Mardi 20 juin 2023, SMART MORNING SOUMIER reçoit François Coupez (Avocat à la cour et Fondateur, Level Up Legal) et Laurent Soubrevilla (Fondateur, Crowd Sec)
Category
🗞
NewsTranscription
00:00 Salut à tous, on est de retour pour parler droit digital, conformité, numérique, protection des données, cybersécurité.
00:19 Alors ce terme de cybersécurité, tiens je vais démarrer avec ça, François Coupez, fondateur du cabinet d'avocats Level Up Legal, avec Laurent Soubrévilla.
00:34 Salut Laurent. Bonjour.
00:36 On va aller assez vite raconter ce que fait CrowdSec, le Waze de la cybersécurité. Pour moi la cybersécurité c'est les gars qui sont derrière les ordi et qui arrêtent les virus.
00:50 Tout à fait. Mais c'est pas seulement ça, c'est aussi un aspect légal alors.
00:56 Exactement, qui est assez important à l'heure actuelle parce qu'il y a un grand nombre de directives, de textes européens, de lois françaises qui ont été adoptées ces dernières années, ou tout récemment.
01:06 Encore la LPM version 3, la loi de programmation militaire, encore en discussion la semaine dernière, tournait autour de ces sujets-là notamment,
01:13 sur tout ce qui est conformité réglementaire en matière de droit de la cybersécurité, c'est-à-dire quel est le niveau que l'on va imposer en termes de cybersécurité aux entreprises,
01:22 quel est le niveau de protection que l'on va attendre des entreprises en matière de conformité, en matière de protection des données à caractère personnel.
01:29 Est-ce qu'on peut dire un mot de ça ? Ensuite on va prendre le temps de raconter ce que tu fais avec CrowdSec, mais ça c'est un sujet qui me passionne.
01:35 Je parle sous ton contrôle, les assureurs sont en train petit à petit de se dégager de ce truc de cybersécurité, parce que justement ils n'arrivent pas à évaluer l'intensité du risque.
01:45 Ils augmentent très fortement leurs primes, effectivement.
01:48 Ils augmentent très fortement leurs primes, sauf qu'ils servaient un petit peu de benchmark.
01:53 L'entreprise qui elle-même, c'est quoi le bon niveau de protection, est-ce qu'il faut que je dépense quoi, 10, 15, 20% de mon chiffre d'affaires, j'en sais rien.
02:01 L'assureur en fait arrivait et fixait une sorte de prérequis.
02:06 C'était une bonne référence.
02:08 S'ils disparaissent, c'est quoi la référence ?
02:11 D'abord, il y a un certain nombre de textes qui imposent des obligations minimales pour un certain nombre d'acteurs, que ce soit des acteurs très importants,
02:19 ce qu'on appelle les opérateurs d'importance vitale.
02:21 C'est en gros les plus gros acteurs opérant sur chacun des domaines d'activité.
02:25 On est d'accord.
02:26 Fournisseurs d'eau, d'énergie, etc.
02:28 Mais parlons des boîtes du quotidien.
02:30 Les boîtes du quotidien, en fait, la réglementation maintenant, notamment au niveau européen, on va parler de NIS 1, NIS 2, des directives qui à chaque fois vont imposer à un plus grand nombre d'opérateurs,
02:40 et donc à des tailles de plus en plus réduites, y compris des toutes petites PME, des obligations en matière de cybersécurité.
02:47 Parce qu'on ne va plus parler uniquement de la première division, les acteurs, les OIV, les têtes de gondole, qui véritablement s'il y a un problème ont un impact sur la France entière.
02:55 Mais on va plutôt parler des acteurs régionaux ou dans des secteurs d'activité beaucoup plus restreints, qui eux aussi vont être visés par ces textes, sans parler du RGPD d'ailleurs.
03:03 Et qui sont parfois les portes d'entrée vers les plus grands groupes.
03:06 – Alors, il y a aussi autre chose, ce sont les sous-traitants qui eux peuvent, par exemple un fournisseur de climatisation,
03:12 il y a eu un cas célèbre avec un fournisseur de climatisation qui a été piraté, et qui a servi par le piratage qui s'est réalisé,
03:19 deux portes d'entrée, c'est-à-dire qui sont passées par le liaison qu'il avait dans l'extranet avec le gros groupe, et j'en finis par pirater le gros groupe.
03:26 Donc il y a un gros contrôle des sous-traitants et des prestataires.
