La NSA, référence client pour SAP HANA
Selon l’enquête de l’émission allemande Fakt, l’agence américaine du renseignement a retenu la plateforme In-Memory de SAP pour analyser les données qu’elle collecte. Une jolie référence pour l'éditeur.
Selon l’enquête du magazine Fakt de la chaîne de télévision allemande Das Erste, SAP peut compter sur une nouvelle référence pour sa plateforme analytique HANA : la NSA.
Une demi-surprise. Il n’y a en effet rien d’étonnant à ce que des services collectant en masse des données cherchent à disposer d’outils d’analyse appropriés. Et que les industriels de l’IT soient intéressés à ces marchés ne l’est guère plus.
Le siège de SAP à Walldorf.
Un atelier organisé le 16 septembre 2009, à l’occasion du SAS Forum, apportait déjà un éclairage : il portait sur l’utilisation des solutions SAS et Teradata pour organiser du «mass data processing» et de «l’intelligence analytics» avec celles de Trovicor, spécialiste de l’interception en masse des communications électroniques.
Sur son blog de la région EMEA, Teradata soulignait d’ailleurs, fin avril 2009, que ses solutions sont utilisées conjointement avec celles de SAS par Trovicor, notamment pour permettre des traitements rapides de larges volumes de données, «par exemple pour la détection de fraude ». En fait, les trois groupes avaient noué un partenariat fin 2007.
Au final, il semble tout naturel que de solutions analytiques ultra-performantes s'appuyant sur des données remontées des réseaux de communications électroniques, soient utilisées dans le cadre d'opérations du maintien de l'ordre.
Un vilain secret de polichinel
Mais voilà, ces applications, dans le petit monde du décisionnel, personne ne semble aimer en parler ni se sentir vraiment à l’aise avec elles. Il est difficile d’accéder à un interlocuteur «habilité» à discuter des questions «gouvernementales ».
Un spécialiste du décisionnel, est même allé jusqu’à nous indiquer, lors d’une entretien téléphonique, fin 2009 : «Trovicor, je ne trempe pas là dedans.»
Pour autant, selon lui, ce type de capacité de collecte et d’analyse des données en masse est non seulement possible mais parfois mis en place « avec des partenaires ou des clients, lorsque la législation locale l’autorise. [...] Techniquement, il n’y a pas de limite. [...] Mais l’on ne contrôle pas les usages des gouvernements à posteriori ni leur légitimité ». La célèbre couverture de la « législation locale». Une couverture doublée d’une opacité propre à protéger les intérêts du fournisseur technologique. « Bien souvent, dès que ça devient potentiellement sensible, on n'est pas au courant. Il y a des sas intermédiaires de dialogue et de réflexion sur les briques technologiques qui font que l’on n’a jamais la vision globale ».
Ce qui n’est peut-être pas plus mal, d’un certain point de vue : « les juristes savent très bien que le moindre dérapage peut coûter très cher, notamment en termes d’image ».
La dualité technologique
Pour autant, la dualité des technologiques, en termes d’applications, est évidente. Et largement exploitée par certains.
Et l’édition 2013 du salon ISS World pour la région Moyen-Orient et Afrique, dédié aux « systèmes de support du renseignement pour l’interception légale », qui se déroulait à Dubaï, suffisait à mesurer l’intérêt du sujet : une série entière de sessions était consacrée aux systèmes de support pour « l’analytique Big Data des interceptions et la surveillance des réseaux sociaux. »
Avec des sessions où l’on retrouvait SAS, mais aussi Trovicor, Esri, Gamma Group ou encore le français AMI Software qui, sur son site, soulignait à l’époque son savoir-faire en matière « d’algorithmes prévus pour traiter de très gros volumes de données avec des temps de réponse très bas ». Et si la nature générique de certains outils peut laisser planer le doute, on relèvera avec ironie que SAS présentait à ISS World 2013 sa solution SAS Social Media Analytics comme un outil « opérationnel pour les organisations de sécurité publique » tandis qu’il est référencé, sur son site Web, dans la catégorie « Expérience Client ».
Une véritable stratégie non assumée ?
Le fait pour SAP de fournir sa plateforme analytique In-Memory HANA aux services américains du renseignement serait-il un non-événement ? Pour nos confrères de Fakt, la question ne se limite pas à cela. En particulier, selon Lunis Neumann, porte-parole du Chaos Computer Club, interrogé par le magazine, « SAP a suivi durant plusieurs années une stratégie ciblée pour entrer sur le marché du logiciel de surveillance ».
Contenu Premium
Et dans cette perspective que Die Zeit replace plusieurs acquisitions passées, à commencer par Inxight, en 2007, pour sa technologie de recherche.
Mais il en va également de Sybase : « le plus important client gouvernemental de Sybase est la NSA », affirment nos confrères. Et d’ajouter que l’éditeur allemand a pu compléter ensuite son offre en s’associant à Palantir, en mai 2011, et à Attensity.
Les liens entre ces derniers, Inxight et la communauté du renseignement américain sont aisément soulignés : les trois entreprises ont reçu des financements d’In-Q-Tel. La mission de ce dernier ? « Identifier, adapter, et fournir des solutions technologiques innovantes pour soutenir les missions de la CIA et de la communauté américaine du renseignement ». L’historique des investissements d’In-Q-Tel fait ressortir des noms plus ou moins familiers : Pure Storage, HyTrust, Mocana, Tenable Network Security, Cloudera, FireEye, Veracode, ou encore ArcSight.
Conflit d’intérêt ?
Et pour servir ses clients sur le marché américain du renseignement, SAP a finalement créé une filiale ad hoc, en 2012, SAP National Security Services (NS2).
A la tête de son conseil d’administration, on trouve Frances Fragos Townsend, ancienne assistante de George W. Bush à la sécurité intérieure et au contre-terrorisme. Autour d’elle, H. Lowell Brown, ancien de Northrop Grumman et de Raytheon, ou encore William P. Crowell, ancien de la NSA.
Outre-Rhin, la presse et certains parlementaires s’inquiètent du risque de conflit d’intérêt. De fait, les services allemands du renseignement, le BND prévoient d’investir rien moins que 700 000 € dans le déploiement de SAP HANA, pour le traitement de ses interceptions.
Membre de l’opposition parlementaire, le député vert Konstantin von Notz appelle à plus de contrôle pour l’exportation de technologies allemandes : « ces logiciels peuvent être plus dangereux que des pistolets ; nous avons besoin d’accords internationaux ». Surtout, il s’inquiète, compte tenu des révélations passées sur les pratiques de la NSA, du risque de voir « une vulnérabilité intégrée dans l’architecture de sécurité allemande » qui rendrait celle-ci inutilisable.
Pour l’heure, SAP s’est refusé à formuler des commentaires sur cette nouvelle référence client pour HANA.
