Mardi 12 novembre 2024, SMART TECH reçoit Guillaume Poupard (directeur général adjoint, Docaposte)
Category
🗞
NewsTranscription
00:00Le grand invité de Smartech aujourd'hui s'appelle Guillaume Poupard.
00:09Bonjour Guillaume.
00:10Bonjour.
00:11Vous êtes le directeur général adjoint de Docapost, filiale numérique du groupe Laposte
00:14qui a l'ambition de devenir ce grand référent sur les services de confiance et de sécurité numérique en France, en Europe.
00:21Et puis vous êtes aussi l'ancien directeur général de l'ANSI, l'Agence Nationale de Sécurité des Systèmes d'Information.
00:27Alors donc vous êtes à ce titre pour moi aussi le maître d'œuvre du Sectnum Cloud,
00:32ce qui doit apporter pour le coup la confiance dans le domaine du cloud.
00:37Confiance qui repose sur des critères notamment de souveraineté, de maîtrise technologique au niveau national.
00:43Et ces critères ne sont pas forcément tous repris dans la version européenne.
00:48Vous avez dénoncé une certification européenne pour ces services cloud qui s'appelle l'EUCS pour faire court,
00:55porteuse de vassalité numérique.
00:58Vous avez annoncé des jours plus sombres pour l'Europe numérique.
01:01Est-ce que c'est toujours aujourd'hui votre point de vue Guillaume ?
01:04Les mots sont forts mais en même temps les enjeux le sont également.
01:08On a absolument besoin pour des usages qui nécessitent vraiment une protection maximale des données et des process.
01:14Je ne parle pas pour tout, surtout pas.
01:16Mais pour des données très sensibles, on pourrait dire des données de santé, des données bancaires, des choses comme ça.
01:20On a besoin d'avoir de vraies assurances sur le niveau de sécurité de ces données.
01:24Et ce niveau d'assurance, ça veut dire qu'il faut de la sécurité technique.
01:27Notamment dans le cloud, il faut que ce soit bien fait à tout point de vue, au niveau technique, au niveau opérationnel, mais également au niveau juridique.
01:33Et les offres américaines, elles ont plein de vertus, mais d'un point de vue juridique, et ça n'a rien à voir avec l'élection américaine.
01:39C'est vraiment comme ça que fonctionne les Etats-Unis.
01:41Le droit américain est très intrusif, ce qui fait que si vos données sont stockées sur un cloud américain, il y a des tas de gens qui peuvent y accéder.
01:48Et ça, peut-être que ce n'est pas grave dans 90% des cas, mais les 10% restants, il faut être capable de faire autrement.
01:54Et pour être capable d'attester le niveau de sécurité, il faut des labels.
01:58En tant que client, je ne sais pas vérifier si un tel ou un tel est soumis ou pas aux droits américains, s'il fait bien ou pas la sécurité.
02:04Ce qu'il faut, c'est des labels.
02:05C'est contractuel. On peut le contractualiser.
02:08Déjà, il faut les lire, les contrats, il faut les comprendre.
02:11Et puis souvent, on les subit, les contrats, dans le domaine du cloud, parce qu'il y a une disproportion entre la taille des clients et la taille des offreurs.
02:18Donc, il faut des labels.
02:20SecondCloud, c'est un label français qui visait justement à dire qu'on veut le meilleur niveau de sécurité technique, opérationnelle et juridique.
02:26IUCS, c'est une démarche de certification européenne que la France pousse depuis le départ.
02:31On est pour. Il ne faudrait pas que mes mots soient mal interprétés.
02:34Mais on considère qu'il y a différents niveaux de sécurité.
02:37Et au niveau le plus élevé, il faut que la sécurité juridique soit intégrée.
02:41Certains parlent de critères de souveraineté.
02:43Je parle plutôt de critères de sécurité juridique.
02:46L'idée étant que des données dans un cloud au plus haut niveau doivent être protégées au sens où seul le droit européen doit pouvoir s'appliquer.
02:52Est-ce que ça veut dire que ça menace finalement la survie ou l'utilité même du SecondCloud si l'IUCS est adopté tel qu'il est aujourd'hui ?
03:02C'est un débat.
