Stijn Vande Casteele, founding CEO van Sweepatic (©Dann)

Naarmate de wereld digitaliseert, wint cybersecurity aan belang. Maar als bedrijf kan je jouw systeem onmogelijk verdedigen als je niet eens weet waar de toegangspoorten zich bevinden. Een probleem dat de Leuvense scale-up Sweepatic wil oplossen. Zij bepalen de zogenaamde external attack surface van een bedrijf met hun software, waarvoor ze alles bij elkaar al zo’n 4 miljoen euro ophaalden. Oprichter en CEO Stijn Vande Casteele doet uit de doeken wat we nog allemaal mogen verwachten van de Europese marktleider in External Attack Surface Management. Onze commercialisering komt nu pas goed op gang.

Zoals wel vaker het geval is, ontstond ook Sweepatic uit een persoonlijke frustratie van de oprichter. Stijn Vande Casteele werkte namelijk als zelfstandig cybersecurity consultant voordat hij de sprong naar een eigen bedrijf maakte. En daar zag hij wat er precies ontbrak in het cybersecurity landschap. “Ik werkte onder andere voor klanten zoals de NAVO, BNP Paribas Fortis en Proximus”, vertelt hij. “Daar botste ik steeds opnieuw op hetzelfde probleem: grote bedrijven weten niet altijd wat er allemaal met hun netwerk verbonden is.

“De IT assets zoals websites en infrastructuursystemen moeten opgevolgd worden via een intern proces, wat vaak manueel gebeurt. Mensen volgen niet altijd de regels, en noteren niet wat ze creëren. Maar als je niet weet wat je hebt, dan is het erg moeilijk om jezelf te verdedigen.”

Toenemende digitale voetafdruk

Grote bedrijven bezitten vandaag vaak een erg uitgestrekt netwerk, met heel veel verschillende toegangspoorten. Dat nauwgezet opvolgen blijkt echter een probleem. Meestal wordt zoiets via een eenvoudige Excel gedaan, die niet altijd even goed geüpdatet wordt. En dat is een groot probleem, want zulke toegangspoorten geven hackers vrij spel tot het netwerk van het bedrijf, waarschuwt Vande Casteele. “In het Engels noemt men dat vaak situational awareness. Je moet een volledig beeld hebben van je assets die toegankelijk zijn van buitenaf. Want die kunnen ook door cybercriminelen gevonden worden. Je beveiliging is maar zo sterk als je zwakste schakel. Daarom is onze monitoring software zo belangrijk.”

De software van Sweepatic scant automatisch alle publiek toegankelijke IT-onderdelen van een organisatie, de zogenaamde attack surface. Op basis van die informatie kunnen bedrijven zich beter verdedigen. “De digitale voetafdruk van bedrijven groeit”, stelt ook Vande Casteele vast. “Deze wordt aangedreven door de toenemende digitalisering, de groei van de cloud en COVID-19.”

Je kan je systeem onmogelijk terdege verdedigen als je niet eens weet dat het ook van buitenaf toegankelijk is

De wildgroei aan websites, domeinen en andere systemen zorgt ervoor dat bedrijven geen overzicht meer hebben. Dat krijg je vandaag niet meer behapt met een simpele Excel, daar heb je specifieke software voor nodig. Wij detecteren de unknown en unmanaged IT assets”, legt Vande Casteele uit. “Soms leggen wij tot 30% nieuwe IT-onderdelen bloot waarvan bedrijven het bestaan niet afwisten. Je kan je systeem onmogelijk terdege verdedigen als je niet eens weet dat het ook van buitenaf toegankelijk is.”

Investor-friendly

Sweepatic zag het levenslicht in 2016. “Een jaar later brachten we ons minimum viable product uit”, vertelt de founding CEO. “Ons eerste klantencontact was met de KBC-groep. We zijn tijdens dezelfde periode gestart in hun Start It@KBC incubator-programma. Daar hadden we ons eerste bureautje. Via subsidies van VLAIO transformeerden we onze MVP naar de eerste versie van ons platform, die diende vooral om product-feedback te krijgen. VLAIO gaf ons genoeg runway om te overleven tot 2018. Toen was het tijd om na te denken over onze go-to-market.”

Vande Casteele besloot om over de landsgrenzen te kijken, en trok met zijn prille product naar Londen. “Het was belangrijk om onszelf investor-friendly te maken”, stelt hij. “Want om verder te kunnen groeien, moesten we geld tanken.