03:29 – J'ai en tête un chiffre qui vient en partie des assureurs, 10% du chiffre d'affaires.
03:33 – Oui alors après… – Mais ça ne veut rien dire en fait.
03:36 – Non, parce que ça dépend vraiment des secteurs, ça dépend du risque.
03:38 L'analyse du risque, l'évaluation du risque est extrêmement importante sur ce type de sujet,
03:42 indépendamment des obligations réglementaires particulières qui peuvent s'imposer.
03:46 Mais par exemple le RGPD nous indique qu'il faut, ce que disait la loi française depuis 1978,
03:52 donc ce n'est pas une nouveauté, ça fait 45 ans qu'on sait qu'il faut assurer la protection des données à caractère personnel,
03:58 et qu'on fait une analyse de risque en fonction de la sensibilité des données,
04:02 pour voir quel niveau de sécurité on met en œuvre.
04:04 Et c'est sur ça que le cabinet intervient particulièrement, pour aider des très grandes entreprises,
04:10 c'est à peu près 75% de notre clientèle, les CAC 40 et institutionnelles,
04:15 et puis également les start-up qui cette fois-ci ont un business plan qui est tourné autour de la conformité,
04:21 ou au contraire ont le cœur de leur activité qui dépend de la conformité même,
04:26 savoir est-ce que c'est possible de faire ce qu'ils font,
04:28 et que l'on accompagne au mieux justement pour faire de la conformité un outil business,
04:33 montrer qu'on peut avoir de la valeur ajoutée à être en conformité,
04:36 à apporter des preuves de cybersécurité,
04:39 notamment parce que la loi française, encore une fois, vient de nous dire qu'il y a un cyberscore,
04:43 de la même façon qu'il y a un uTri-score, il va y avoir un cyberscore du niveau de sécurité et de conformité,
04:48 et bien l'idée c'est de pouvoir montrer le niveau de conformité et assurer la confiance des utilisateurs.
04:55 Alors, justement CrowdSec, comment est-ce qu'il intervient dans tout ce qu'on vient de raconter et tout ce qu'on vient de décrire, Laurent ?
05:02 Ecoutez, moi en tant que CEO de l'entreprise, l'idée, la vision, ça ne fait pas tout.
05:11 Donc il faut se concentrer sur l'exécution, en tout cas c'est mon rôle,
05:15 et dans l'exécution, on a la partie technique qui précède la partie marketing.
05:20 Non, mais d'abord, tu me racontes ce que tu fais, CrowdSec, parce que le Waze de la cybersécurité,
05:25 j'adore ces trucs-là, je pensais qu'on avait arrêté un petit peu, le Waze de ceux-ci, le Google de ceux-là.
05:31 C'est tellement vrai.
05:32 C'est tellement vrai ? Pourquoi c'est tellement vrai ?
05:34 Ecoutez, on développe un outil qui est open source, gratuit et collaboratif.
05:39 Donc l'idée, c'est de proposer une solution logicielle que les gens installent sur des machines qui sont exposées sur Internet,
05:46 et qui vont bloquer des cybermenaces, et qui vont remonter ces signaux chez nous,
05:53 et nous on va les redistribuer à l'ensemble des membres de la communauté.
05:56 D'accord.
05:57 Donc l'idée, c'est d'être plus nombreux que les hackers, plus rapide qu'eux,
06:00 et de proposer par la force de la communauté une réponse aux attaques.
06:06 Je veux comprendre, tu es plugé sur les grands logiciels de cybersécurité, c'est ça le truc ?
06:13 Non, c'est notre propre solution.
06:15 Votre propre solution.
06:16 On a développé une solution open source, encore une fois, donc complètement transparente.
06:20 Vous pouvez la télécharger sur GitHub, regardez ce qu'il y a dedans, il n'y a rien de caché.
06:23 Vous l'installez.
06:24 Gratuite ?
06:25 Gratuite.
06:26 Et vous êtes protégé.
06:27 Gratuite parce que ton business, tu vas le faire avec l'ensemble des remontées des utilisateurs.
06:34 Exactement.
06:35 Ce qu'on construit, c'est un asset technologique.
06:36 C'est-à-dire que toutes les informations qu'on va remonter, les millions d'adresses IP qu'on a déjà collectées,
06:41 elles permettent de filtrer, en fait, celles qui sont malveillantes et garantir à nos utilisateurs
06:50 qu'ils seront protégés en évitant de faire rentrer telle ou telle personne qui est cachée derrière cette adresse IP.