03:03La priorité reste au fait de pouvoir disposer d'un niveau de certification de niveau élevé, IUCS+, qu'on appelle comme on veut, qui intègre la sécurité juridique.
03:13Si ce n'est pas le cas, malheureusement, si l'Europe n'arrive pas à se mettre d'accord là-dessus.
03:16Et on ne sait pas. Je ne veux pas anticiper sur l'issue parce que ce n'est pas du tout joué.
03:19Et peut-être que l'élection américaine, d'ailleurs.
03:22Alors, moi, j'ai un autre regard là-dessus, mais on va en parler tout de suite.
03:24Je ne sais pas. Je ne sais pas.
03:26Ça va avoir un impact, mais dans quel sens, je ne sais même pas dire.
03:28Donc, vous voyez, c'est compliqué.
03:30Mais de fait, si jamais il n'y a pas ce niveau de protection maximale à l'échelle européenne, est-ce que l'on garde ou pas certaines cloud en France ?
03:37Ce n'est pas une bonne nouvelle.
03:38Sachant que ça représente des investissements colossaux.
03:40Moi, j'ai reçu pas mal d'entreprises, d'opérateurs de cloud français qui m'ont parlé de deux ans d'investissement.
03:47Enfin, c'est beaucoup de temps, beaucoup d'argent, beaucoup de compétences.
03:50Oui, ça représente des millions peut-être pour certains.
03:52Là où l'investissement dans le cloud côté américain, il compte en milliards.
03:55Donc, c'est pour relativiser ça.
03:57C'est vraiment un sujet qui est très complexe.
03:58Mais de fait, si jamais UCS n'atteint pas le niveau de sécurité que l'on souhaite, est-ce que l'on garde ou pas certaines cloud ?
04:04C'est un débat que je ne vais pas faire ici.
04:05Je n'en ai pas le pouvoir.
04:06Ce que prévoit le droit européen de manière très légitime, c'est que quand il y a un schéma de certification européen comparable à un schéma national,
04:13le schéma national doit disparaître parce qu'autrement, ça ne sert à rien de faire des trucs au niveau européen.
04:16Si maintenant, il n'est pas du même niveau, pourquoi le faire disparaître ?
04:20Mais j'insiste sur le fait que ce n'est pas une bonne nouvelle parce que ça veut dire qu'on va continuer à faire des choses en franco-français
04:25avec un périmètre qui n'est pas le périmètre européen.
04:28Ça a moins de sens économique.
04:29Ce sera plus compliqué pour les acteurs industriels de faire ça.
04:32Ce sera moins rentable, soyez en clair.
04:34Donc, c'est un peu dommage.
04:35Il faut continuer à se bagarrer sur ce critère.
04:39Alors, là où moi, je suis peut-être un petit peu moins optimiste, c'est que j'ai lu la petite déclaration d'Ursula von der Leyen
04:46quand elle a appris la victoire de Donald Trump.
04:49Elle a rappelé que l'Union européenne et les Etats-Unis sont plus que de simples alliés.
04:53Elle demande à ce qu'on travaille ensemble sur un programme transatlantique fort.
04:56On se dit que là, elle essaie plutôt de resserrer les rangs entre l'Europe et les Etats-Unis.
05:00Ce n'est pas votre interprétation ?
05:03Mon interprétation, c'est que ce sont des alliés très forts.
05:06On a absolument besoin des Américains.
05:08Je ne veux pas sortir de mon champ, mais dans le secteur de la défense, dans plein de domaines, on a besoin de cette entente avec les Américains.
05:16Et pour autant, être allié, ça ne veut pas forcément dire être vassal.
05:21C'est là où il y a un véritable équilibre à trouver.
05:24Ce qui est important, et l'Europe en a conscience, je n'ai aucun doute là-dessus,
05:28c'est de bien comprendre que le sujet de la donnée, le sujet du numérique, c'est un sujet de pouvoir également.
05:33C'est un sujet de force.
05:35Si l'Europe se dit qu'elle va plutôt privilégier l'énergie, la défense, l'automobile, le champagne,
05:46en se disant que ce numérique, c'est un peu flou, ce serait une très grosse erreur.
05:51Ce n'est pas parce que c'est potentiellement plus compliqué d'accès, notamment pour des acteurs politiques, qu'il faut le déprioriser, ces questions numériques.
