Comment LogPoint et Stormshield veulent tracer leur sillon souverain

À défaut d’avoir un ministre du numérique, l’Hexagone a désormais son ministre de la souveraineté industrielle et numérique. En donnant ce mandat explicite à Bruno Le Maire, également titulaire du poste de l’Économie et des finances, le gouvernement cherche à mettre en scène son action sur la question de la souveraineté numérique sur le devant de la scène. Un vieux débat passionné au pays du Minitel, entre partisans du village gaulois fortifié et promoteurs d’un libre-échange plus ouvert.

Les pouvoirs publics ont lancé, au printemps dernier, leur nouvelle stratégie nationale sur le cloud. Plus récemment, mi-septembre, Bruno Le Maire a tancé les entreprises qui « laissent filer leurs données, leur innovation, leur souveraineté et leur prospérité ». Pour parler de ce sujet, LeMagIT a réuni deux entreprises européennes, LogPoint et Stormshield.

Le premier est l’éditeur danois d’un logiciel de gestion des informations et des événements de sécurité (SIEM), au chiffre d’affaires non communiqué. Le second, filiale du groupe Airbus, qui est spécialisé dans les pare-feu et le chiffrement des postes de travail, a comptabilisé 75 millions d’euros de revenus l’an passé. Ce qui en fait des acteurs qui comptent sur le marché de la cybersécurité, sans toutefois être incontournables.

Si la souveraineté numérique est « une obsession qui doit rester une obsession », selon les mots de Guillaume Poupard, cela ne doit pas empêcher, vient de rappeler le directeur général de l’Anssi, de travailler avec des fournisseurs de technologie tout en conservant « un certain contrôle ». Ce qui passe par la définition de briques critiques. « La criticité d’un logiciel ou d’un service doit s’apprécier à travers une analyse de risque et de son impact sur son environnement », répond Pierre-Yves Hentzen, le PDG de Stormshield.

Pour Stormshield, né en 2013 de la fusion entre Arkoon et Netasq, la souveraineté numérique est devenue un axe fort de l’entreprise il y a cinq ans. « À l’époque, on nous a ri au nez, et même en interne des salariés ont douté », se souvient Pierre-Yves Hentzen. Cinq ans plus tard, le PDG estime que le pari a été gagné.

Selon lui, la croissance de l’entreprise a été plus forte que celle du marché, même si elle est restée inférieure à celle des leaders. Et si les mots ont évolué – le terme d’autonomie est préféré, plutôt qu’une souveraineté synonyme de repli sur soi –, on se félicite d’un sujet qui « descend de plus en plus bas dans les strates de clients », des intégrateurs aux PME.

Le PDG de Stormshield regarde ainsi d’un bon œil le projet de texte annoncé par la Commission européenne. Au-delà des objets connectés, dont l’Europe veut renforcer la sécurité, la réforme va concerner également l’industrie de la cybersécurité. « Les règles c’est bien, les subventions aussi, mais il nous faut d’abord des commandes  », rappelle toutefois Pierre-Yves Hentzen.

Et de citer en exemple la bataille stratégique du cloud, qui n’est pas (encore) perdue : « nous avons des acteurs français sur ce segment, mais ils ont besoin de commandes ». Autre solution : ajouter des briques de souveraineté dans les services, comme le chiffrement dans le cloud pour contrôler le stockage des données.

Au-delà de l’emplacement des données, le patron de Stormshield insiste sur le rôle des industriels de la cybersécurité dans l’équation. « Nos produits permettent de protéger les infrastructures de cloud, ils ajoutent une couche de sécurité et de confiance », résume Pierre-Yves Hentzen.

Il pose en exemple le pare-feu, son domaine d’activité. « Avec deux batteries de pare-feu, l’une américaine, l’autre européenne, cela permet de s’assurer un minimum de souveraineté », assure-t-il. « Ce principe de la double barrière, on le voit de plus en plus dans des entreprises non sensibles. »

Des produits sur lesquels les éditeurs sont désormais parfois en concurrence directe avec les géants de la tech, qui multiplient les achats dans ce domaine, à l’image de Google qui vient de faire l’acquisition de Mandiant. « C’est une offre commerciale dure à contrer et ils ont une capacité de lobbying sans commune mesure. Pourtant, ceux qui excellent dans la cybersécurité sont d’abord des pure-players », observe Pierre-Yves Henzten.

« La ruée vers le cloud a été motivée par une logique économique. Nous réalisons maintenant que cela représente une augmentation du risque et ne doit pas se faire au détriment de la sécurité et de la protection des données ».

Pour Jesper Zerlang, le PDG de Logpoint, l’enjeu majeur est d’abord autour du contrôle de la donnée et de la sécurité du service. « Le principal problème est donc de savoir qui a accès à quelles données. Vous devez rester maître de vos données, et surtout éviter que des acteurs comme Facebook, Google et Apple n’en fassent un usage détourné ».

La question de la souveraineté est donc pour le PDG de Logpoint d’abord à relier avec le sujet du cloud. « La ruée vers le cloud a été motivée par une logique économique », observe Jesper Zerlang. « Nous réalisons maintenant que cela représente une augmentation du risque et ne doit pas se faire au détriment de la sécurité et de la protection des données ».

Et le PDG de Logpoint de citer une affaire qui a fait grand bruit au Danemark. Cet été, l’autorité de régulation a imposé le bannissement des Chromebook des écoles danoises, après la découverte d’entorses au Règlement général sur la protection des données (RGPD), imposant un retour imprévu au papier et au stylo dans l’attente d’une nouvelle solution technologique.

« Nous avons besoin du cloud, car c’est une solution technologique beaucoup plus simple et rapide, mais nous devons créer des solutions axées sur le contrôle de l’emplacement des données : c’est ici que le sujet de la souveraineté numérique entre en jeu », poursuit Jesper Zerlang.

Pour l’éditeur de logiciel, la réponse commerciale à cette problématique consiste à pouvoir laisser le choix à ses clients de la localisation des données. « Nos logiciels doivent pouvoir fonctionner n’importe où », ajoute Jesper Zerlang. « Nous devons être agnostiques au cloud, pour que la solution fonctionne, quelles que soient les conditions posées par le client », poursuit-il. « Logpoint est certifié OTAN : nous avons l’habitude de travailler avec le secteur de la défense et des infrastructures critiques, nous connaissons les enjeux liés à des normes de sécurité très très élevées ».

« La future directive NIS2 va être un bon moyen d’obliger les entreprises à réfléchir à ce qu’elles font en matière de cybersécurité et de protection des données », ajoute Jesper Zerlang. Pour le PDG de Logpoint, l’élévation du niveau réglementaire européen est d’ailleurs une bonne nouvelle pour l’export.

« Quand nous allons aux États-Unis et que nous leur rappelons que nous respectons la réglementation européenne, c’est un énorme avantage sur nos concurrents, car tout le monde reconnaît que l’Europe est au premier rang en termes de protection des données », précise-t-il.