Het Leuvense cybersecuritybedrijf Guardsquare nam vorige week een onderdeel van zijn Franse, beursgenoteerde concurrent Verimatrix over. Dat moet de opmaat worden voor een ambitieuze acquisitiestrategie. CEO Roel Caers doet de plannen uit de doeken.
Het kwam misschien doordat de zomer net was begonnen, maar het bleef wat onder de radar dat Guardsquare begin juli tekende voor een van de grootste deals van het jaar in de Belgische techwereld. Het Amerikaanse Battery Ventures verkocht zijn aandeel in het bedrijf aan het Noord-Europese private-equityfonds Verdane. Dat is sindsdien de nieuwe meerderheidsaandeelhouder van het Leuvense cybersecuritybedrijf. Het management, met Roel Caers als CEO, heeft een minderheidsaandeel, net als medeoprichter Eric Lafortune en de vroege investeerder Jürgen Ingels.
In 2019 betaalde Battery Ventures 29 miljoen dollar voor het belang van onder meer Eric Lafortune en Heidi Rakels, het ingenieurskoppel dat Guardsquare had opgericht om apps op smartphones te beveiligen. Eric Lafortune ontwikkelde de software, terwijl ex-judoka Heidi Rakels het bedrijf operationeel leidde. Hoeveel Verdane deze zomer heeft betaald voor het belang van Battery Ventures in Guardsquare, is niet officieel bekendgemaakt, maar Roel Caers bevestigt dat 200 à 300 miljoen euro een goed geïnformeerde schatting is.
Dat Caers in 2019 de rol van CEO overnam van Heidi Rakels, had hij mee te danken aan Jürgen Ingels.
Guardsquare was in 2014 een van diens eerste investeringen, nadat hij zijn bedrijf Clear2Pay had verkocht. Hij stelde Caers in 2016 voor aan de oprichters. Die leidde toen als managing director het snelgroeiende IT-bedrijf Unit4, maar zocht een nieuwe uitdaging, nadat het Nederlandse bedrijf van de beurs was gehaald door een Amerikaans investeringsfonds. Hij ging snel overstag toen hij in een gesprek met de oprichters het potentieel ontdekte om van Guardsquare een wereldwijde marktleider te maken in zijn niche van appbeveiliging. Onder de bijna duizend klanten zitten enkele van ’s werelds grootste banken, techbedrijven, kredietkaartspelers en toppers in de gezondheidszorg.
‘We willen geen merkenhuis worden, waar alles naast elkaar blijft staan. We streven naar een echte integratie na een overname’
In maart volgend jaar is Roel Caers een van de keynotespeakers op het techfestival SuperNova in Antwerpen. Hij zal dan tien jaar actief zijn bij de Leuvense techparel, waarvan zeven jaar als CEO. De omzet groeide onder zijn leiding van 6 miljoen tot 30 miljoen euro. Behalve in Leuven zijn er kantoren in Gent, Boston en München. Caers weet nu al dat zijn jaarlijkse eindejaarsvoornemen om wat meer te golfen moeilijk haalbaar zal zijn. “Mijn handicap stijgt eerder dan hij daalt”, lacht hij. De verkoop aan Verdane deze zomer luidde een nieuwe groeifase in.
Nauwelijks een halfjaar na de overname door Verdane kondigde het cybersecuritybedrijf vorige week zijn eerste grote overname aan – in 2020 deed het met het Duitse App-Ray al een kleine overname. Guardsquare verwerft voor 8,5 miljoen dollar de afdeling Extended Threat Defence (XTD) van het Franse beursgenoteerde cybersecuritybedrijf Verimatrix, met inbegrip van een team van 35 mensen. Daardoor gaat Guardsquare voorbij de grens van tweehonderd medewerkers.
Waarom is Verdane als nieuwe investeerder een goede keuze voor de acquisitiestrategie van Guardsquare?