05:57Je pense qu'au contraire, la puissance de demain s'appuiera énormément sur la capacité à être autonome dans le domaine du numérique.
06:03Est-ce qu'on a des offres cloud françaises, même européennes, du niveau ?
06:07Oui, la réponse est oui.
06:09Elle n'a pas toujours été oui, quand même.
06:11La réponse est oui, et je vais nuancer derrière.
06:14Aujourd'hui, les utilisateurs du cloud, les clients, qui sont dans une logique de « je choisis un prestataire, je lui file tout et je fais ça pendant dix ans »,
06:24ces gens-là, ils déchantent.
06:26Pour des raisons évidentes, c'est qu'il y a une relation disproportionnée qui s'installe.
06:29Et si vous faites ça, comme par hasard, tous les trois ans, vous avez une augmentation de la facture qui est monstrueuse.
06:33Et quelles que soient les bonnes intentions et les bons discours, c'est impossible à empêcher.
06:36Donc, pour des raisons financières, pas des questions de sécurité ou de souveraineté,
06:40pour des questions financières, il faut aujourd'hui avoir une stratégie multicloud.
06:43Il faut prendre plusieurs fournisseurs, et puis il faut faire jouer la concurrence.
06:46Et donc, les clients, publics ou privés d'ailleurs, mais c'est très vrai dans le privé,
06:50ils sont condamnés, quelque part, à devoir gérer plusieurs prestataires.
06:53Et quitte à gérer plusieurs prestataires, autant ajouter des clouders français, européens,
06:58et dans ces clouds-là, mettre les données qui sont particulièrement sensibles.
07:02Donc, la stratégie qu'on qualifie d'hybride, parfois, elle est obligatoire aujourd'hui pour des raisons financières.
07:06Profitons-en pour en faire une stratégie de sécurité également.
07:09Vous dites ça parce qu'il y a NumSpot dans le scope d'Okapost aujourd'hui.
07:14Il y a NumSpot, il y a Outscale, il y a OVHcloud, il y a Scaleway, il y a CloudTemple.
07:18Je peux vous en citer pas mal.
07:19Il y a 10 ans, j'aurais pas dit ça parce que ça aurait été plus compliqué, objectivement.
07:22Aujourd'hui, il y a de vraies offres qui sont des offres de qualité, qui sont des offres différentes, complémentaires.
07:27Ce ne sont pas des offres qui ont pour vocation de virer les hyperscalers.
07:30Ce serait complètement absurde, et ce serait même dangereux d'un point de vue économique, probablement.
07:34Mais dans une logique de complémentarité, ça demande un petit effort d'architecture,
07:38mais ça se fait très, très bien.
07:39Dans une logique de complémentarité, mes données financières, je vais aller les mettre sur NumSpot.
07:45Mes données de santé, je vais aller les mettre sur NumSpot, ou sur d'autres.
07:48Mais évidemment, j'ai un petit biais pour NumSpot.
07:50Par contre, il y a d'autres sujets, je vais aller les mettre sur mon cloud, Azure, Amazon, Google.
07:56Ce n'est pas grave.
07:57Ce qu'il faut, c'est assumer une vraie stratégie, avoir une vraie stratégie,
08:00et se remettre en position de maîtriser les choses.
08:02Et si on fait ça, objectivement, tout le monde est content.
08:04C'est une petite partie dont on parle.
08:06C'est quoi ? C'est 5 %, c'est 10 %, peut-être.
08:08C'est des grosses miettes, mais enfin, ça reste des miettes.
08:10Mais je pense que notre sécurité, elle est à ce prix-là.
08:14Mais vous avez évoqué, par exemple, les données de santé,
08:16en disant que c'était des données stratégiques, sensibles, qu'on doit savoir bien protéger.
08:21Aujourd'hui, le Health Data Hub reste encore sous un cloud américain.
08:27Et à l'époque, vous disiez, je crois que vous en parliez très clairement,
08:31on n'a pas d'offre équivalente aujourd'hui.
08:33Aujourd'hui, on n'est pas capable de répondre à cette demande.
08:36Et aujourd'hui, on le serait.
