la société DIFENSO Spécialiste de la protection des données

Rebâtir la sécurité autrement

Dossier : CybersécuritéMagazine N°773 Mars 2022
Par René-Claude DAHAN
Par Éric STÉFANELLO (81)

Spé­cial­iste de la pro­tec­tion des don­nées, la société DIFENSO a levé 2 mil­lions d’euros en 2017 pour la com­mer­cial­i­sa­tion de ses solu­tions. Son prési­dent, Éric Sté­fanel­lo (81), et son CEO, René-Claude Dahan, ont ensem­ble une expéri­ence de longue date dans la défense et la cyber­sécu­rité, au plus haut niveau.

Comment analysez-vous la situation en cybersécurité actuellement ?

Éric Sté­fanel­lo : Je suis ingénieur mil­i­taire et j’ai tiré de mon expéri­ence dans les années 90 dans l’industrie d’armement deux con­clu­sions : d’abord, lorsqu’on se donne les moyens de faire de la sécu­rité infor­ma­tique, on peut être effi­cace. Ensuite, si on veut être sérieux, il faut mélanger hard­ware et soft­ware. Ces con­clu­sions sont tou­jours val­ables aujourd’hui. L’informatique civile s’est dévelop­pée sans se souci­er de la sécu­rité. Par con­séquent, dans un monde où les attaques sont dev­enues mul­ti­ples, les sys­tèmes sont extrême­ment per­méables aux attaques car la sécu­rité n’a pas été prise en compte au départ. Et par con­tre­coup tout le monde est en dan­ger. Posons les ques­tions essen­tielles. Est-ce qu’on s’y prend cor­recte­ment en cyber­sécu­rité ? Non. Le par­a­digme his­torique de la cyber­sécu­rité depuis vingt ans, c’est de faire de la défense périmétrique : on veut défendre tout le sys­tème infor­ma­tique, et l’on voit bien que ça ne marche pas, pas plus que dans le monde physique on ne peut pro­téger un vaste ter­ri­toire avec des sen­tinelles trop espacées. Or, en infor­ma­tique c’est un peu cela qu’on fait.

René-Claude Dahan : Mal­gré la défer­lante du numérique et l’explosion de la cyber­crim­i­nal­ité, on ne peut que con­stater l’absence de prise de con­science des enjeux de sécu­rité de la part des organ­i­sa­tions : on pense davan­tage au côté fonc­tion­nel, à la facil­ité d’utilisation. En sec­ond lieu, quelle que soit la taille des organ­i­sa­tions, des PME aux grands groupes, il y a un délai trop long entre l’attaque et la réac­tion. Ces défauts procè­dent d’un même prob­lème : le manque d’une entité glob­ale forte. Il n’y a pas de vision glob­ale stratégique. L’ANSSI a le mérite d’exister, mais elle est un peu faible pour les petites struc­tures, les ETI, et elle est sou­vent en con­flit avec les grands groupes sur les ques­tions de cer­ti­fi­ca­tion. À ce niveau, on con­tin­ue d’ailleurs à inté­gr­er des solu­tions à 99 % améri­caines et pour lesquelles il n’y a pas de con­traintes juridiques fortes. De manière générale, on ne réglera aucun prob­lème véri­ta­ble­ment si l’on n’est pas capa­ble d’anticiper les attaques, de garder un temps d’avance. En cyber­sécu­rité comme en nav­i­ga­tion aéri­enne, lorsqu’on réag­it aux prob­lèmes, c’est sou­vent déjà trop tard.

Qu’est-ce que vous préconisez à partir de ce constat ?

E.S. : Dans le monde physique, depuis le néolithique, on s’est ren­du compte qu’il fal­lait con­cen­tr­er les défens­es sur tout ce qui a de la valeur. Ce n’est pas ce que l’on a fait en infor­ma­tique : les appli­ca­tions, les don­nées, tout est large­ment mélangé. Dans notre pro­jet, nous pro­posons de rebâtir la cyber­sécu­rité autrement. Il faut d’abord avoir un sys­tème d’authentification forte, pour bien con­trôler qui accède au sys­tème. Et à côté, il faut avoir un sys­tème de pro­tec­tion des don­nées invi­o­lable et per­ma­nent. Les don­nées doivent être pro­tégées par défaut et en per­ma­nence. Il faut donc rebâtir la cyber­sécu­rité sur ces deux piliers que sont l’identification forte d’un côté, et la pro­tec­tion forte, absolue, per­ma­nente, des don­nées. Notre méti­er recou­vre le sec­ond aspect.

R.C.D. : On ne pour­ra pas arrêter le mou­ve­ment cen­trifuge des sys­tèmes d’informations et des don­nées. Dans quelques années, on peut pari­er que les ban­ques auront totale­ment exter­nal­isé leur core bank­ing dans des usines. Il faut donc que les hommes poli­tiques réfléchissent à des solu­tions qui n’excluent pas les GAFA, tout en met­tant des moyens qui per­me­t­tent de garan­tir une étanchéité totale des don­nées. Nous pou­vons le faire locale­ment : DIFENSO et d’autres pro­duisent des solu­tions faciles à met­tre en œuvre, respec­tant l’expérience util­isa­teur et garan­tis­sant un niveau de sécu­rité extrême­ment haut. Pourquoi ne pas les préconiser ?

