Hackcyom, l’atout invisible du cloud souverain français

Fon­dée en 2022 par Mou­loud Ait-Kaci, pro­fes­sion­nel recon­nu en cyber­sé­cu­ri­té et éva­lua­teur Sec­Num­Cloud depuis presque dix ans, Hack­cyom s’impose comme un pilier dis­cret mais essen­tiel de l’écosystème Sec­Num­Cloud (SNC) en France récem­ment deve­nu syno­nyme de « cloud sou­ve­rain » avec sa ver­sion 3.2. Peu connue du grand public, l’entreprise opère à l’ombre des (méga) chan­tiers de qua­li­fi­ca­tion, gui­dant les plus grands pres­ta­taires dans leurs démarches, leurs choix et leur réus­site. Alors que l’indépendance numé­rique au béné­fice de laquelle la ques­tion de la sou­ve­rai­ne­té se pose et devient un enjeu stra­té­gique de pre­mier plan, son fon­da­teur retrace la genèse de l’entreprise, les défis tech­niques et poli­tiques du sec­teur, et les ambi­tions d’un acteur désor­mais incontournable.

Pouvez-vous dire quelques mots sur votre parcours ?

J’ai sui­vi un par­cours robuste en entrant tout à bord en classes pré­pa­ra­toires (Math Sup/Math Spé), avant d’entamer des études uni­ver­si­taires en mathé­ma­tiques pures, la rédac­tion d’un mémoire de maî­trise de mathé­ma­tiques pures sur le théo­rème des nombres pre­miers, je me suis orien­té vers un pont per­met­tant d’intégrer le mas­ter 2 en Sécu­ri­té, Cryp­to­gra­phie et Codage de l’Information à l’IMAG/ENSIMAG de Grenoble. 

C’est en rejoi­gnant CGI Busi­ness Consul­ting en 2013 que j’ai décou­vert l’univers de la cyber­sé­cu­ri­té, en me consa­crant au test d’intrusion, à l’audit de code, et plus lar­ge­ment à la modé­li­sa­tion et au trai­te­ment des risques cyber. Après avoir été qua­li­fié comme audi­teur PASSI sur toutes les por­tées tech­niques, j’ai vali­dé les exa­mens requis pour deve­nir éva­lua­teur ANSSI, puis j’ai com­men­cé à inter­ve­nir sur la qua­li­fi­ca­tion Sec­Num­Cloud dès 2016 avec l’évaluation de Cloud­Watt à l’époque en tant qu’évaluateur tech­nique. Aujourd’hui, je suis éga­le­ment en charge des exa­mens de qua­li­fi­ca­tion des futurs éva­lua­teurs Sec­Num­Cloud notam­ment pour Afnor Cer­ti­fi­ca­tion (on parle de « super-éva­lua­teur » ou exa­mi­na­teur SNC).

Comment êtes-vous devenu évaluateur SecNumCloud ?

Depuis 2013, j’ai tra­vaillé sur l’ensemble des por­tées de l’audit en cyber­sé­cu­ri­té (tests d’intrusion, audits de code, audit de confi­gu­ra­tion, audit d’architecture, audit orga­ni­sa­tion­nel) ain­si que de nom­breux aspects du conseil en cyber­sé­cu­ri­té (ges­tion des risques, sché­mas direc­teurs, pro­grammes SOC, etc.). En 2016, à sa créa­tion, Sec­Num­Cloud n’intéressait qua­si­ment per­sonne. J’ai pas­sé les entre­tiens devant un jury d’experts de l’ANSSI, avec très peu de can­di­dats sélec­tion­nés. C’était une expé­rience dif­fi­cile, mais pas­sion­nante, et sur­tout, j’ai eu la chance et la volon­té de m’y frot­ter et d’y faire les efforts néces­saires bien avant que le sujet ne devienne ten­dance comme aujourd’hui. Avec le recul, je consi­dère ce choix comme déter­mi­nant. Il m’a per­mis de déve­lop­per une exper­tise unique, et c’est ce savoir que j’ai vou­lu trans­mettre à mon équipe et à nos clients en fon­dant Hackcyom.

Comment est née Hackcyom et quelle est sa mission aujourd’hui ?

Jusque-là, j’intervenais en tant que free­lance sur le sujet du conseil Sec­Num­Cloud, mais j’ai rapi­de­ment consta­té qu’aucune struc­ture n’était spé­cia­li­sée dans la qua­li­fi­ca­tion Sec­Num­Cloud, un pro­ces­sus pour­tant d’une grande com­plexi­té et asso­cié à des enjeux d’investissement très impor­tants. Il exige une par­faite maî­trise de la tech­nique, de l’organisation, des régle­men­ta­tions et légis­la­tions appli­cables, de la gou­ver­nance, tout en com­pre­nant inti­me­ment les méca­nismes de qua­li­fi­ca­tion et ce que l’ANSSI sou­haite que les indus­triels fassent pour atteindre les objec­tifs de sécu­ri­té fixés par les réfé­ren­tiels qu’elle a édités. 