06:58 Je vais te dire Laurent, pardon, on est là en toute franchise, si c'est gratuit, moi je vais me méfier.
07:05 Ça a été, c'est quoi, il y a 10 ans, les premiers antivirus, etc.
07:10 C'est vrai, je me souviens, à Davast, quand ça démarrait, tu avais des formules gratuites et à un moment tu te disais,
07:15 non mais c'est trop important, c'est trop sérieux, il faut que je paie pour ça en fait.
07:19 Oui, mais on a des plans qui sont payants mais qui s'adressent plus à des entreprises qui vont intégrer ça dans leur suite
07:26 et qui vont s'abonner à des flux de données chez nous.
07:29 Et c'est ces flux-là qu'ils vont acheter.
07:31 C'est ça qui a de la valeur chez nous.
07:32 On a non seulement cet asset qu'on construit pour nous et c'est ça qui vaudra,
07:36 enfin qui fera que la société vaudra très cher, mais on a également un flux récurrent.
07:41 Mais, attends, pourquoi qu'il vaudra très cher ? Parce que la menace aussitôt détectée, elle disparaît et ils en fabriquent une autre ?
07:47 Oui, c'est le principe, c'est qu'ils switchent très rapidement, c'est comme un oignon qu'on pèle, on va retirer les couches.
07:53 Néanmoins, il y en a beaucoup qui ne vont pas faire ça et qui vont garder l'adresse IP.
07:59 Et de toute façon, cette adresse IP, il faut la bloquer.
08:02 C'est-à-dire qu'à partir du moment où on l'a détectée et qu'on l'a qualifiée comme malveillante,
08:06 tous les autres personnes dans le monde qui la voient arriver, ils savent qu'ils peuvent d'ores et déjà la bloquer.
08:12 Et lorsque le hacker va se rendre compte qu'il est bloqué, il se sera passé un certain nombre de temps,
08:16 il va rechanger et il va se refaire bloquer.
08:19 Et on va continuer comme ça.
08:20 Mais comme on est plus nombreux qu'eux, on les aura à l'usure.
08:24 – Vous vous êtes associés, c'est ça ? – Non.
08:28 – C'est quoi un peu le rapport entre vous deux, justement ?
08:31 – On s'est rencontrés parce que François était un expert dans ce domaine-là, très rapidement en discutant.
08:39 Et dès la genèse de notre aventure, on s'est rendu compte de la valeur ajoutée qu'il pouvait apporter.
08:45 C'est pour ça que je disais tout à l'heure que l'exécution, c'est super important.
08:48 Il y a la partie tech, il y a le parti marketing, mais il y a la partie légale.
08:51 Et intégrer la conformité sur le droit des données personnelles, c'était vraiment au cœur de notre projet.
08:56 Et c'est ce qui a permis que les choses fonctionnent comme on le souhaite,
08:59 qu'on ait une belle traction, qu'on fasse deux énormes levées de fonds, enfin bref.
09:03 – Mais il faut m'expliquer ce que tu as fait, parce que je ne comprends pas ce que tu as fait dans l'histoire.
09:07 – Le traitement des données à caractère personnel, c'est-à-dire les adresses IP,
09:10 est au cœur de la possibilité d'action de l'algorithme et des solutions mis en place au niveau de Crote-Sec.
09:17 Et nous, on est intervenu notamment pour les accompagner et pour les aider à bâtir leur conformité.
09:24 – Parce que l'adresse IP, c'est une donnée personnelle, donc il faut faire attention à ça.
09:28 – Oui, mais c'est une donnée personnelle, en l'occurrence celle que tu vas détecter et qui va me pirater.
09:33 C'est une donnée personnelle qui s'impose à moi, enfin c'est pas…
09:37 – Il y a un vrai sujet en termes de conformité qu'on a…
09:42 voilà, je pense qu'on peut dire beaucoup travaillé.
09:45 – Attends, il y a un truc qui me traverse l'esprit, un gars braque une banque,
09:50 il est détecté par un système de vidéosurveillance,
09:52 sauf que tu n'avais pas le droit de mettre le système de vidéosurveillance,
09:55 tu ne veux pas le poursuivre ? C'est un peu ça l'idée ?
09:58 – Alors là c'est caricaturé.
10:00 – Oui, mais parce que je cherche à incarner ça en fait.
