La confidentialité au service de la souveraineté des données

Dossier : CybersécuritéMagazine N°773 Mars 2022
Par Nicolas BACHELIER

La tech­no­lo­gie du chif­fre­ment est très répan­due, mais avec des niveaux de ser­vice variables. La socié­té lyon­naise PRIM’X, qui ali­mente l’ensemble des minis­tères de l’État fran­çais et beau­coup d’entreprises pri­vées, en pro­pose une appli­ca­tion par­ti­cu­lière, atten­tive au cloi­son­ne­ment de l’information. Entre­tien avec son direc­teur géné­ral adjoint, Nico­las Bachelier.

Quel est le cœur de métier de PRIM’X ?

Nous inter­ve­nons sur une niche de la cyber­sé­cu­ri­té : la four­ni­ture à des orga­ni­sa­tions de solu­tions per­met­tant de gérer la confi­den­tia­li­té de leurs don­nées. Pour appor­ter ce genre de ser­vice, nous nous appuyons sur le chif­fre­ment. Il s’agit d’un chif­fre­ment en tant que tech­no­lo­gie et non en tant que pro­duit. Le chif­fre­ment s’est démo­cra­ti­sé depuis une dizaine d’années, beau­coup pro­posent ce sys­tème. Mais cette tech­no­lo­gie peut appor­ter dif­fé­rents ser­vices. PRIM’X apporte un ser­vice de confi­den­tia­li­té : i.e. la capa­ci­té pour une orga­ni­sa­tion de gérer ce que l’on appelle « le besoin d’en connaître », en uti­li­sant le cloi­son­ne­ment cryp­to­gra­phique non pas seule­ment vis-à-vis de l’extérieur, mais aus­si en interne.

Dans une grande majo­ri­té des cas, le chif­fre­ment s’entend comme défense péri­mé­trique : pro­té­ger mon sys­tème d’informations contre les attaques externes. À nos yeux, cette approche est insuf­fi­sante : il faut pro­té­ger aus­si en interne, contre l’espionnage, le vol, la perte d’informations. L’espionnage ou le vol sont presque tou­jours liés à un fac­teur interne.

Cette menace est-elle répandue ?

Pro­té­ger l’information contre l’espionnage ou le vol, c’est se battre contre un risque avé­ré, annon­cé comme l’un des plus grands, notam­ment par Guillaume Pou­pard (92). Celui-ci réper­to­rie trois grands risques en matière de sécu­ri­té : l’extorsion, l’intrusion d’un État étran­ger, et l’espionnage. Or, l’espionnage est impor­tant, mais on en parle peu. Et pour cause : on ignore sou­vent qu’on est espion­né et par­fois même, les pré­ju­dices qui ont pu en résulter.

Et puis, il y a aus­si une culture du silence dans ce domaine. La crainte de la per­cep­tion exté­rieure du pré­ju­dice subi la favo­rise : l’impact sur sa com­pé­ti­ti­vi­té, son cours de bourse ou son image peuvent être importants.

Et quelle est la spécificité de votre solution à cet égard ?

Tout d’abord, dans notre approche, nous ne sommes pas dans un domaine très concur­ren­tiel : les grandes socié­tés de la cyber­sé­cu­ri­té sont absentes.

Nous appor­tons une solu­tion recon­nue sur le mar­ché et indé­pen­dante des infra­struc­tures numé­riques. Nous fai­sons le néces­saire pour acqué­rir la confiance de nos clients. Dans ce but, nous menons une démarche sys­té­ma­tique de cer­ti­fi­ca­tion de nos logi­ciels soit au niveau fran­çais soit au niveau euro­péen, soit dans cer­tains pays tiers qui sou­haitent maî­tri­ser leurs risques. Par exemple, nous avons obte­nu en Espagne des cer­ti­fi­ca­tions qui amènent nos pro­duits fran­çais à être consi­dé­rés dans ce pays comme suf­fi­sam­ment sûrs pour pro­té­ger les infor­ma­tions sen­sibles dans les minis­tères, les infra­struc­tures cri­tiques ou les entre­prises nationales.

Avez-vous des contraintes d’intégration selon la spécificité de vos clients ?

Nous déve­lop­pons nos pro­duits pour qu’ils soient inté­grables de manière trans­pa­rente dans l’environnement de nos clients quel que soit leur choix en termes d’infrastructure IT ou d’externalisation dans le cloud. C’est pour moi l’autre aspect de la sou­ve­rai­ne­té sur les données.

La sou­ve­rai­ne­té d’une entre­prise sur ses don­nées, c’est deux choses : pou­voir uti­li­ser ses don­nées, à tout moment, quel que soit l’endroit où elles sont, et d’autre part pou­voir en gérer la confidentialité. 

Et la confi­den­tia­li­té doit être une approche com­plé­men­taire, qui ne doit pas être délé­guée par l’entreprise, et sur­tout pas à ceux à qui elle confie ses données !


En bref

PRIM’X est une entre­prise lyon­naise fon­dée en 2003. Elle emploie 50 per­sonnes et elle est pré­sente à l’international (Europe, Asie et Amé­rique du sud et cen­trale). Elle a ven­du plus de 1,5 mil­lion de licences à tra­vers le monde. En France, son chiffre d’affaires se répar­tit à 75 % dans le sec­teur pri­vé et 25 % pour le public


Poster un commentaire