ROEL CAERS. “Met Battery Ventures hebben we zeven jaar lang een mooie parcours gereden – vaak is dat de horizon van een investeerder – maar het begreep dat we opnieuw wilden investeren en op zoek wilden gaan naar een partner die ons kon ondersteunen bij onze volgende groeifase. Verdane is een van de grootste Europese fondsen. We zijn dus van een Amerikaans fonds naar een Europees fonds overgestapt. Meestal is het andersom. Verdane heeft een groot ondersteunend team van vijftig professionals op wie we een beroep kunnen doen. Guardsquare heeft bijvoorbeeld nog geen team voor fusies en overnames. We zullen zo’n team uitbouwen, maar dat we ondertussen voor onze eerste grote overname een beroep konden doen op het team van Verdane, was heel belangrijk voor ons. Afgezien daarvan is er ook een culturele fit. Het zijn heel fijne mensen om mee te werken.”
‘Hackers automatiseren hun aanvallen met AI-tools. Vandaag kunnen twintig hackers evenveel apps aanvallen als tweehonderd hackers vroeger’
Hoe hebt u Guardsquare de afgelopen jaren voorbereid op zo’n overnamestrategie?
CAERS. “Wij werken met ambitieuze vijfjarenplannen. Het vorige dateerde van 2021 en dat hebben we nu uitgevoerd. In het begin waren onze gebruikers nog echte ingenieurs – de knapste koppen van het bedrijf. Dat is gaandeweg veranderd. Vijf jaar geleden besloten we erop te anticiperen dat de gemiddelde appbouwer in het bedrijf geen beveiligingsspecialist meer is en niet meer de kennis van die ingenieurs heeft. We moesten eenvoudiger in gebruik worden. Vijf jaar geleden hebben we toen in het bedrijf de opdracht gegeven software te ontwikkelen waarmee ikzelf – ik ben helemaal geen appontwikkelaar of securityspecialist – in staat moest zijn een eigen app te beveiligen. Het hele proces om apps te beveiligen moest veel automatischer verlopen, terwijl het hoogste niveau van beveiliging natuurlijk behouden moest blijven. Meer dan de helft van ons team verklaarde me voor gek, maar gelukkig waren er ook genoeg believers. Uiteindelijk is het ons gelukt. We hebben die nieuwe oplossing geïmplementeerd in de cloud. We hebben dat platform bovendien zo gebouwd, dat nieuwe componenten die we verkrijgen door overnames eenvoudig kunnen worden toegevoegd. Als we alles zelf willen bouwen, gaat het niet snel genoeg. We willen meer tempo maken.”
Ondertussen zitten de hackers niet stil, met steeds meer aanvallen, die bovendien veel geavanceerder zijn dan vroeger.
CAERS. “Hackers zijn van nature luie mensen. Ze gaan eerst af op laaghangend fruit. Op een bepaald moment is dat er niet meer en kiezen ze voor meer gesofisticeerde aanvallen. In 2020 zagen aanvallers de mobiele apps van organisaties nog over het hoofd, maar we wisten dat dat niet zou blijven duren. We zien nu meer aanvallen dan ooit tevoren, uitgevoerd door professionele organisaties. Een aantal van onze concurrenten is niet groot genoeg om telkens een stap voor te blijven op die aanvallers. We wisten dat daardoor kansen zouden komen om de markt te consolideren. Wij willen marktleider blijven door onze groei te versnellen en meer te kunnen aanbieden. Met deze overname krijgen we er behalve de technologie ook een team van 35 technische profielen op vier locaties en een heel mooie klantenportefeuille bij.”
De geopolitieke spanningen zijn sterk toegenomen. Ziet u dat aan de aanvallen die u te verwerken krijgt?