10:03 – Effectivement, il se pose des problèmes que Crote-Sec a parfaitement mis en avant
10:08 dans ses documents et sur son site, c'est pour ça que je peux en parler.
10:12 C'est notamment le fait que, par exemple, dans les adresses IP
10:15 qui peuvent être remontées comme étant malveillantes,
10:17 il est possible qu'il y ait des IP qui ne le soient plus au bout d'un certain temps.
10:21 Et donc il va falloir communiquer autour de la communauté,
10:24 prévoir des mécanismes, ce qu'a pu prévoir Crote-Sec dans les différents documents
10:28 et dans toute la communication de Crote-Sec, pour encadrer ce cas-là
10:32 et faire en sorte que le traitement soit licite,
10:34 respectueux des droits et libertés des uns et des autres.
10:36 – Oui, parce que Laurent, il y a des dispositifs d'appel dans ton système,
10:40 si effectivement tu génères un faux positif.
10:44 – Alors, on a un algorithme qui permet d'éviter les faux positifs,
10:47 et on a une base de données qui, grâce à cet algorithme de consensus,
10:50 garantit que tout ce qu'il y a dedans,
10:52 ce sont des adresses qui sont authentiquement malveillantes.
10:54 Néanmoins, comme le disait François, et merci,
10:57 parce que c'est grâce à lui qu'on a pu élaborer tous ces mécanismes,
11:00 une adresse IP, elle peut redevenir "gentille"
11:03 et dans ce cas, il faut permettre aux utilisateurs de qualifier ça,
11:08 de communiquer avec nous, donc on a mis en place
11:11 tous les mécanismes qui vont bien, qui permettent de le faire.
11:13 – Typiquement, ça pouvait être un serveur qui était piraté,
11:16 et donc les pirates en avaient pris le contrôle, avaient l'adresse IP,
11:18 elle devient malveillante, et puis finalement,
11:21 l'administrateur système intervient, nettoie son système,
11:24 l'adresse IP redevient parfaitement légitime.
11:26 – Parfait, parce que j'avais du mal à conceptualiser l'adresse IP malveillante
11:31 qui devenait à nouveau licite.
11:34 – Bon, c'est rapidement, les ambitions c'est quoi ?
11:37 Parce que tu dis, belle valorisation, levée de fonds, etc.
11:40 Aujourd'hui, tu opères sur quelle zone géographique ?
11:43 – On est dans 184 pays différents, donc on est vraiment très diversifiés,
11:48 on a 200 000 installations au travers du monde,
11:51 la boîte a 3 ans, on a levé un peu plus de 14 millions d'euros,
11:54 on est sur un bon trend, et on vise la licorne, pour faire simple.
11:59 – Mais ça, c'est des infos qui intéressent,
12:04 justement, je parlais des gros éditeurs de logiciels, antipirates, etc.
12:09 On ne va pas les citer, mais tout le monde les connaît sur le marché.
12:13 L'idée, c'est de leur vendre une partie de ton catalogue ?
12:17 – Déjà, on va vendre nos propres solutions par nous-mêmes,
12:21 par la force marketing commerciale classique, des réseaux de partenariats,
12:25 mais l'objectif, oui, à terme, c'est de se rapprocher d'un major.
12:30 – Voilà, c'est ça.
12:31 – Évidemment.
12:32 – On a tout dit ? Formidable.
12:35 – Peut-être un petit mot de conclusion sur…
12:37 – Rapide, mais rapide, rapide.
12:38 – Sur LevelUp, un cabinet d'avocats, on a été cette année nommé
12:42 équipe montante de l'année en droit de la cybersécurité,
12:46 en protection des données, et donc on continue à aider d'autres entreprises,
12:50 d'autres start-ups, mais également des grands groupes,
12:52 sur leur conformité en matière de protection des données,
12:55 pour montrer que la conformité, c'est un atout, ça permet d'ouvrir des portes,
12:59 et ça permet aussi de valoriser leur détour de table.
13:02 – C'est un trophée qui existe, ça, chez les avocats, équipe montante.
13:05 – Tout à fait, c'est quand une équipe n'est pas encore de taille…
13:08 – Mais qu'elle est montante, comme son nom l'indique.
13:10 – Mais qu'on a des très belles références, des très beaux sujets.
13:13 – Bon, François Coupez, donc, LevelUp, Légal, Laurent Soubré,
13:18 Villa, CrowdSec, qui nous accompagnaient.
13:21 [Musique]