De voorbereiding verliep via CyLon, een Britse start-up accelerator voor ondernemers die actief zijn in de wereld van cyberscurity. “We zijn het enige bedrijf uit de Benelux dat er tot nu toe in geslaagd is om daar binnen te raken”, zegt Vande Casteele met enige trots. “Via onze pitch op hun demo day kwamen we in contact met een Duits cybersecurity fonds. In 2019 haalden we daar tijdens een Series A-investeringsronde 1 miljoen euro op. Daarmee konden we een team aantrekken en ons product verder optimaliseren. Vanaf dat moment gingen we vol op het gaspedaal staan.”

Zelfs wanneer we schalen, moeten we dingen blijven maken waar behoefte aan is

In 2021 kwam er een twee investeringsronde die resulteerde in 2,8 miljoen euro extra groeikapitaal. Met dat vers geld lanceert Sweepatic nu zijn commerciële roll-out, en kan de Leuvense scale-up een flinke groeispurt trekken. Momenteel bestaat het team uit twintig mensen, een cijfer dat Vande Casteele tegen het einde van dit jaar wil optrekken naar dertig.

Intussen wist het bedrijf ook al enkele mooie klanten aan te trekken, zoals Sibelga, de Nationale Loterij en KBC. “Zelfs wanneer we schalen, moeten we dingen blijven maken waar behoefte aan is”, stelt Vande Casteele. “Dat moeten we te allen tijde streng bewaken met een goede customer feedback, want dat is en blijft ons recept voor verder succes.”

De verdere commerciële uitrol laat Vande Casteele over aan externe partners. Zo verkoopt Sweepatic niet altijd meer rechtstreeks aan bedrijven, maar staan ze vooral in contact met consultants, resellers en integratoren die hun software gebruiken of doorverkopen. “Onze go-to market steunt nu op die partners”, verduidelijkt de CEO. “Via hen willen we ons product in gans Europa aan de man brengen.”

Platgetreden paden verlaten

Opvallend genoeg ging Sweepatic dus vrij snel internationaal. Het Leuvense bedrijf stak al in een vroege fase de grens over, wat maakt dat ook zijn voornaamste investeerders van buiten België komen. Vanwaar die keuze? “We zijn daar vroeg aan begonnen omdat we op zoek zijn naar mensen die cybersecurity begrijpen”, antwoordt Vande Casteele. “We willen het netwerk rond ons bedrijf zo interessant mogelijk te maken. De gesprekken verlopen veel makkelijker als je investeerders en partners heel goed snappen wat cybersecurity is.”

De gesprekken verlopen veel makkelijker als je investeerders en partners heel goed snappen wat cybersecurity is

“Die keuze gaf de brandstof voor onze groei. In België is er veel ondersteuning voor jonge start-ups, maar weinig met een specifieke op cybersecurity. Daarnaast zit het ook in onze genen om buiten onze grenzen te kijken. Door platgetreden paden te verlaten, willen we met eigen ogen zien wat elders allemaal gaande is.”

Bovendien zit er een cultuurelement aan de internationale koers die Sweepatic vaart, klinkt het. “Belgische investeerders zijn nog steeds wat meer risico-avers dan hun collega’s in het buitenland”, zegt Vande Casteele daarover. “Het was voor ons met andere woorden vrij snel duidelijk dat we die investeerders buiten de eigen landsgrenzen moesten zoeken.”

Een vogel voor de kat

De groei van Sweepatic valt ondertussen samen met een sterke boom van de cybersecurity industrie. Geopolitieke spanningen, een toenemende digitalisering en zelfs oorlog aan de grenzen van Europa maken dat bedrijven daar steeds meer in gaan investeren. Een trend die uiteraard ook de oprichter Sweepatic niet is ontgaan.

Cyberincidenten zullen niet plots stoppen”, stelt Vande Casteele. “Dit is een opkomende trend die al jaren gaande is. Criminelen en overheden zijn heel goed uitgerust om via het internet aanvallen uit te voeren. Als bedrijf mag je niet achterblijven. Je wil niet dat je tegenstander meer weet over jouw organisatie dan jijzelf, want in zo’n situatie ben je een vogel voor de kat. Je wil het de aanvaller zo moeilijk mogelijk maken. Dat besef neemt sterk toe, en bedrijven die gespecialiseerd zijn in cybersecurity plukken daar steeds meer de vruchten van.”

Die evolutie doet het bedrijf momenteel sterk groeien, een trend die Sweepatic de komende maanden en jaren wil aanhouden. “Onze commercialisering komt nu pas goed op gang”, klinkt Vande Casteele enthousiast. “We hebben al klanten overal ter wereld, en willen nu echt inzetten op het veroveren van de Europese markt. Ons product mag niet stilstaan. We moeten nauw klantencontact behouden, zodat we hun specifieke noden centraal blijven stellen.”