lassedesignen - Fotolia

Cecurity.com choisit l’IaaS d’OBS pour gérer ses coffres-forts numériques

Le groupe franco-belge spécialisé dans l’archivage numérique et la conservation électronique sécurisée a choisi Orange Business Services et son offre IaaS Flexible Engine pour héberger ses solutions. Une migration intimée par de possibles changements réglementaires et la croissance de ses offres SaaS.

Fondé en 2001, le groupe Cecurity. com développe son activité autour l’édition de logiciels d’archivage numérique, de conservation et d’échange de données via des coffres-forts numériques. Il développe également des produits de numérisation de factures et de bulletins de paie. La société franco-belge, présente dans 27 pays, estime que ces logiciels ont permis de créer et de gérer plus de 10 millions de coffres-forts numériques. Ces clients ne sont autres que la Banque de France, BNP Paribas, la Société Générale, Canon, ou encore PSA groupe.

Si Cecurity.com ne gère pas l’ensemble des coffres créés par ses clients, la croissance de son offre SaaS et la complexité de gestion de son infrastructure le poussent à se tourner vers le cloud.

« Si au départ, nous vendions nos logiciels que nos clients installaient sur leurs infrastructures, le fait de devoir les héberger nous-même nous a contraints en matière de sécurité. En huit ans, nos offres SaaS hébergées par nos soins se sont largement développées. Au-delà de la sécurité, il y a la garantie d’intégrité et de pérennité qui ne peuvent plus s’exercer dans des environnements complexes et en évolution perpétuelle », explique Alain Borghesi, PDG de Cecurity.com.

« Nous nous sommes rendu compte que nous ne ferions pas longtemps le poids [face aux évolutions des cybermenaces], surtout que nous travaillons avec des grands comptes. J’ai pris la décision d’aller plus loin dans la qualité de la sécurité et de nos prestations d’hébergements. Nous avons préféré réaliser un appel d’offres : nous avons sollicité Orange et quelques-uns de ses confrères », ajoute-t-il.

« Nous nous sommes rendu compte que nous ne ferions pas longtemps le poids [face aux évolutions des cybermenaces], surtout que nous travaillons avec des grands comptes. »
Alain BorghesiPDG, Cecurity.com

Cecurity.com a finalement retenu Orange Business Services et son offre dite « cloud de confiance ». La solution IaaS Flexible Engine doit permettre l’hébergement de divers services et applications sur une base OpenStack. Flexible Engine est localisée sur les régions cloud « en propre » comme Paris, Amsterdam ou Atlanta.

« Pour des raisons de maîtrise des données, nous avons choisi un partenaire qui pouvait nous apporter ces garanties, pour un hébergement européen pour le moment 100 % français. Nos clients ne veulent absolument pas être soumis à des lois qui ne soient pas européennes » justifie Alain Borghesi.

« Nous apportons les garanties et la protection de nos clients vis-à-vis du CLOUD Act au travers de l’offre Flexible Engine. Les centres de données sont localisés en France et aux Pays-Bas et sont opérés par le personnel Orange. Ce sont nos équipes qui conçoivent Flexible Engine, qui en assurent la sécurisation, l’opération au quotidien, le suivi des alertes de sécurité réalisées au travers nos cyberSOCs avec toute l’expertise d’Orange Cyberdefense », vante Cédric Prévost, Directeur des Solutions Cloud de Confiance au sein d’Orange Business Services.

 « Il s’agit d’une offre innovante qui intègre les services de base à des prix très compétitifs par rapport aux hyperscalers, avec une richesse de catalogue de services évolutive très proche de leurs propositions », renchérit-il.

Soutenir la croissance de Cecurity.com

Afin de réduire les coûts et se détacher de cette complexité de gestion, Cecurity.com va décommissioner ses infrastructures sur site. « C’est simple, tous les coffres-forts numériques que nous gérons chez Cecurity sont en train d’être migrés sur le cloud OBS », affirme le PDG.

Un programme de migration est prévu sur plusieurs mois. Une première phase commencera dès novembre 2020. « Tout doit être terminé à la fin du premier semestre de l’année prochaine. Certaines banques utiliseront toujours nos logiciels sur site, mais celles qui ont souscrit à une offre SaaS seront les premières à migrer les coffres-forts numériques de leurs clients », indique Alain Borghesi.

Par la suite, Cecurity.com compte bien développer son activité en Europe du Nord depuis sa filiale flamande, en Belgique. « Jusqu’alors nous livrions des logiciels à déployer sur site aux clients d’Europe du Nord, mais nous pourrons potentiellement les héberger depuis la région cloud d’OBS d’Amsterdam, au besoin ».

L’accord entre les deux acteurs est également motivé par la popularité de l’offre SaaS, mais aussi par un changement possible dans la législation française.

« Si la loi de finances 2020 est appliquée en France, il y a aura obligation de dématérialiser toutes les factures interentreprises d’ici à 2023. »
Alain BorghesiPDG Cecurity.com

« Si la loi de finances 2020 est appliquée en France, il y a aura obligation de dématérialiser toutes les factures interentreprises d’ici à 2023. Cela représente environ 2 milliards de factures », indique Alain Borghesi.

« Un partenaire comme Orange est bienvenu pour nous aider à gérer et sécuriser ces données personnelles et pour nous assurer un élargissement des capacités quand nos clients étendent ces services à grande échelle ».