J’ai fon­dé Hack­cyom en avril 2022, elle fête donc son 3e anni­ver­saire ! L’objectif était clair : créer une offre d’expertise de pointe capable de prendre en charge le conseil sur des pro­jets aus­si dif­fi­ciles que SNC de A à Z. Aujourd’hui, nous sommes les seuls à inter­ve­nir à ce niveau de conseil et d’exper­tise. Nous avons accom­pa­gné ou audi­té envi­ron deux tiers des pres­ta­taires qua­li­fiés ou en cours de qua­li­fi­ca­tion. Même si notre nom reste peu connu, nous sommes pré­sents dans presque tous les dos­siers majeurs en conseil, en audit PASSI ou en éva­lua­tion de qua­li­fi­ca­tion comme sous-trai­tant des centres éva­lua­teurs qui sont : Afnor Cer­ti­fi­ca­tion, Cer­ti-Trust, LSTI (Apave) et LNE qui sont accré­di­tés COFRAC et agréés par l’ANSSI (Hack­cyom n’est pas centre évaluateur).

En quoi la qualification SecNumCloud est-elle un enjeu stratégique ?

La qua­li­fi­ca­tion Sec­Num­Cloud amène deux avan­cées majeures pour ceux des pres­ta­taires de ser­vices en nuage qui relèvent le défi : Elle apporte une sécu­ri­té tech­nique très avan­cée mais elle ajoute éga­le­ment un effort d’immunisation aux lois extra-euro­péennes comme les lois FISA et Cloud Act amé­ri­caines. Elle garan­tit que les don­nées et leur trai­te­ment sont sou­mis uni­que­ment à la juri­dic­tion euro­péenne ce qui est un levier de sou­ve­rai­ne­té fort.

L’objectif est d’empêcher que des enti­tés étran­gères puissent accé­der à ces don­nées sen­sibles de manière illé­gi­time et via des pro­ces­sus opaques, voire dis­cré­tion­naires. Il s’agit d’un enjeu géo­po­li­tique majeur, qui touche direc­te­ment à la pro­tec­tion de nos ins­ti­tu­tions, de notre savoir-faire, de notre recherche, de notre tis­su indus­triel et de nos citoyens. Mal­heu­reu­se­ment, de nom­breux acteurs publics ou pri­vés conti­nuent de migrer vers des solu­tions amé­ri­caines, sou­vent par réflexe, par faci­li­té ou autre moti­va­tion que je ne sau­rais m’expliquer. Mais cela ali­mente une forme de dépen­dance notam­ment aux GAFAM que Sec­Num­Cloud cherche pré­ci­sé­ment à par­ti­ci­per à contrer.

Qu’est-ce qui différencie Hackcyom des autres sociétés du secteur ?

J’ai com­men­cé à tra­vailler sur Sec­Num­Cloud dès 2016, à une époque l’enjeu mar­ché était qua­si­ment nul. C’était une démarche presque mili­tante et l’envie de rele­ver le défi de maî­tri­ser la com­plexi­té énorme que repré­sente le fonc­tion­ne­ment d’un cloud.

Ce que nous offrons chez Hack­cyom, c’est une exper­tise inéga­lée, car spé­cia­li­sée et une équipe plu­ri­dis­ci­pli­naire en cyber­sé­cu­ri­té autant tech­nique qu’organisationnelle que nous avons for­mée en interne. Nos consul­tants sont sélec­tion­nés puis for­més avec un niveau d’exigence beau­coup plus éle­vé que dans la plu­part des cabi­nets de cyber­sé­cu­ri­té en France. Nous avons déve­lop­pé des métho­do­lo­gies, des outils, et une inter­pré­ta­tion des réfé­ren­tiels ANSSI issue de mil­liers de jours d’expérience ter­rain et d’une volon­té unique d’apporter une vraie valeur ajou­tée. Nos clients viennent vers nous pré­ci­sé­ment pour cela : parce que nous savons ce qui est accep­table ou non pour réus­sir la qua­li­fi­ca­tion avec la bonne inter­pré­ta­tion, parce que nous leur évi­tons des détours inutiles, et parce que nous leur fai­sons gagner un temps et un argent précieux.

Quelle est votre définition du cloud souverain ?

La sou­ve­rai­ne­té numé­rique est un terme valise empor­tant beau­coup de notions mais ne doit pas pour autant être réduite à un slo­gan ou à un argu­ment mar­ke­ting. Elle implique, telle que garan­tie par Sec­Num­Cloud, d’assurer que le ser­vice cloud, dans son inté­gra­li­té, soit sou­mis au droit euro­péen. Pour autant, il ne faut pas pen­ser que c’est une pana­cée. En effet, cela ne pro­tège pas les Fran­çais, les entre­prises et admi­nis­tra­tions fran­çaises, leurs don­nées et leurs enjeux stra­té­giques contre tous les risques de dépen­dance forte à des acteurs étran­gers plus ou moins « amis ».

