« Si les attaques à finalité lucrative ont occupé la scène médiatique, elles ne doivent pas occulter les campagnes d’espionnage, par essence moins visibles, et celles conduites dans un objectif de sabotage informatique » fait en effet valoir l’ANSSI.

En 2021, « sur les 17 opérations de cyberdéfense traitées par l’agence française, 14 étaient liées à des opérations d’espionnage informatique dont 9 impliquaient des modes opératoires réputés chinois ». Le renseignement américain s’est aussi exprimé en ce sens : « la Chine représente la menace de cyber-espionnage la plus large, la plus active et la plus persistante » pour les Etats-Unis.

L’espionnage figure en bonne place dans la cartographie des risques cyber, pour les Etats mais aussi pour les entreprises. «  Mais nous en parlons peu. On ne peut pas nier que l’on ignore souvent qu’on est espionné… parfois même, les préjudices qui ont pu en résulter. Mais il y a aussi la culture du silence qui perdure motivée par la crainte des impacts sur sa compétitivité, son cours de bourse, son image et sa réputation qui peuvent être désastreux » ajoute Nicolas Bachelier.

Maîtriser ses données et leur confidentialité exigent de prendre en compte trois niveaux essentiels : les données en cours d’utilisation, celles en mouvement et celles au repos (at-rest), stockées localement ou dans le Cloud.

Les entreprises doivent conserver la souveraineté de leurs données pendant ces trois étapes. Une norme élevée de protection des données appliquée grâce notamment à un logiciel de chiffrement qui garantit que seuls les utilisateurs autorisés peuvent décoder les données sensibles et chiffrées. « Notre cœur de métier est de protéger la donnée stockée ‘at-rest’ des entreprises. Ce chiffrement au service de la souveraineté de l’entreprise sur ses données, peut s’opérer sur des volumétries importantes, dépassant les 100 000 utilisateurs, postes ou espaces chiffrés, tout comme les structures plus modestes » souligne Nicolas Bachelier et de poursuivre : « Dans la continuité de cette approche, nous accompagnons nos clients vers le Cloud public. Nous développons nos produits pour qu’ils soient intégrables de manière transparente dans l’environnement de nos clients quel que soit leur choix en termes d’infrastructure IT ou d’externalisation dans le cloud. C’est, selon moi, l’autre aspect de la souveraineté sur les données. »

Grâce au chiffrement de bout en bout (End-to-End Encryption), la donnée est donc chiffrée avant d’être envoyée dans le Cloud et n’est déchiffrable que par son ou ses utilisateurs. A aucun moment celle-ci n’est manipulée « en clair » sur le Cloud.« Nous implémentons dans nos solutions Cloud une approche End-to-End avec ce que l’on appelle du Client-Side Encryption car c’est le seul moyen possible de cloisonner l’information. Si le chiffrement s’effectue sur le serveur, cela implique que les clés soient accessibles au serveur ou depuis le serveur, donc toutes les personnes qui ont accès au serveur peuvent avoir accès aux données. Ce chiffrement est indispensable si on veut mettre en place un véritable cloisonnement de la donnée entre utilisateurs, entre services et surtout inaccessible pour le fournisseur Cloud. » déclare Nicolas Bachelier.

Partir à la conquête de l’export est essentiel pour poursuivre et renforcer sa croissance. « C’est aussi pour cela qu’il est important de ne pas confondre souveraineté nationale technologique et souveraineté des données, même si les sujets peuvent être liés. La souveraineté doit être une liberté de choix et d’actions. Aussi, pour apporter une prestation de confiance et de transparence, nous devons à nos clients européens et internationaux, une adaptation à leurs visions et à leurs exigences. Nous apportons une solution reconnue sur le marché domestique et indépendante des infrastructures numériques. Pour acquérir la confiance de nos clients, nous menons une démarche systématique de certification de nos logiciels soit au niveau français soit au niveau européen, soit dans certains pays tiers qui souhaitent maîtriser leurs risques. Nous avons par exemple obtenu en Espagne des certifications qui amènent nos produits à être considérés dans ce pays comme suffisamment sûrs pour protéger les informations sensibles dans les ministères, les infrastructures critiques ou les entreprises nationales. Nous avons ainsi travaillé avec les entités hispaniques par le biais du Centro Criptológico Nacional (CCN) disposant d’accords de reconnaissance mutuelle avec l’ANSSI. Nous procédons bien entendu de même avec les différentes agences de certification et qualification en Europe. C’est une démarche que nous adopterons également pour le Mexique où nous venons de nous implanter. » ajoute Nicolas Bachelier.

La loi de Moore ayant fait son œuvre, tous les regards se tournent vers l’informatique quantique qui révolutionnera à moyen terme la puissance de calcul et donc théoriquement le temps nécessaire pour casser les clés de chiffrement.

Certains experts estiment que les ordinateurs quantiques actuels (70 qubits) pourraient diviser par deux l’efficacité des standards de chiffrement. Mais la généralisation des ordinateurs quantiques restent néanmoins un horizon lointain ; nous sommes pour l’heure à l’ère des calculateurs quantiques. « Si le sujet de la cryptographie quantique est au centre du sujet, pour nous, se pose surtout la question des changements d’algorithmes et d’organisation dans la gestion des données et des clés de chiffrement. C’est pour nous une évolution et non une rupture qui nous pousse néanmoins à travailler dès à présent avec de nombreux partenaires sur cette question des algorithmes « quantum-proof ». Nous devrons être compatibles avec les systèmes de gestion de clés post quantique et cela s’anticipe tout comme la phase d’hybridation par laquelle nous devrons obligatoirement passer. » déclare Nicolas Bachelier.

Agilité et adaptation accompagnent donc le développement du chiffrement au service de la souveraineté des données. Un sujet appelé à se démocratiser, car si pour l’heure, il reste l’apanage des grandes structures, institutions ou typologies d’acteurs conscients et attachés à la valeur de leurs données stratégiques ou sensibles, il a vocation à être adopté par l’ensemble des acteurs publics et privés pour concourir à la cyber-résilience de chaque nation.

Par Mélanie Bénard-Crozat

Article publié dans le n°49 de S&D magazine (mai 2022)