Rebâtir la sécurité autrement
Spécialiste de la protection des données, la société DIFENSO a levé 2 millions d’euros en 2017 pour la commercialisation de ses solutions. Son président, Éric Stéfanello (81), et son CEO, René-Claude Dahan, ont ensemble une expérience de longue date dans la défense et la cybersécurité, au plus haut niveau.
Comment analysez-vous la situation en cybersécurité actuellement ?
Éric Stéfanello : Je suis ingénieur militaire et j’ai tiré de mon expérience dans les années 90 dans l’industrie d’armement deux conclusions : d’abord, lorsqu’on se donne les moyens de faire de la sécurité informatique, on peut être efficace. Ensuite, si on veut être sérieux, il faut mélanger hardware et software. Ces conclusions sont toujours valables aujourd’hui. L’informatique civile s’est développée sans se soucier de la sécurité. Par conséquent, dans un monde où les attaques sont devenues multiples, les systèmes sont extrêmement perméables aux attaques car la sécurité n’a pas été prise en compte au départ. Et par contrecoup tout le monde est en danger. Posons les questions essentielles. Est-ce qu’on s’y prend correctement en cybersécurité ? Non. Le paradigme historique de la cybersécurité depuis vingt ans, c’est de faire de la défense périmétrique : on veut défendre tout le système informatique, et l’on voit bien que ça ne marche pas, pas plus que dans le monde physique on ne peut protéger un vaste territoire avec des sentinelles trop espacées. Or, en informatique c’est un peu cela qu’on fait.
René-Claude Dahan : Malgré la déferlante du numérique et l’explosion de la cybercriminalité, on ne peut que constater l’absence de prise de conscience des enjeux de sécurité de la part des organisations : on pense davantage au côté fonctionnel, à la facilité d’utilisation. En second lieu, quelle que soit la taille des organisations, des PME aux grands groupes, il y a un délai trop long entre l’attaque et la réaction. Ces défauts procèdent d’un même problème : le manque d’une entité globale forte. Il n’y a pas de vision globale stratégique. L’ANSSI a le mérite d’exister, mais elle est un peu faible pour les petites structures, les ETI, et elle est souvent en conflit avec les grands groupes sur les questions de certification. À ce niveau, on continue d’ailleurs à intégrer des solutions à 99 % américaines et pour lesquelles il n’y a pas de contraintes juridiques fortes. De manière générale, on ne réglera aucun problème véritablement si l’on n’est pas capable d’anticiper les attaques, de garder un temps d’avance. En cybersécurité comme en navigation aérienne, lorsqu’on réagit aux problèmes, c’est souvent déjà trop tard.
Qu’est-ce que vous préconisez à partir de ce constat ?
E.S. : Dans le monde physique, depuis le néolithique, on s’est rendu compte qu’il fallait concentrer les défenses sur tout ce qui a de la valeur. Ce n’est pas ce que l’on a fait en informatique : les applications, les données, tout est largement mélangé. Dans notre projet, nous proposons de rebâtir la cybersécurité autrement. Il faut d’abord avoir un système d’authentification forte, pour bien contrôler qui accède au système. Et à côté, il faut avoir un système de protection des données inviolable et permanent. Les données doivent être protégées par défaut et en permanence. Il faut donc rebâtir la cybersécurité sur ces deux piliers que sont l’identification forte d’un côté, et la protection forte, absolue, permanente, des données. Notre métier recouvre le second aspect.
R.C.D. : On ne pourra pas arrêter le mouvement centrifuge des systèmes d’informations et des données. Dans quelques années, on peut parier que les banques auront totalement externalisé leur core banking dans des usines. Il faut donc que les hommes politiques réfléchissent à des solutions qui n’excluent pas les GAFA, tout en mettant des moyens qui permettent de garantir une étanchéité totale des données. Nous pouvons le faire localement : DIFENSO et d’autres produisent des solutions faciles à mettre en œuvre, respectant l’expérience utilisateur et garantissant un niveau de sécurité extrêmement haut. Pourquoi ne pas les préconiser ?
Pour vous, les enjeux de cybersécurité sont liés à des questions de structure ?