Des contraintes techniques importantes

Il fallait que Cecurity.com puisse s’assurer de la compatibilité des composants de ses solutions SaaS avec la nouvelle infrastructure. Par exemple, le logiciel de gestion de coffres-forts numériques repose sur un environnement Linux et une base de données PostgreSQL. Le chiffrement est assuré via « beaucoup de technologies open source », indique le PDG de Cecurity.com. Le produit d’archivage électronique obtenu après le rachat d’une société belge il y a plus de quatre ans réside dans un environnement « full Microsoft tant au niveau du système d’exploitation que des bases de données ». « Nous avons pu trouver les possibilités d’héberger ces environnements sur l’IaaS d’Orange », explique Alain Borghesi.

Les contraintes réglementaires fortes et l’ensemble des certifications que Cecurity.com s’engage à respecter influencent les choix techniques. L’éditeur entend respecter les agréments, les certifications et les labels du SIAF (Service Interministériel des Archives de France), de l’AFNOR, de l’ANSSI, du FNTC et de l’ACN. En clair, il doit assurer des garanties de pérennité, d’intégrité, de sécurité d’interopérabilité et de confidentialité.

« En matière de coffre-fort numérique, il y a une loi et deux décrets qui décrivent ce que doit être un tel service. D’ailleurs, nous attendons de la part de l’ANSSI un référentiel de certification volontaire qui devrait être publié d’ici à la fin de l’année. Nous sommes obligés de gérer les clés de chiffrement depuis des HSM qualifiés », précise Alain Borghesi.

« Nous sommes obligés de gérer les clés de chiffrement depuis des HSM qualifiés. »
Alain BorghesiPDG, Cecurity.com

En l’occurrence, un seul HSM (Hardware Security Module, ou module matériel de sécurité en bon français) est certifié EAL4+ et ANSSI QR par l’autorité : le Trustway Proteccio NetHSM de Bull Atos. Pour d’autres clients, chez qui les obligations réglementaires sont moins fortes, Cecurity.com utilise du matériel SafeNet (fabricant appartenant à Gemalto et donc Thalès).

« Il n’y a pas si souvent des questions sur le choix d’un HSM spécifique, Flexible Engine propose un KMS basé sur un HSM qui n’est pas certifié, mais nous sommes avec un cas d’usage qui nécessite d’aller un cran plus loin et nous pouvons le faire », assure Cédric Prévost.

Des normes qui justifient le choix d’un acteur français

L’offre de coffre-fort numérique de Cecurity.com respecte la norme NF Z42-020, tandis que la solution d’archivage respecte la norme NF Z42-013. Cette dernière (récemment mise à jour) a pour ambition de définir les éléments qui régissent un système d’archivage électronique (définition d’une politique, format, intégrité, création et archivage de logs, description technique, gestion des migrations, réversibilité, et auditabilité). Pour autant, rien n’oblige l’éditeur à s’appuyer sur les services d’un fournisseur français. Il a en revanche l’obligation d’utiliser les solutions d’une entreprise européenne.

« Aujourd’hui, si vous voulez archiver des données publiques, vous devez être agréé par le service interministériel des archives de France. Nous venons d’obtenir cet agrément. Auparavant, il était obligatoire de stocker les informations archivées en France. Aujourd’hui ce périmètre a été élargi à l’Europe, mais je sais que d’héberger les données en France avec un fournisseur français est apprécié, très apprécié », constate Alain Borghesi.

« La norme NF Z42-020 décrit un composant coffre-fort numérique, qui n’a comme ambition que de garantir l’intégrité. Le législateur et l’ANSSI sont allés beaucoup plus loin : ils ont ajouté la dimension confidentialité et donc le chiffrement et la réversibilité », indique le PDG de Cecurity.com, expert de ces sujets.

En soi, un éditeur comme le groupe franco-belge peut utiliser les services de gestion de clés de chiffrement d’un fournisseur de cloud américain. « Avec le chiffrement lié à une offre de coffre-fort numérique, vous pouvez vous autoriser beaucoup de choses et utiliser des infrastructures plus “exotiques”. Mais il y a un problème de droit : si vous êtes obligés de déchiffrer, il faut garder cette possibilité selon le contexte juridique dans lequel vous évoluez », remarque le dirigeant.

Et le droit français oblige les fournisseurs à maintenir cette réversibilité dans certains cas (dans le cadre d’une enquête judiciaire par exemple), alors que le droit américain est beaucoup plus flou et complexe à ce sujet. « Ce n’est pas interdit. Je ne dis pas que la partie est perdue d’avance, et notamment pour des acteurs de poids comme Orange, mais pour des acteurs européens comme Cecurity.com notre ambition est de travailler avec des acteurs européens et de leur garantir la complète maîtrise de leurs données », assure le dirigeant de Cecurity.com.

Malgré toutes les précautions évoquées par Cecurity.com et OBS, personne n’est véritablement à l’abri d’une cyberattaque qui compromettrait des données personnelles ou toute autre information d’une entreprise. OBS le sait bien, il en a fait l’expérience l’été dernier.

Pour approfondir sur Gestion des accès (MFA, FIDO, SSO, SAML, IDaaS, CIAM)

Close