08:38Oui, il y a des études qui ont été faites, encore récemment, par des services de l'État,
08:41des gens qui sont allés voir dans le détail,
08:43qui disent, bon, il y a encore des petits trucs à développer,
08:46mais c'est les derniers mètres à faire, qui ont été faits depuis, très probablement.
08:52Et pourtant, le dossier a été révisé et il n'y a pas eu de nouvelle décision prise.
08:56Oui, alors c'est intéressant à lire dans le détail.
08:58La CNIL, il mérite d'être lu.
09:00C'est assez étonnant de voir, c'est rare de voir une autorisation avec aussi peu d'entrain.
09:06Mais parce que c'est très bien justifié derrière, c'est très bien expliqué.
09:09Je pense qu'à un moment, il faut vraiment se dire,
09:11OK, est-ce qu'on est prêt ou pas à faire ce portage ?
09:15La vraie question qui est derrière, ce n'est pas tant le portage,
09:17c'est que c'est une arnaque aujourd'hui, la portabilité d'un cloud à l'autre.
09:21Porter un système comme le Health Data Hub, ça revient à le redévelopper.
09:24Et évidemment, je comprends, surtout dans le contexte budgétaire actuel,
09:27je comprends qu'il y a une certaine réticence à redévelopper des choses,
09:30alors que ça fonctionne au moins en théorie aujourd'hui.
09:33Je ne pense pas dire que c'est nécessaire.
09:35Et puis on n'a pas besoin du label Secnum Cloud pour héberger les données de santé aujourd'hui.
09:38Non, mais c'est quand même une bonne pratique.
09:39Parce que, oui.
09:41À terme, ce sera une bonne pratique.
09:42C'est vrai qu'il y a un autre référentiel, je ne vais pas rentrer en détail.
09:45Chez Numspot, en tout cas, on milite pour ne plus faire que du HDS,
09:49justement de l'hébergement de données de santé,
09:52mais vraiment imposer un label Secnum Cloud.
09:55Il y a les deux, mais on pense que le label chapeau,
09:58il est dur à atteindre, je ne vais pas dire le contraire,
10:01mais une fois qu'on l'a atteint, il coûte un peu plus cher à faire tourner, mais pas tant que ça.
10:05Donc autant harmoniser par le haut,
10:08ce qui vraiment fait sens une fois que les solutions sont prêtes.
10:11Les données de santé iraient très bien là-dedans.
10:13Les données de l'éducation, par exemple, c'est un autre exemple.
10:15Est-ce que ce sont des données sensibles, les données de l'éducation ?
10:17Nous, on pense que oui.
10:18Alors, je suis jugé parti parce qu'on a Pronote chez nous.
10:21Pronote, beaucoup de gens connaissent.
10:23Les données qu'il y a dans Pronote,
10:24quand on est parent, on voit la sensibilité de ces données.
10:27C'est quand même très personnel, c'est très intime ce qu'il y a dans Pronote.
10:31Nous, comme on opère Pronote, on s'est dit,
10:34on ne va pas aller mettre ça sur un cloud, sur un hyperscaler.
10:37Peut-être que ça nous coûterait moins cher à faire tourner et encore.
10:41Mais donc, on a développé notre propre cloud dédié pour Pronote
10:45qui est qualifié Secnum Cloud aujourd'hui,
10:48qui a le meilleur niveau de sécurité.
10:49Il n'y a que Pronote qui tourne dessus.
10:50Donc vraiment, on assure une totale isolation.
10:52Et vous voyez, ça fonctionne.
10:55Je ne sais pas si les gens sont contents ou pas.
10:56Pronote et EDT aussi, le logiciel d'emploi du temps.
10:58Exactement, alors qui est moins connu parce que c'est un logiciel
11:00qui est utilisé par les établissements scolaires.
11:02EDT, chez les chefs d'établissement, c'est très apprécié
11:06parce que c'est ce qui fait qu'au mois d'août,
11:08ils ne passent pas leur mois d'août à faire les emplois du temps.
11:10C'est fait de manière automatique par de l'IA, de manière très évidente quelque part.
11:14Et ça, c'est protégé évidemment par du Secnum Cloud.
11:16Et on pense que cette démarche du Secnum Cloud
11:18qui a parfois été vue comme étant trop complexe,
11:20en fait, c'est vraiment l'avenir proche.