E. S. : Nous soutenons l’idée qu’il faut refondre petit à petit les systèmes d’informations, sur un mode qui différencie bien les infrastructures, les applications, les données, les réseaux, ce qui n’est pas encore le cas aujourd’hui.
Pour illustrer cette refonte, prenons un exemple : le RGPD a été fait à Bruxelles sans impliquer de techniciens. C’est une belle idée politique, mais que s’est-il passé ? Dans la pratique, rien n’a changé pour la plupart des entreprises à part les boutons de consentement sur lesquels vous devez cliquer. Protéger les entreprises nécessitera de refondre les systèmes d’informations des entreprises. Nous sommes au tout début de l’ère de la protection des données. Nous n’avons pas le choix : la seule façon de reconstruire cette sécurité informatique mal conçue au départ, c’est de disposer d’une identification forte d’un côté, et de protéger les données de l’autre. C’est d’ailleurs ce que font les militaires depuis toujours, en verrouillant celui qui a accès à l’information et en verrouillant l’information elle-même.
“En cybersécurité comme en navigation aérienne, lorsqu’on réagit aux problèmes, c’est souvent déjà trop tard.”
R.C.D. : Il faudrait construire un système dynamique, beaucoup plus pragmatique, dont les ingénieurs soient à l’état de l’art, et qui soit beaucoup plus sensibilisateur à l’échelle de l’industrie européenne. Cet organisme n’existe pas, ou pas encore. L’ANSSI est utile en France, mais surtout à l’échelle des OIV (Organismes d’importance vitale). Pour faire une certification aujourd’hui sur un produit de sécurité, il faut entre dix-huit mois et deux ans. Est-ce que les menaces n’auront pas évolué entretemps ? La défense et la sécurité reposent à 90 % sur l’agilité. Retrouvons de l’agilité, et faisons de la sensibilisation. Le problème n’est pas essentiellement technique, il tient plutôt à un état d’esprit : cessons de faire de la défense réactive et passive. N’oublions pas que la cybersécurité, c’est 20 % de technique. Le reste relève de l’organisationnel et de l’humain.
Aujourd’hui, quelle est votre spécificité dans le marché de la cybersécurité ?
E.S. : En 2015 nous étions les seuls à avoir cette démarche. Aujourd’hui, Google, Amazon et Microsoft adoptent une stratégie similaire au sein de leur cloud. Le principal problème, c’est que ces solutions enferment les clients dans leur monde : si vous avez protégé une donnée dans l’espace Microsoft, vous ne pourrez pas la déchiffrer dans l’espace Amazon, et ainsi de suite.
Or nous, nous avons conçu une technologie générique, une infrastructure de protection des données, qui permet de protéger tout type de données dans tout type d’environnement, et de transporter ces données d’un environnement à l’autre tout en permettant de les déchiffrer indépendamment de l’environnement d’origine où elles ont été chiffrées. Cette technologie générique se décline en un certain nombre de produits, notamment la protection complète de Microsoft 365 et en particulier de Teams, la protection de tous les clouds, sans que l’hébergeur soit capable de lire vos données. On peut protéger demain n’importe quel monde : si un client veut protéger des bases SAP, ou un autre service SaaS, c’est tout à fait possible.
R.C.D. : Ce que nous préconisons, c’est de cesser d’accumuler des couches de sécurité sur la donnée sans s’occuper de la sécurité de la donnée elle-même. Chez DIFENSO, nous avons tout de suite intégré des métadonnées pour protéger la donnée pendant son transport, son stockage, son traitement de manière native. De ce fait, nous avons les moyens techniques de nous intégrer totalement aux infrastructures déployées par les Américains. Ils ont d’ailleurs compris que s’ils voulaient continuer à s’implanter en Europe, il fallait qu’ils ouvrent leurs API. La balle est dans notre camp. Essayons d’avoir une réponse globale, et qu’elle soit déployée au niveau des grands groupes comme des petites entreprises, en faisant un effort constant de sensibilisation.
En bref
- Éditeur de logiciels spécialisé dans le chiffrement natif de la donnée.
- Fondée en 2015, DIFENSO emploie 15 personnes.
- Son cœur cryptographique, Difenso Core System, a été certifié par l’ANSSI en 2017.