la société DIFENSO Spécialiste de la protection des données

Rebâtir la sécurité autrement

Dossier : CybersécuritéMagazine N°773 Mars 2022
Par René-Claude DAHAN
Par Éric STÉFANELLO (81)

Spé­cia­liste de la pro­tec­tion des don­nées, la socié­té DIFENSO a levé 2 mil­lions d’euros en 2017 pour la com­mer­cia­li­sa­tion de ses solu­tions. Son pré­sident, Éric Sté­fa­nel­lo (81), et son CEO, René-Claude Dahan, ont ensemble une expé­rience de longue date dans la défense et la cyber­sé­cu­ri­té, au plus haut niveau.

Comment analysez-vous la situation en cybersécurité actuellement ?

Éric Sté­fa­nel­lo : Je suis ingé­nieur mili­taire et j’ai tiré de mon expé­rience dans les années 90 dans l’industrie d’armement deux conclu­sions : d’abord, lorsqu’on se donne les moyens de faire de la sécu­ri­té infor­ma­tique, on peut être effi­cace. Ensuite, si on veut être sérieux, il faut mélan­ger hard­ware et soft­ware. Ces conclu­sions sont tou­jours valables aujourd’hui. L’informatique civile s’est déve­lop­pée sans se sou­cier de la sécu­ri­té. Par consé­quent, dans un monde où les attaques sont deve­nues mul­tiples, les sys­tèmes sont extrê­me­ment per­méables aux attaques car la sécu­ri­té n’a pas été prise en compte au départ. Et par contre­coup tout le monde est en dan­ger. Posons les ques­tions essen­tielles. Est-ce qu’on s’y prend cor­rec­te­ment en cyber­sé­cu­ri­té ? Non. Le para­digme his­to­rique de la cyber­sé­cu­ri­té depuis vingt ans, c’est de faire de la défense péri­mé­trique : on veut défendre tout le sys­tème infor­ma­tique, et l’on voit bien que ça ne marche pas, pas plus que dans le monde phy­sique on ne peut pro­té­ger un vaste ter­ri­toire avec des sen­ti­nelles trop espa­cées. Or, en infor­ma­tique c’est un peu cela qu’on fait.

René-Claude Dahan : Mal­gré la défer­lante du numé­rique et l’explosion de la cyber­cri­mi­na­li­té, on ne peut que consta­ter l’absence de prise de conscience des enjeux de sécu­ri­té de la part des orga­ni­sa­tions : on pense davan­tage au côté fonc­tion­nel, à la faci­li­té d’utilisation. En second lieu, quelle que soit la taille des orga­ni­sa­tions, des PME aux grands groupes, il y a un délai trop long entre l’attaque et la réac­tion. Ces défauts pro­cèdent d’un même pro­blème : le manque d’une enti­té glo­bale forte. Il n’y a pas de vision glo­bale stra­té­gique. L’ANSSI a le mérite d’exister, mais elle est un peu faible pour les petites struc­tures, les ETI, et elle est sou­vent en conflit avec les grands groupes sur les ques­tions de cer­ti­fi­ca­tion. À ce niveau, on conti­nue d’ailleurs à inté­grer des solu­tions à 99 % amé­ri­caines et pour les­quelles il n’y a pas de contraintes juri­diques fortes. De manière géné­rale, on ne régle­ra aucun pro­blème véri­ta­ble­ment si l’on n’est pas capable d’anticiper les attaques, de gar­der un temps d’avance. En cyber­sé­cu­ri­té comme en navi­ga­tion aérienne, lorsqu’on réagit aux pro­blèmes, c’est sou­vent déjà trop tard.

Qu’est-ce que vous préconisez à partir de ce constat ?

E.S. : Dans le monde phy­sique, depuis le néo­li­thique, on s’est ren­du compte qu’il fal­lait concen­trer les défenses sur tout ce qui a de la valeur. Ce n’est pas ce que l’on a fait en infor­ma­tique : les appli­ca­tions, les don­nées, tout est lar­ge­ment mélan­gé. Dans notre pro­jet, nous pro­po­sons de rebâ­tir la cyber­sé­cu­ri­té autre­ment. Il faut d’abord avoir un sys­tème d’authentification forte, pour bien contrô­ler qui accède au sys­tème. Et à côté, il faut avoir un sys­tème de pro­tec­tion des don­nées invio­lable et per­ma­nent. Les don­nées doivent être pro­té­gées par défaut et en per­ma­nence. Il faut donc rebâ­tir la cyber­sé­cu­ri­té sur ces deux piliers que sont l’identification forte d’un côté, et la pro­tec­tion forte, abso­lue, per­ma­nente, des don­nées. Notre métier recouvre le second aspect.

R.C.D. : On ne pour­ra pas arrê­ter le mou­ve­ment cen­tri­fuge des sys­tèmes d’informations et des don­nées. Dans quelques années, on peut parier que les banques auront tota­le­ment exter­na­li­sé leur core ban­king dans des usines. Il faut donc que les hommes poli­tiques réflé­chissent à des solu­tions qui n’excluent pas les GAFA, tout en met­tant des moyens qui per­mettent de garan­tir une étan­chéi­té totale des don­nées. Nous pou­vons le faire loca­le­ment : DIFENSO et d’autres pro­duisent des solu­tions faciles à mettre en œuvre, res­pec­tant l’expérience uti­li­sa­teur et garan­tis­sant un niveau de sécu­ri­té extrê­me­ment haut. Pour­quoi ne pas les préconiser ?