11:22Et de plus en plus, on voit, il y a beaucoup de gens qui y vont.
11:26D'où cette déception si ça ne passe pas à l'échelle européenne
11:29parce que ce qui marche en France doit marcher en Europe fondamentalement.
11:32Alors, je voulais vous parler aussi des nouvelles menaces.
11:34Vous venez de l'Annecy, vous y avez passé quand même de nombreuses années.
11:37Quelles sont selon vous aujourd'hui les principales nouvelles menaces ?
11:42Je sais que du côté de Docapos, vous avez sorti une offre dédiée au PME.
11:46Est-ce que c'est là aujourd'hui vraiment le gros maillon faible selon vous en matière de cybersécurité par exemple ?
11:52La menace au sens technique opérationnel, elle n'évolue pas si vite que ça.
11:56On a de l'espionnage, ça continue.
11:58Les États s'espionnent entre eux, c'est comme ça.
12:01On a des risques de niveau quasi militaire.
12:04Aujourd'hui, les gens font la guerre dans l'espace numérique.
12:06C'est moins visuel, ça fait moins d'images que de la guerre classique avec des bombes et tout ça, des trucs horribles.
12:12Mais c'est vraiment ça aujourd'hui.
12:13Dans tous les conflits, il y a un pendant numérique qui est très fort.
12:16Et puis, il y a ce risque criminel qui peut toucher les gros comme les petits.
12:20Les gros, c'est péjoratif.
12:22Mais les grandes entreprises, les grandes administrations se sont adaptées et se protègent aujourd'hui de manière efficace.
12:26Vous voyez, on parle beaucoup moins dans ce logiciel chez des grandes victimes.
12:29Parce que simplement, les gens se sont mis à se protéger.
12:32Pour les plus petits, c'est beaucoup plus complexe parce qu'ils ne sont pas experts.
12:35Ils ont du mal à mettre les moyens.
12:37Et les petits, c'est les PME, c'est les collectivités locales, c'est les établissements de santé.
12:41Et leur problème, c'est quoi ? Ce n'est pas tellement les offres disponibles sur le marché.
12:44Le budget est consacré.
12:46Non, c'est les offres.
12:47Les offres, parce que c'est très compliqué d'acheter de la cyber aujourd'hui.
12:49Essayez. Allez voir l'offre.
12:51Elle est plutôt riche.
12:52Ça, c'est génial.
12:53Mais c'est impossible de s'y retrouver quand on n'est pas expert.
12:56Nous, ce qu'on fait, on n'est pas les seuls à faire ça d'ailleurs,
12:59c'est de dire, on va prendre la techno, on va l'assembler, l'intégrer,
13:03on va cacher la technique, tout ce qui est expertise.
13:06Et on va dire aux gens, vous voulez vous sécuriser, vous allez consommer de la sécurité.
13:10C'est très moche comme terme, mais c'est vraiment ça l'idée.
13:12Vous vous abonnez, vous payez, et puis pour tant d'euros par mois et par poste,
13:16vous avez de la sauvegarde, vous avez de l'identification,
13:18vous avez du filtrage des mails, tout ce qu'il faut pour faire une belle sécurité,
13:22sans avoir à comprendre comment ça marche la sauvegarde,
13:24comment ça marche un EDR, tout ce jargon technique, on le laisse de côté.
13:28Et quelqu'un qui ne veut même pas aller voir les rapports,
13:30ne même pas savoir s'il a été attaqué ou pas,
13:32ou s'il y a eu des tentatives d'attaque ou pas,
13:34il n'est pas obligé d'aller voir.
13:36Il faut cibler ce segment-là,
13:38parce que c'est là où aujourd'hui, massivement,
13:40on a énormément de victimes,
13:42avec des conséquences qui peuvent être dramatiques.
13:44Et les fuites de données ?
13:46On a encore l'exemple des fuites de données chez Free.
13:48Comment est-ce qu'on peut faire pour arrêter, stopper cette hémorragie ?
13:52Il y a des moyens ? Il y a des outils ?
13:54Il y a deux choses essentielles.
13:56D'abord, il faut que les gens qui détiennent les données
13:58soient encore plus sérieux dans la protection de ces données,
14:00parce que qui dit fuite, dit qu'il y a eu des erreurs de fait.
