• il y a 2 mois
Vendredi 25 octobre 2024, SMART MORNING SOUMIER reçoit Cécile Delerablée (CEO et fondatrice, Leanear)

Category

🗞
News
Transcription
00:00Salut à tous, c'est Cécile Delorablet qui va nous accompagner.
00:11Bonjour, Cécile.
00:12Bonjour.
00:13Docteur en cryptographie, Cécile, on va parler ensemble cybersécurité.
00:18Je voudrais que tu résumes le plan.
00:20Alors, c'est intéressant parce que je voyais dans quelques déclarations que tu as pu faire
00:25que j'ai été regarder Lineart, donc le nom de ta start-up, de ton entreprise, pour dormir
00:31tranquille, comme si c'était une solution médicamenteuse, mais non, ça n'est pas une
00:35solution médicamenteuse.
00:36En revanche, ça met le doigt sur ce qui est le sujet aujourd'hui.
00:43Alors ça, je peux en témoigner dans mes conversations quotidiennes avec des chefs d'entreprise.
00:47Il y a l'intelligence artificielle d'un côté.
00:49Qu'est-ce que je fais ? Comment je fais ? Comment est-ce que je ne me fais pas dépasser ? Et
00:53puis, la cyber de l'autre, les deux devenant d'ailleurs de plus en plus sans doute étroitement
00:57liés.
00:58Tu dis les choses de manière assez simple, Cécile, et je voudrais qu'on commence par
01:03là.
01:04C'est-à-dire que tu dis, tout est parti sur le cloud, on a laissé nos données les
01:10plus sensibles partir sur des serveurs dont on pense qu'ils sont ultra sécurisés, mais
01:14en fait, on n'en sait rien.
01:15Et pour toi, c'est un sacré paradoxe, c'est ça ?
01:18Oui, effectivement.
01:19Alors on n'en sait rien, les cloud providers, donc ceux qui fournissent des infrastructures
01:23pour stocker les données, assurent correctement leur sécurité, enfin en tout cas, la plupart.
01:27En tout cas, les trois gros d'entre eux, mais sauf que tout le monde n'est pas soit
01:32chez Amazon, soit chez Google, soit chez...
01:34Mais ensuite, avoir ces données sécurisées, ça ne veut pas forcément dire reposer sur
01:37des infrastructures qui le sont, ça veut aussi dire bien utiliser ces services-là.
01:40Et c'est ça en général qui est mal fait.
01:42Donc quand on a dans les gros titres des fuites de données, ce n'est pas que les cloud providers
01:46ont été défaillants, ce n'est pas du tout ça.
01:48J'ai rarement vu, voire pas du tout vu, des défaillances de ce type-là, c'est juste
01:52que les services sont mal configurés, sont mal utilisés, et c'est plutôt le périmètre
01:56de responsabilité de l'utilisateur, enfin du client, du fournisseur de cloud qui est
02:00mal géré.
02:01Donc c'est plutôt une mauvaise utilisation du cloud plutôt qu'une mauvaise sécurité
02:05du cloud en lui-même.
02:06Et la solution, alors les techniciens disent « on-premise », c'est-à-dire la solution
02:11d'avoir des serveurs sur site n'est plus une solution aujourd'hui.
02:15Non, ce n'est plus viable.
02:16Les volumes sont beaucoup trop importants, la diversité des services dont on a besoin,
02:22tout ça a explosé, on a besoin d'usages beaucoup plus variés que ce qu'on était
02:25capable de faire, et surtout sur des volumes beaucoup plus importants, aujourd'hui c'est
02:29plus gérable.
02:30Par contre, se posent des questions de sécurisation, de confidentialité de ces données, qui sont
02:34parfois critiques.
02:35Ah mais qui sont de plus en plus critiques.
02:37Et donc aujourd'hui on est de l'ordre de, enfin il reste à peu près 40% des données
02:43qui ne sont pas dans le cloud, dans les entreprises, et pour celles qui y sont, des fois on aimerait
02:48bien reprendre un petit peu le contrôle dessus, parce qu'on sent que ce n'est pas forcément
02:51idéal le niveau de sécurité.
02:53Et ton sujet il est, pardon de le dire comme ça, mais c'est bête comme chou, c'est plutôt
02:57que de vous inquiéter pour les serveurs, sécuriser vos données à l'origine en fait.
03:04Exactement, donc nous on est plutôt sur une approche logicielle, donc on considère que
03:07les infrastructures couvrent correctement leurs risques, le risque de perte de données,
03:12le risque de bien redonder les données, mais c'est pas parce que l'infrastructure
03:18est solide qu'il va pas y avoir des attaques ou des fuites de données.
03:21Si on met une donnée sur un service de cloud qui est ouvert à tout le monde, tout est
03:26connecté, tout le monde peut y accéder.
03:28Donc il faut bien gérer les accès en fait, et c'est ça qu'on fait de façon logicielle,
03:32c'est fournir des solutions pour gérer correctement les identités et les accès, donc ça c'est
03:36un terme qui existe, IAM en anglais, Identity and Access Management, et on fait ça d'une
03:41manière innovante, non pas par des gestions d'accès logiques qui sont bien configurées
03:46des serveurs, mais par de la cryptographie, par du chiffrement sur les données elles-mêmes.
