PRIM’X : le chiffrement des données en toute confiance
Pourquoi et comment vos clients et plus largement les grands groupes, en sont arrivés à utiliser massivement des produits de chiffrement ?
Jusqu’au début des années 2000, le chiffrement était encore considéré en France comme une arme de guerre. Son usage était confiné à des entreprises ou des services d’État très sensibles et les technologies pouvaient être assez contraignantes à l’usage, à la fois pour les utilisateurs, pour les services IT et les services en charge de la sécurité. Les déploiements étaient donc réservés à des usages ponctuels ou très localisés.
Depuis lors, son usage s’est libéralisé et en l’espace d’une dizaine d’années, nous avons assisté à une explosion de l’utilisation du chiffrement autant au sein des entreprises que des administrations. Il est vrai qu’aujourd’hui les outils de chiffrement sont arrivés à un tel niveau de maturité que les entreprises n’ont plus peur d’utiliser massivement cette technologie pour protéger leurs données.
Les projets ont changé de nature puisque nous assistons désormais à des déploiements qui concernent toutes les données d’un service voire même d’une entreprise et que ces données sont chiffrées pour être protégées partout et tout le temps.
Pourquoi ce déploiement s’est-il exercé doucement ?
Le chiffrement, ce n’est pas compliqué ! Créer un algorithme pour chiffrer un fichier est à la portée de beaucoup d’ingénieurs, en revanche le rendre opérationnel dans un environnement d’entreprise est beaucoup plus ardu…
Et puis la technologie a dû convaincre les sceptiques qui craignaient de mettre en péril leurs données en les chiffrant. C’est un réflexe naturel que de craindre de ne pas pouvoir récupérer ses informations si elles sont rendues illisibles. Et c’est vrai que cette perception est aussi accentuée par la prolifération des attaques par ransomware (rançongiciel) qui chiffrent les données dans le but de rançonner leur propriétaire.
Nous sommes loin de tout cela maintenant et les clients font désormais la part des choses, mais il a fallu acquérir ce premier niveau de confiance en la technologie.
Des évènements mondiaux comme l’affaire Snowden ont-ils participé au renforcement de la confiance dans le chiffrement ?
En effet, cette affaire a eu un retentissement mondial. Cependant, à l’image d’autres affaires de fuites d’information comme les Panama Papers ou autres OffshoreLeaks, l’affaire Snowden a plutôt mis en exergue l’absence du chiffrement sur les données sensibles.
Ces affaires ont eu le mérite de démocratiser les principes du chiffrement. Il n’est plus aujourd’hui un grand patron d’entreprise qui ne connaisse cette technologie, qui ne sache pas que ces produits permettent de protéger l’information et d’en assurer la confidentialité.
Les Responsables de la sécurité des systèmes d’information n’ont presque plus de pédagogie à faire sur le chiffrement. Ils ont plus de liberté pour lancer ce type de projet.
Comment faire en sorte que les clients aient eux aussi confiance en vos produits ?
C’est le deuxième niveau de confiance : parvenir à faire reconnaitre ses produits par le marché.
Nicolas Bachelier, Directeur Commercial
et Serge Binet, Président-Directeur Général
Dans un secteur qui reste une niche, notre approche a été dès le départ de mettre en avant l’expertise technologique de nos équipes et leur capacité à adapter nos logiciels aux problématiques opérationnelles des clients. Et puis les clients ont commencé à nous faire confiance pour finalement mettre en œuvre nos solutions sur des parcs de plus en plus étendus.
Désormais, nous adressons les projets par le haut, en préconisant une approche globale de la protection de l’information, en expliquant que les données peuvent être protégées partout et tout le temps.
Nous mettons aussi en avant nos produits d’infrastructure, comme ZoneCentral, qui permettent de cloisonner l’information non seulement en interne, entre utilisateurs, entre services ou vis-à- vis de l’IT, mais aussi à l’extérieur du périmètre de l’entreprise, chez un fournisseur de services dans le Cloud par exemple.