Pour vous, les enjeux de cybersécurité sont liés à des questions de structure ?

E. S. : Nous sou­te­nons l’idée qu’il faut refondre petit à petit les sys­tèmes d’informations, sur un mode qui dif­fé­ren­cie bien les infra­struc­tures, les appli­ca­tions, les don­nées, les réseaux, ce qui n’est pas encore le cas aujourd’hui.

Pour illus­trer cette refonte, pre­nons un exemple : le RGPD a été fait à Bruxelles sans impli­quer de tech­ni­ciens. C’est une belle idée poli­tique, mais que s’est-il pas­sé ? Dans la pra­tique, rien n’a chan­gé pour la plu­part des entre­prises à part les bou­tons de consen­te­ment sur les­quels vous devez cli­quer. Pro­té­ger les entre­prises néces­si­te­ra de refondre les sys­tèmes d’informations des entre­prises. Nous sommes au tout début de l’ère de la pro­tec­tion des don­nées. Nous n’avons pas le choix : la seule façon de recons­truire cette sécu­ri­té infor­ma­tique mal conçue au départ, c’est de dis­po­ser d’une iden­ti­fi­ca­tion forte d’un côté, et de pro­té­ger les don­nées de l’autre. C’est d’ailleurs ce que font les mili­taires depuis tou­jours, en ver­rouillant celui qui a accès à l’information et en ver­rouillant l’information elle-même.

“En cybersécurité comme en navigation aérienne, lorsqu’on réagit aux problèmes, c’est souvent déjà trop tard.”

R.C.D. : Il fau­drait construire un sys­tème dyna­mique, beau­coup plus prag­ma­tique, dont les ingé­nieurs soient à l’état de l’art, et qui soit beau­coup plus sen­si­bi­li­sa­teur à l’échelle de l’industrie euro­péenne. Cet orga­nisme n’existe pas, ou pas encore. L’ANSSI est utile en France, mais sur­tout à l’échelle des OIV (Orga­nismes d’importance vitale). Pour faire une cer­ti­fi­ca­tion aujourd’hui sur un pro­duit de sécu­ri­té, il faut entre dix-huit mois et deux ans. Est-ce que les menaces n’auront pas évo­lué entre­temps ? La défense et la sécu­ri­té reposent à 90 % sur l’agilité. Retrou­vons de l’agilité, et fai­sons de la sen­si­bi­li­sa­tion. Le pro­blème n’est pas essen­tiel­le­ment tech­nique, il tient plu­tôt à un état d’esprit : ces­sons de faire de la défense réac­tive et pas­sive. N’oublions pas que la cyber­sé­cu­ri­té, c’est 20 % de tech­nique. Le reste relève de l’organisationnel et de l’humain.

Aujourd’hui, quelle est votre spécificité dans le marché de la cybersécurité ?

E.S. : En 2015 nous étions les seuls à avoir cette démarche. Aujourd’hui, Google, Ama­zon et Micro­soft adoptent une stra­té­gie simi­laire au sein de leur cloud. Le prin­ci­pal pro­blème, c’est que ces solu­tions enferment les clients dans leur monde : si vous avez pro­té­gé une don­née dans l’espace Micro­soft, vous ne pour­rez pas la déchif­frer dans l’espace Ama­zon, et ain­si de suite.

Or nous, nous avons conçu une tech­no­lo­gie géné­rique, une infra­struc­ture de pro­tec­tion des don­nées, qui per­met de pro­té­ger tout type de don­nées dans tout type d’environnement, et de trans­por­ter ces don­nées d’un envi­ron­ne­ment à l’autre tout en per­met­tant de les déchif­frer indé­pen­dam­ment de l’environnement d’origine où elles ont été chif­frées. Cette tech­no­lo­gie géné­rique se décline en un cer­tain nombre de pro­duits, notam­ment la pro­tec­tion com­plète de Micro­soft 365 et en par­ti­cu­lier de Teams, la pro­tec­tion de tous les clouds, sans que l’hébergeur soit capable de lire vos don­nées. On peut pro­té­ger demain n’importe quel monde : si un client veut pro­té­ger des bases SAP, ou un autre ser­vice SaaS, c’est tout à fait possible.

R.C.D. : Ce que nous pré­co­ni­sons, c’est de ces­ser d’accumuler des couches de sécu­ri­té sur la don­née sans s’occuper de la sécu­ri­té de la don­née elle-même. Chez DIFENSO, nous avons tout de suite inté­gré des méta­don­nées pour pro­té­ger la don­née pen­dant son trans­port, son sto­ckage, son trai­te­ment de manière native. De ce fait, nous avons les moyens tech­niques de nous inté­grer tota­le­ment aux infra­struc­tures déployées par les Amé­ri­cains. Ils ont d’ailleurs com­pris que s’ils vou­laient conti­nuer à s’implanter en Europe, il fal­lait qu’ils ouvrent leurs API. La balle est dans notre camp. Essayons d’avoir une réponse glo­bale, et qu’elle soit déployée au niveau des grands groupes comme des petites entre­prises, en fai­sant un effort constant de sensibilisation.


En bref

  • Édi­teur de logi­ciels spé­cia­li­sé dans le chif­fre­ment natif de la donnée.
  • Fon­dée en 2015, DIFENSO emploie 15 personnes.
  • Son cœur cryp­to­gra­phique, Difen­so Core Sys­tem, a été cer­ti­fié par l’ANSSI en 2017.

Poster un commentaire