Pour vous, les enjeux de cybersécurité sont liés à des questions de structure ?

E. S. : Nous soutenons l’idée qu’il faut refon­dre petit à petit les sys­tèmes d’informations, sur un mode qui dif­féren­cie bien les infra­struc­tures, les appli­ca­tions, les don­nées, les réseaux, ce qui n’est pas encore le cas aujourd’hui.

Pour illus­tr­er cette refonte, prenons un exem­ple : le RGPD a été fait à Brux­elles sans impli­quer de tech­ni­ciens. C’est une belle idée poli­tique, mais que s’est-il passé ? Dans la pra­tique, rien n’a changé pour la plu­part des entre­pris­es à part les bou­tons de con­sen­te­ment sur lesquels vous devez cli­quer. Pro­téger les entre­pris­es néces­sit­era de refon­dre les sys­tèmes d’informations des entre­pris­es. Nous sommes au tout début de l’ère de la pro­tec­tion des don­nées. Nous n’avons pas le choix : la seule façon de recon­stru­ire cette sécu­rité infor­ma­tique mal conçue au départ, c’est de dis­pos­er d’une iden­ti­fi­ca­tion forte d’un côté, et de pro­téger les don­nées de l’autre. C’est d’ailleurs ce que font les mil­i­taires depuis tou­jours, en ver­rouil­lant celui qui a accès à l’information et en ver­rouil­lant l’information elle-même.

“En cybersécurité comme en navigation aérienne, lorsqu’on réagit aux problèmes, c’est souvent déjà trop tard.”

R.C.D. : Il faudrait con­stru­ire un sys­tème dynamique, beau­coup plus prag­ma­tique, dont les ingénieurs soient à l’état de l’art, et qui soit beau­coup plus sen­si­bil­isa­teur à l’échelle de l’industrie européenne. Cet organ­isme n’existe pas, ou pas encore. L’ANSSI est utile en France, mais surtout à l’échelle des OIV (Organ­ismes d’importance vitale). Pour faire une cer­ti­fi­ca­tion aujourd’hui sur un pro­duit de sécu­rité, il faut entre dix-huit mois et deux ans. Est-ce que les men­aces n’auront pas évolué entretemps ? La défense et la sécu­rité reposent à 90 % sur l’agilité. Retrou­vons de l’agilité, et faisons de la sen­si­bil­i­sa­tion. Le prob­lème n’est pas essen­tielle­ment tech­nique, il tient plutôt à un état d’esprit : ces­sons de faire de la défense réac­tive et pas­sive. N’oublions pas que la cyber­sécu­rité, c’est 20 % de tech­nique. Le reste relève de l’organisationnel et de l’humain.

Aujourd’hui, quelle est votre spécificité dans le marché de la cybersécurité ?

E.S. : En 2015 nous étions les seuls à avoir cette démarche. Aujourd’hui, Google, Ama­zon et Microsoft adoptent une stratégie sim­i­laire au sein de leur cloud. Le prin­ci­pal prob­lème, c’est que ces solu­tions enfer­ment les clients dans leur monde : si vous avez pro­tégé une don­née dans l’espace Microsoft, vous ne pour­rez pas la déchiffr­er dans l’espace Ama­zon, et ain­si de suite.

Or nous, nous avons conçu une tech­nolo­gie générique, une infra­struc­ture de pro­tec­tion des don­nées, qui per­met de pro­téger tout type de don­nées dans tout type d’environnement, et de trans­porter ces don­nées d’un envi­ron­nement à l’autre tout en per­me­t­tant de les déchiffr­er indépen­dam­ment de l’environnement d’origine où elles ont été chiffrées. Cette tech­nolo­gie générique se décline en un cer­tain nom­bre de pro­duits, notam­ment la pro­tec­tion com­plète de Microsoft 365 et en par­ti­c­uli­er de Teams, la pro­tec­tion de tous les clouds, sans que l’hébergeur soit capa­ble de lire vos don­nées. On peut pro­téger demain n’importe quel monde : si un client veut pro­téger des bases SAP, ou un autre ser­vice SaaS, c’est tout à fait possible.

R.C.D. : Ce que nous pré­con­isons, c’est de cess­er d’accumuler des couch­es de sécu­rité sur la don­née sans s’occuper de la sécu­rité de la don­née elle-même. Chez DIFENSO, nous avons tout de suite inté­gré des méta­don­nées pour pro­téger la don­née pen­dant son trans­port, son stock­age, son traite­ment de manière native. De ce fait, nous avons les moyens tech­niques de nous inté­gr­er totale­ment aux infra­struc­tures déployées par les Améri­cains. Ils ont d’ailleurs com­pris que s’ils voulaient con­tin­uer à s’implanter en Europe, il fal­lait qu’ils ouvrent leurs API. La balle est dans notre camp. Essayons d’avoir une réponse glob­ale, et qu’elle soit déployée au niveau des grands groupes comme des petites entre­pris­es, en faisant un effort con­stant de sensibilisation.


En bref

  • Édi­teur de logi­ciels spé­cial­isé dans le chiffre­ment natif de la donnée.
  • Fondée en 2015, DIFENSO emploie 15 personnes.
  • Son cœur cryp­tographique, Difen­so Core Sys­tem, a été cer­ti­fié par l’ANSSI en 2017.

Poster un commentaire