer notre projet. Nous avons envisagé plusieurs technologies et l’une de celles que nous avons évoquées m’a rappelé la solution Virtual Desktop Infrastructure (VDI) de Citrix, que j’utilisais lorsque j’étais chez IBM. Celle-ci permet d’accéder à son bureau Windows depuis n’importe quel appareil via une connexion Internet sécurisée. Nous avons alors voulu développer une solution de cybersécurité dédiée à ce type d’accès mais beaucoup plus performante et dédiée au codage d’applications, car les VDI présentaient à l’époque de nombreuses failles et des problèmes d’expérience utilisateur.

C’est ainsi que Strong Network est né en 2020. La plateforme permet aux développeurs de travailler à distance dans un environnement cloud entièrement sécurisé, une approche qui était inédite à l’époque. Depuis, d’autres acteurs nous ont imités, mais nous avons gardé une longueur d’avance grâce à nos brevets. Strong Network a été racheté par Citrix fin 2024: la boucle était bouclée, car l’idée m’était initialement venue de leur technologie.

On parle beaucoup de «Zero Trust», un concept qui considère que les menaces numériques peuvent venir de l’intérieur même du réseau. Est-ce une approche dans laquelle vous vous inscrivez?

Le «Zero Trust» apporte une couche complémentaire à la solution que nous avons développée. Il consiste à renforcer l’authentification lors des accès, en mettant en place des vérifications plus holistiques qu’un simple nom d’utilisateur et mot de passe. Cela permet également de s’assurer que l’utilisateur n’accède qu’à la partie du réseau dont il a besoin, car auparavant, lorsqu’un utilisateur accédait au VPN de son organisation, il avait généralement une vue de l’ensemble des machines sur le même réseau.

Les solutions de cybersécurité sur lesquelles vous travaillez peuvent-elles réalistiquement être adoptées par des PME ou des start-up? Ou sont-elles réservées aux grandes organisations?

C’est une bonne question et il est difficile d’y répondre sans connaître le cas spécifique de la PME. La première question à se poser est de savoir si un tel niveau de cybersécurité est nécessaire pour la structure. Génère-t-elle des éléments différenciateurs pour son industrie ou de la propriété intellectuelle? Ou bien s’agit-il d’une entreprise de services? La deuxième interrogation est de savoir si la structure génère ou non des données sensibles.

Outre la dimension sécuritaire, notre solution permet également d’accéder au code à distance, donc elle peut être pertinente pour des organisations qui souhaitent employer des développeurs vivant loin de leurs bureaux. Dans l’absolu, notre technologie est donc très adaptée pour les PME qui auraient ces besoins. Mais la limite se situe certainement au niveau des compétences techniques présentes en interne, qui ne sont peut-être pas assez sophistiquées pour adopter une solution comme celle-là.

Là où l’IA est particulièrement performante, c’est dans le contexte d’architectures complexes dans lesquelles les différents environnements numériques ont été pensés individuellement avant d’être reliés par la suite. C’est souvent dans ces frictions entre les environnements que peuvent résider les failles.

Les développements actuels de l’IA constituent-ils une révolution dans le domaine de la cybersécurité ou une simple évolution naturelle?

C’est une vraie révolution et cela va changer toute la dynamique du secteur. L’IA est déjà capable d’identifier des failles de sécurité de manière bien plus puissante que ce qui était possible il y a peu. En revanche, elle est plus performante dans certains domaines que dans d’autres. Là où l’IA est particulièrement performante, c’est dans le contexte d’architectures complexes dans lesquelles les différents environnements numériques ont été pensés individuellement avant d’être reliés par la suite. C’est souvent dans ces frictions entre les environnements que peuvent résider les failles. Mais l’IA est aussi utilisée pour la conception des systèmes de sécurité, donc cela est en fait un jeu du chat et de la souris. Dans le cadre de ma recherche personnelle et de mon cours au Japon, j’utilise l’IA générative lors de la conception de produit. J’aime particulièrement exploiter l’hallucination de l’IA comme une stratégie de pensée latérale dans le développement d’idées, car cela amène des solutions qui sortent du cadre de pensée habituel.

Au-delà du numérique, vous avez aussi développé un intérêt pour la lecture et la philosophie. Qu’est-ce que cela vous apporte?

Lorsque j’étais à l’école, je ne m’intéressais qu’aux ordinateurs. Je trouvais les cours d’histoire ennuyeux, par exemple — j’ai bien changé d’avis! Au fil du temps, je me suis ouvert à d’autres domaines: c’est essentiel dans un monde complexe comme le nôtre. J’aime beaucoup le philosophe Nick Bostrom, même si c’est une lecture complexe. Son livre Deep Utopia sorti cette année m’a beaucoup intéressé. Il se projette dans un monde où il n’y a plus de défi technologique et où on en revient aux questions philosophiques essentielles. Je suis aussi très intéressé par les livres classiques de psychologie comme Thinking, Fast and Slow de Daniel Kahneman, qui traite de la manière dont notre cerveau pense et se trompe.

Que diriez-vous à des jeunes issus de l’EPFL attirés par l’entrepreneuriat?

Fonder une entreprise demande un grand investissement personnel et un important capital émotionnel. Il faut faire face aux enjeux technologiques, mais aussi et surtout aux défis humains et économiques. C’est une partie peu visible de premier abord, et pourtant celle qui demande le plus d’attention. Je pense que ma plus importante contribution a été d’être capable de mener des équipes, de les motiver vers un but commun. Être optimiste est indispensable pour entreprendre, c’est même la première capacité à avoir. Ce n’est pas toujours bien perçu: en tant qu’humains, nous avons une tendance naturelle à associer le pessimisme à la prudence et à la sagesse, alors que l’optimisme peut passer pour de la naïveté et un côté enfantin. Cependant, l’optimisme est primordial et transforme ce métier en vocation. Enfin, le choix des cofondateurs est essentiel: il ne faut s’engager qu’avec des personnes totalement investies dans le projet.

PROFIL

2000
Obtient son doctorat en informatique à l’EPFL, au sein du laboratoire de Martin Vetterli

2000
Débute sa carrière chez IBM Research à New York puis à Tokyo

2014
Cofonde Strong Codes, start-up spécialisée dans la protection logicielle et la cybersécurité, rachetée deux ans plus tard par Snapchat

2020
Crée Strong Network, plateforme de cybersécurité pour environnements de développement cloud sécurisés

2024
Acquisition de Strong Network par Citrix

Photo d'en-tête: EPFL/DR Laurent Balmelli