14:03C'est trop facile de tirer sur l'ambulance.
14:05C'est certainement pas ce que je ferais.
14:07J'ai plutôt beaucoup de compassion pour les équipes de sécurité
14:09des boîtes qui se font coucher comme ça.
14:11Mais, nonobstant, la cible n'a pas été atteinte, en termes d'objectifs.
14:15Donc ça, c'est la première chose.
14:17Et de l'autre, il faut former les gens.
14:19Parce que, est-ce que c'est grave d'avoir son adresse,
14:21son téléphone, son mail, son IBAN dans la nature ?
14:24Ça commence à faire beaucoup, oui.
14:26Et statistiquement, aujourd'hui,
14:28l'immense majorité des Français ont toutes ces données
14:30qui sont dans la nature, sans le savoir.
14:32Le problème, c'est pas tant que ce soit,
14:34c'est des données qui sont quasi-publiques.
14:36On pourrait discuter, mais quasi-publiques.
14:38Le problème, c'est qu'un attaquant qui connaît tout ça de vous,
14:40il peut monter des escroqueries qui sont extrêmement efficaces.
14:43Je vous appelle, je me fais passer pour votre banquier,
14:45je connais votre IBAN, je connais votre adresse.
14:47Vous allez finir par penser que je suis vraiment votre banquier,
14:50et peut-être faire l'action que je vais vous demander de faire.
14:52Donc il faut former les gens pour dire, attention,
14:54c'est pas normal, votre banquier qui vous appelle comme ça,
14:56ça ne devrait pas se produire.
14:58Sensibiliser. Sensibiliser. Sensibiliser.
15:00C'est la base. Et il faut apprendre cette hygiène numérique.
15:03On n'y est pas encore.
15:05Et alors, on va passer à l'interview express.
15:07Donc, question très binaire, je vais vous poser,
15:10si vous voulez répondre rapidement qu'on arrive au bout.
15:13Oui ou non, vous espériez justement un ministre de la cyber
15:16dans le gouvernement, Barnier ?
15:18Pour sensibiliser, pour porter ces sujets majeurs
15:21aujourd'hui qui sont discutés en Europe ?
15:23Je n'ai pas d'avis sur l'architecture gouvernementale.
15:25Par contre, il faut qu'un ministre se sente concerné par le sujet cyber.
15:29Je pense que c'est le cas.
15:31Ah, qui ?
15:32Clara Jappaz.
15:33Vrai ou faux, les offres cloud françaises ne rattraperont jamais
15:36celles des hyperscalers ?
15:38Elles seront complémentaires.
15:40Durablement complémentaires et intéressantes à ce moment-là.
15:43Pour ou contre, il faut revoir l'attribution de l'hébergement
15:46du Health Data Hub dont on a parlé,
15:48avec un critère de sélection d'offreur national.
15:50Oui.
15:51Grave ou pas le regard politique que l'on prend sur la transposition
15:54de la directive NIS2 qui doit élever ce niveau global
15:57en matière de cybersécurité ?
15:59La transposition, elle va bien se faire malgré la complexité
16:02parlementaire actuelle.
16:04Je suis plutôt très confiant sur les travaux qui ont déjà été faits,
16:06sur toute la préparation qui est excellente
16:08et sur le fait que ce soit un sujet de consensus
16:10qui dépasse les clivages politiques.
16:12J'y crois ou je n'y crois pas à la survie du secte nuclear français
16:15face à cette certification européenne de l'UCS ?
16:18Je souhaite qu'elle disparaisse au profit d'une certification
16:21de même niveau à l'échelle européenne.
16:23On peut ou pas mettre fin à l'hémorragie des fuites de données ?
16:26Il faut, c'est pas qu'on peut ou pas, c'est qu'il faut.
16:28Je termine avec rêve ou cauchemar lié à Générative
16:31en matière de cybersécurité ?
16:33Rêve, évidemment.
16:35Ça va servir aux deux, mais il faut que ce soit les gentils qui gagnent à la fin.
16:38Merci beaucoup Guillaume Poupard d'avoir été dans Smartech avec moi.
16:41Aujourd'hui, c'était mon grand invité,
16:43le directeur général adjoint de DocaPost.
16:45Merci.