Nous avons aussi travaillé pour que nos produits obtiennent le Label France CyberSecurity. Nous avons obtenu ce label pour nos quatre logiciels principaux, et ce dès le lancement du Label en janvier 2015. C’est un label de reconnaissance délivré par un collège composé de clients, d’industriels et de représentants de l’État qui a contribué à asseoir notre notoriété sur le marché Français.
Existe-il aussi des niveaux de confiance supérieurs ?
Oui, il en existe deux particulièrement importants dans notre domaine, ils sont délivrés en France par l’ANSSI, l’Agence Nationale de la Sécurité de Systèmes d’Information.
DÉBUT 2016, NOUS AVONS VENDU À L’ÉTAT FRANÇAIS DES LICENCES DE NOS PRODUITS ZED!, ZONECENTRAL ET CRYHOD POUR ÉQUIPER LA TOTALITÉ DES MINISTÈRES, DES ADMINISTRATIONS CENTRALES ET DES SERVICES DÉCONCENTRÉS, CE QUI REPRÉSENTE PRÈS D’UN MILLION DE POSTES DE TRAVAIL.
Il s’agit tout d’abord de la certification aux Critères Communs qui est une garantie de robustesse dans les produits. Ils sont audités en profondeur par un organisme indépendant. C’est au terme d’un processus long, dur et très couteux que l’on peut espérer l’obtenir.
Nous l’avons suivi et à de multiples reprises puisque nos principaux produits, ZoneCentral, Zed!, Cryhod et ZonePoint ont tous été certifiés et pour certains plusieurs fois. Cette certification apporte une confiance qui s’exporte : elle est reconnue au niveau international, ce qui permet à Prim’X d’approcher beaucoup plus facilement les marchés à l’export et plus particulièrement les pays éloignés comme la Malaisie ou le Chili où l’appétence est forte, mais le besoin de reconnaissance aussi.
Qu’en est-il du second haut niveau de confiance délivré par l’ANSSI ?
C’est la confiance d’ordre régalien qui va assurer à un État, à ses grands acteurs économiques et à ses opérateurs d’infrastructures critiques que les produits sont « propres » ; langage diplomatique pour dire qu’ils sont exempts de toute « backdoor » ou faille intentionnelle et qu’ils protègent bien contre l’espionnage économique ou d’État.
C’est une garantie de confiance indispensable qui est donc elle aussi délivrée par l’ANSSI et que Prim’X a été chercher pour chacun de ses produits. Mais cette confiance-là ne s’exporte pas ! C’est à nous d’aller la chercher dans chaque pays, auprès de chaque État, là où c’est nécessaire et là où nous voulons travailler avec les grands acteurs nationaux ; c’est, pour eux, une question d’indépendance et de souveraineté numérique. Alors nous le faisons.
EN BREF
Société lyonnaise fondée en 2003 par des experts de la cryptographie ;
30 personnes dont 80 % au développement ;
5 logiciels de confiance :
-
Certifications CC EAL3+
-
Qualifications ANSSI
-
Agréés pour la protection d’informations classifiées :
– Diffusion Restreinte OTAN
– Restreint UE
– EUROCOR Diffusion Restreinte.
Quel est le marché dont vous êtes le plus fier ?
Début 2016, nous avons vendu à l’État français des licences de nos produits Zed!, ZoneCentral et Cryhod pour équiper la totalité des Ministères, des Administrations Centrales et des Services Déconcentrés, ce qui représente près d’un million de postes de travail.
Nous réalisions jusqu’alors la majorité de notre chiffre d’affaires dans le secteur privé et cette référence rééquilibre notre portefeuille de clients. Mais surtout, elle nous donne une visibilité énorme sur le marché.
C’est la première fois qu’un État s’engage sur pareille voie et je peux vous assurer que cela interpelle fortement nos interlocuteurs hors de nos frontières ; cela nous ouvre des portes que nous n’aurions pas osé pousser et nous projette à l’export avec de grandes ambitions.
La confiance de nos clients nous donne des ailes.
