Pionnier de la cybersécurité décentralisée et de l’identité souveraine

Vie des Entreprises

Dossier : Vie des entreprises - Transformation numérique et intelligence artificielleMagazine N°805 Mai 2025

La cybersécurité est devenue un enjeu mondial majeur, accentuant le besoin de solutions novatrices face aux menaces croissantes. Avec ses offres basées sur la cryptographie asymétrique et une approche sans mot de passe, Vaultys s’affirme comme un protagoniste incontournable. L’objectif est clair, martèle son cofondateur et directeur général, Jean Williamson : pour une sécurité totale, il faut des solutions simples, sûres et souveraines.

Quelles sont les principales menaces de cyberattaque en France et comment évoluent-elles ?

En France, chaque année, une entreprise sur deux est victime d’une cyberattaque d’envergure. Bien que certaines de ces attaques soient contenues, permettant d’identifier et de bloquer l’intrus, il arrive parfois que les mesures de sécurité échouent, entraînant des conséquences graves, pouvant aller jusqu’à la faillite de l’entreprise. Les risques les plus significatifs proviennent des attaques à distance, notamment celles orchestrées par des acteurs russes, ukrainiens, coréens ou chinois, particulièrement habiles. Bien qu’il existe des pirates isolés, la majorité des cyberattaques sont aujourd’hui soutenues par des États, constituant de vastes organisations spécialisées qui s’échangent et exploitent les bases de données. Actuellement, 8 Français sur 10 ont leurs données personnelles exposées sur le dark web.

“En France, 85 % des cyberattaques sont dues à des erreurs humaines. La centralisation de l’IAM accroît les risques, mais la cryptographie asymétrique promet une meilleure protection contre le phishing et l’usurpation d’identité.”

Ces informations sont revendues pour être combinées à d’autres données, renforçant ainsi les capacités des pirates à infiltrer nos accès à un moment donné. Ce processus, bien que complexe, est étonnamment accessible, et c’est là le véritable problème. Par exemple, des outils comme FraudGPT, développés grâce à l’essor de l’IA générative, permettent aux pirates de mener des attaques sans compétences en développement, leur fournissant des solutions prêtes à l’emploi. Cette facilité d’accès contribue à la prolifération rapide des cyberattaques. Actuellement, le coût de ces attaques a considérablement augmenté, et 85 % d’entre elles sont dues à des failles humaines. De plus, le phishing a littéralement explosé, atteignant une augmentation de quasiment 2000 %.

Quels sont les risques de la centralisation de l’IAM ?

Dans le monde que nous connaissons tous, l’accès centralisé de l’IAM (Identité, Accès Management) est une réalité. Nous avons tous adopté ce système contrôlé à 98 % par Microsoft et Google. Cette centralisation profite à ces géants technologiques qui contrôlent nos accès et peuvent ajouter d’autres services par-dessus. Malheureusement, cette centralisation attise la convoitise. En effet, tout est regroupé au même endroit, ce qui signifie que si un pirate parvient à subtiliser les accès d’une personne, il peut progressivement s’emparer de l’ensemble. Une fois à l’intérieur de la forteresse, il ne sortira pas sans avoir obtenu un maximum d’informations et causé des blocages pour l’entreprise concernée. C’est pourquoi nous observons une prolifération d’attaques aujourd’hui : la convoitise est trop forte.

Pour simplifier, c’est un peu comme l’histoire des autoradios. Dans les années 1980, il était courant de voir sa vitre de voiture brisée pour un vol d’autoradio. Certains ont alors imaginé des solutions coûteuses et complexes : vitres blindées, façades amovibles… Jusqu’à ce que l’intégration des autoradios dans le tableau de bord du véhicule mette fin à cette convoitise.

Comment peut-on y remédier ?

Il est envisageable d’ajouter des clés supplémentaires afin de garantir que l’accès est réellement sécurisé et que l’utilisateur est bien celui qu’il prétend être. C’est ce qu’on appelle le MFA, ou Multi-facteur d’authentification. Il est souvent utilisé pour vérifier votre identité lors de transactions bancaires. Malheureusement, le MFA est déjà friable et les pirates ont développé des moyens pour faire l’interface (MiTM : Man in The Middle) à chaque étape du MFA. De surcroît, cette solution engendre plus de complexité et de frustration pour l’utilisateur final.

Pour garantir une protection totale, il est essentiel d’inclure simplicité, sécurité et souveraineté. À ce jour, aucune solution ne répond pleinement à ces critères. Nous avons donc placé ces éléments au cœur de notre démarche dès le début, déterminés à les atteindre. C’est ce qui nous a conduit à lancer Vaultys.