CAERS. “Ja, het is echt ongelofelijk. We hebben een dashboard waarop we kunnen zien wanneer er iets gebeurt met een app die we beveiligen. Het gaat niet enkel om de hoeveelheid aanvallen, want heel wat van die aanvallen zijn eenvoudig af te weren. Wat verontrustender is, is dat de aanvallers veel gesofisticeerder en georganiseerder te werk gaan. De aanvallen komen ook altijd uit dezelfde vijf landen. Eerder dit jaar sprak ik op een event van Agoria met een Amerikaanse specialist in defensie en cyberbeveiliging, die tot voor kort voor de Amerikaanse overheid had gewerkt. Ik polste voorzichtig of ze kon zien of de aanvallen vooral uit Rusland kwamen, maar ze onderbrak mij meteen. ‘Jullie Europeanen beginnen altijd over Rusland’, zei ze, ‘maar als Rusland op het gebied van cyberaanvallen een orkaan is, dan is China de klimaatverandering.’ Hackers automatiseren hun aanvallen ook met AI-tools. Vandaag kunnen twintig hackers evenveel apps aanvallen en uit elkaar halen als tweehonderd hackers vroeger.”
Uw smartphone zal wel goed beveiligd zijn. Maar waar zitten de zwakke plekken in de mijne bijvoorbeeld?
CAERS. “Heel wat mensen knoeien met hun toestel om toch bepaalde apps te kunnen installeren. Net zoals mensen vroeger cd’s kopieerden, heb je vandaag mensen die apps kopiëren, zodat ze er niet voor hoeven te betalen. Iedereen kent ook de bekende phishingaanvallen met e-mails. Ondertussen doen hackers dat ook met apps. Je denkt dat je de correcte versie van een app hebt gedownload, maar eigenlijk heb je een kopie geïnstalleerd. Als dat gebeurt, kan er veel mislopen. Mijn advies is dus: knoei niet met je toestel, voer updates op je toestel altijd onmiddellijk uit, download geen apps vanuit een e-mail, maar vanuit officiële appstores. Wat je bezorgdheid over privacy betreft: als je echt op je privacy bent gesteld, blijf dan weg van apps als Facebook, Instagram en TikTok. Het is nooit een geheim geweest dat die apps van alles doen met je data.”
‘Knoei niet met je toestel, voer updates altijd onmiddellijk uit, download geen apps vanuit een mail maar vanuit officiële appstores’
Gaat u uit van één of twee overnames per jaar. Of vertrekt u van de kansen die zich aandienen?
CAERS. “We gaan zelf op jacht. Eigenlijk willen we geen enkele overname op onze markt missen. Dat wil niet zeggen dat we al die bedrijven zullen overnemen, maar er mag geen deal gebeuren waarvan we niet op de hoogte zijn. Volgend jaar willen we nog twee overnames doen, en als het kan in 2027 ook nog eens twee. We willen die acquisities de eerste drie jaar doen, en daarna twee jaar de tijd nemen om ervoor te zorgen dat alles goed samenkomt. We willen geen merkenhuis worden, waar alles naast elkaar blijft staan. We streven naar een echte integratie na een overname, waarbij alle producten worden samengebracht in één platform en ook de teams tot één geheel integreren.”
Wat betekent dat voor uw omzetdoelstellingen?
CAERS. “We hebben nu zonder de overname ruim meer dan 30 miljoen euro jaarlijkse recurrente inkomsten, de eerste stap is om naar 40 miljoen te gaan. Dat moeten we volgend jaar bereiken. Daarna willen we doorgroeien naar 100 miljoen, een combinatie van vooral organische groei, aangevuld door acquisities. Een derde van de omzet komt uit Europa, een derde uit de Verenigde Staten en een derde uit Azië. We zitten in de cybersecurity, dus we hoeven niet elke dag media-aandacht te hebben, maar intern zijn we wel heel trots op wat we aan het doen zijn.
“Hoeveel Belgische softwarebedrijven zouden überhaupt 30 miljoen recurrente inkomsten per jaar halen? Iedereen kent de verhalen van de bedrijven die daar ver voorbij groeien (unicorns of jonge techbedrijven die meer dan 1 miljard dollar waard zijn, nvdr). Maar wij zitten in een nichemarkt, niet in een volumemarkt. Een unicorn worden is voor ons nog niet realistisch, maar daar staat tegenover dat wij een heel gezond en rendabel bedrijf zijn. Ik denk dat we wel mogen zeggen dat wij een van de vele mooie successen zijn in België.”