La dépen­dance tech­no­lo­gique notam­ment aux pro­duits numé­riques, logi­ciels et maté­riels amé­ri­cains est un sujet dont l’importance est aus­si capi­tale que le nucléaire dans les années 70, ali­mente le dan­ger de manque de sou­ve­rai­ne­té numé­rique et donc d’effritement insi­dieux de la sou­ve­rai­ne­té du Peuple fran­çais. Sec­Num­Cloud ne s’attaque pas à cet aspect : c’est un défi pour les indus­triels et l’État fran­çais qui ne peut être réglé par un réfé­ren­tiel de confor­mi­té édi­té par l’ANSSI.

Quels sont les risques pour un prestataire qui échoue sa qualification ?

Un échec à la qua­li­fi­ca­tion peut avoir des consé­quences très sérieuses pour l’entreprise can­di­date. Cer­taines ins­tances de tels pro­jets mobi­lisent plu­sieurs mil­lions d’euros sur plu­sieurs années. Un refus de qua­li­fi­ca­tion par l’ANSSI peut faire s’écrouler toute une stra­té­gie et un inves­tis­se­ment pécu­nier et moral consé­quents. Il peut arri­ver en effet que des pres­ta­taires can­di­dats inves­tissent tant d’énergie, de res­sources et de capi­tal dans cette démarche que l’échec entraîne des faillites ou des départs poten­tiel­le­ment mas­sifs. Il faut bien noter qu’une fois le dos­sier de qua­li­fi­ca­tion sou­mis à l’ANSSI (jalon zéro), celle-ci n’est plus en posi­tion de conseiller.

Le pres­ta­taire est seul face au défi du Sec­Num­Cloud. C’est pré­ci­sé­ment pour cela que nous inter­ve­nons très en amont. Nous rem­plis­sons ce vide. Notre qua­li­té d’auditeurs PASSI com­bi­née à notre exper­tise d’évaluateurs Sec­Num­Cloud font que nous sommes les seuls à pou­voir dire avec un haut niveau de confiance : « tel choix tech­no­lo­gique ou d’architecture ou d’organisation ne pas­se­ra pas l’évaluation ». Et nous le disons à nos clients, par­fois avec fer­me­té, mais tou­jours avec luci­di­té tout en leur conseillant des solutions.

Quelles sont les ambitions de Hackcyom à moyen et long terme ?

Aujourd’hui encore, la qua­li­fi­ca­tion Sec­Num­Cloud repré­sente 70 % de notre acti­vi­té, mais nous employons à diver­si­fier notre acti­vi­té. Nos acti­vi­tés d’audit sont en plein essor, et notre qua­li­fi­ca­tion PASSI obte­nue en jan­vier 2024 nous per­met de viser une crois­sance de 100 % sur cette acti­vi­té en 2025. Nous sommes éga­le­ment en cours de qua­li­fi­ca­tion « Pres­ta­taire d’Accompagnement Conseil en Sécu­ri­té des SI : PACS ».

Nous sui­vons éga­le­ment de près les nou­velles obli­ga­tions euro­péennes, comme NIS2 et DORA, qui sont en train de for­te­ment influen­cer les efforts cyber pour des mil­liers d’acteurs. Mais le véri­table tour­nant en 2025 pour Hack­cyom, c’est notre ambi­tion de deve­nir édi­teur de ser­vices cloud. Nous pré­pa­rons le lan­ce­ment de plu­sieurs pro­duits cloud conformes Sec­Num­Cloud, et PAMS, pré­vus pour 2026. Nous vou­lons ajou­ter à notre exper­tise d’accompagnateurs le résul­tat de nos efforts de bâtis­seurs visant à démo­cra­ti­ser et faci­li­ter le recours à l’écosystème des pres­ta­taires de confiance créé par les réfé­ren­tiels ANSSI.

Ces ambi­tions trans­for­me­ront Hack­cyom en un acteur de confiance incon­tour­nable en France d’ici 2026, qu’il devien­dra impos­sible d’ignorer ! 

https://www.hackcyom.com/

---

Articles similaires :

Cam­pus Cyber : la vitrine de l’excellence fran­çaise en cybersécurité Connaître et anti­ci­per la menace : un enjeu déci­sif pour se pro­té­ger efficacement Des accès sécu­ri­sés pour un sys­tème d’information mieux protégé ! Pro­ven­Run : l’expert du Secu­ri­ty by Design Cyber­sé­cu­ri­té : une offre inté­grée et au plus proche des entreprises