« Pour garantir une protection totale, il est essentiel d’inclure simplicité, sécurité et souveraineté. »

Nous avons revisité le concept du IAM pour réduire la convoitise. Nous avons séparé le « I », l’Identité, de l’IAM pour le distribuer individuellement à chaque acteur, qu’il s’agisse de salariés ou de tiers liés à l’entreprise. Chaque individu se voit attribuer, ou crée lui-même, une identité numérique qui lui appartient personnellement, indépendamment de l’entreprise. Cette approche remet en question la notion de propriété : de la même manière qu’une personne possède sa carte d’identité ou sa carte vitale, elle devrait posséder sa carte d’identité numérique. Contrairement à la situation actuelle où nous sommes simplement locataires d’identifiants comme un Gmail ou un numéro de téléphone, avec VaultysID, nous devenons propriétaires de notre identité numérique. Contrairement à Windows ou Google, Vaultys n’a pas de répertoire avec toutes les identités numériques des utilisateurs. Cette identité numérique peut être attribuée non seulement à une personne, mais aussi à un serveur ou à une machine.

L’idée d’une identité souveraine est novatrice, et beaucoup peinent encore à en saisir pleinement le potentiel. Ce changement de paradigme élimine la convoitise liée aux « forteresses » centralisées. Il est préférable de distribuer individuellement à chaque collaborateur des boucliers agiles, plus difficiles à identifier et à pirater un par un, qu’un gros château fort qui concentre les attaques.

Comment la cryptographie asymétrique renforce-t-elle la sécurité des identités numériques en entreprise ?

La technologie remet l’humain au centre, car chaque individu échange personnellement sa clé cryptographique avec celle de l’entreprise. Après avoir signé son contrat de travail, il accepte de partager son identité numérique. Tout comme il apporte sa carte d’identité et sa carte vitale au travail, il fournirait sa carte d’identité numérique, autrement dit sa clé d’accès. La puissance de la cryptographie entre alors en jeu. À chaque connexion, les deux clés se reconnaissent mutuellement. Même si un vol de clés se produit lors de la connexion, même sur Internet, le pirate ne peut rien en faire grâce à la technologie des clés asymétriques. L’utilisateur s’authentifie de manière totalement sécurisée et protégée contre les attaques de phishing et les usurpations d’identité. Cette technologie a déjà prouvé son efficacité, notamment dans le domaine des crypto-monnaies.

Comment fonctionne votre plateforme SmartLink et quels sont ses avantages pour les collaborateurs et administrateurs ?

Nous avons développé une solution similaire à un serveur d’entreprise, qui permet de distribuer les accès. Au sein de ce système, nous avons intégré ce que l’on appelle la gestion des accès, sans inclure l’identité, qui reste propre à chaque individu. Dans ce SSO, nous avons ajouté de nouvelles fonctionnalités visant à inciter les collaborateurs à l’utiliser, car cela simplifie leur quotidien. La connexion est facilitée par l’échange de clés cryptographiques : il suffit de flasher son PC avec son téléphone portable pour être connecté. En apportant son identité numérique, l’utilisateur prouve automatiquement son authenticité.

Ensuite, le collaborateur accède à son environnement personnel, préalablement configuré pour lui. Il dispose des accès aux applications nécessaires, sans superflu. Un coffre-fort de mots de passe est intégré pour les applications qui le nécessitent. De plus, un tableau de bord est disponible pour l’administrateur, lui permettant de vérifier la robustesse des mots de passe et de s’assurer que les licences sont utilisées à bon escient. Une console liée à la performance est également présente, car la solution peut également améliorer la performance et générer des gains financiers.

Comment Vaultys Connect améliore-t-il la sécurité des éditeurs et de leurs clients ?

Vaultys Connect est un module d’authentification destiné aux éditeurs, leur permettant ainsi d’offrir à leurs clients une solution sans mot de passe. Cela renforce considérablement la sécurité de l’éditeur en éliminant le problème de la centralisation des identités des utilisateurs. Actuellement, les éditeurs doivent centraliser les identités de tous leurs clients pour les authentifier via des mots de passe. Cette centralisation attire les pirates, qui cherchent à s’emparer de ces données. C’est pourquoi des entreprises comme Free, Boulanger, Le Point et Kiabi ont été victimes de vols massifs de données. En décentralisant les identités, même si un pirate parvient à obtenir des clés cryptographiques, il ne pourra pas les associer à d’autres informations sensibles. Cette approche pourrait se déployer largement, bien que nous venions tout juste de la lancer.

https://www.vaultys.com/

Cybersécurité