03:50Pour dire les choses vraiment de manière très très simple, ton sujet c'est que chaque
03:55donnée, j'en sais rien, prenons l'exemple d'un micro-organisme, chaque donnée ne pourra
04:02être consultée que par celui qui a les droits absolus de la consulter.
04:07Exactement.
04:09Quelle que soit la configuration.
04:11Donc en fait on chiffre, on protège la donnée au moment où elle est produite, et ensuite
04:15on sait, il y a une protection, peu importe ce qui se passera sur les serveurs, peu importe
04:21le chemin de la donnée, peu importe une mauvaise configuration, on aura toujours un niveau
04:24de sécurité qui restera.
04:25On ne remplace pas les autres niveaux qui sont déjà mis en place, on est complémentaires,
04:28c'est de la défense en profondeur on appelle ça, donc on a un niveau là qui sera toujours
04:32là sur la donnée elle-même.
04:33Comment ça tu ne les remplaces pas ? Si d'une certaine manière tu les remplaces dans l'arbitrage,
04:36on va parler des coûts, mais dans l'arbitrage sur les coûts que doivent aujourd'hui investir,
04:42enfin les sommes que doivent aujourd'hui investir les entreprises, il y a une réflexion
04:45à avoir quand même.
04:46A partir du moment où ta donnée elle est absolument sécurisée ?
04:48Alors il n'y a pas de sécurité absolue, si on met vraiment les moyens, c'est une
04:55ceinture bretelle, quand un État, la NSA veut vraiment accéder à une donnée, on ne veut
05:00pas dire qu'on résiste à n'importe quelle attaque, il y a toujours des moyens quand
05:04on met les moyens.
05:06Donc ça, on ne veut pas avoir ce discours-là, par contre...
05:09Non, mais on évite, on va dire, ce qui est aujourd'hui la grande crainte, c'est-à-dire
05:13la cyberattaque mafieuse, pour le dire.
05:16Voilà, ça, vraiment de l'espionnage de masse, ou même de...
05:19Voilà, tout ce qu'on entend aujourd'hui comme fuite de données, on pourrait l'éviter
05:22si tout ça était mieux sécurisé, si tout ça était mieux configuré, ou protégé
05:26par des solutions comme les nôtres, donc c'est plutôt ça les problèmes auxquels
05:30on s'attaque.
05:31Et en termes de coûts, la philosophie qu'on a, c'est que ça, ça ne doit pas coûter
05:36très cher, ça doit être abordable pour ceux qui ont ces besoins-là.
05:40Aujourd'hui, il y a...
05:41Alors, allons-y sur les coûts, mais avant d'aller sur les coûts, restons quand même
05:44sûrs, parce qu'une fois qu'on a dit, chaque donnée doit être encryptée, chaque donnée...
05:49Il faut le faire.
05:50Voilà, c'est tout, la difficulté, c'est que c'est facile à dire, ça paraît évident,
05:54on se dit, chiffrement, bon, ça existe depuis longtemps, en fait, chiffrez un message entre
05:59Alice et Bob, parce que je pense que vous connaissez les principes de chiffrement entre
06:03Alice et Bob, ça, c'est...
06:04Non, on ne les connaît pas, on ne les connaît pas, on ne les connaît pas.
06:06On chiffre un message entre une personne A et une personne B, Alice et Bob, ça, c'est
06:11connu depuis les années 70, on sait le faire, il y a eu des, voilà, des messageries instantanées
06:17aujourd'hui utiles du chiffrement, donc l'application WhatsApp nous dit que, voilà, tout à fait.
06:23Donc ça, c'est relativement bien connu depuis les années 70, il n'y a pas eu d'énormes
06:27avancées sur ce sujet-là.
06:29Par contre, quand on veut généraliser ça à n'importe quel service de cloud et donner
06:33des outils à des développeurs qui développent des applications pour qu'ils puissent sécuriser
06:37mieux les données de leurs clients, de façon plus générique, sur, non pas de l'envoi
06:41de messages, mais du stockage qui peut être potentiellement très volumineux, comment
06:45est-ce qu'on fait ça ? Là, c'est difficile et c'est là-dessus qu'on travaille depuis
06:49plusieurs années.
06:50Donc, c'est résoudre, lever des verrous technologiques d'un point de vue recherche
06:54en cryptographie, utilisation de résultats existants, nouveaux résultats, pour avoir
06:59des solutions qui sont by design adaptées aux usages du cloud d'aujourd'hui.
07:03Et les freins, ils sont sur les typologies de données ou sur les typologies d'utilisation
07:09dont on peut avoir sur les deux ?
07:10Sur les deux.
07:11Et aujourd'hui, on s'intéresse beaucoup à l'intelligence artificielle, on entend
07:16de plus en plus parler d'intelligence artificielle multimodale, donc c'est être capable d'utiliser
07:22des données qui sont sur des bases de données, sur du stockage de fichiers, sur plein de
07:26modalités.
07:27Et dans ce cadre-là, c'est vraiment très difficile, voire impossible de gérer correctement
07:32les accès d'une manière adaptée aux fonctionnalités qu'on va avoir.
07:37Donc voilà, nos solutions dans ce cas-là sont vraiment bien adaptées.
07:40Mais dans ton idée, puisqu'on va là-dessus sur l'intelligence artificielle, dans les
07:42discussions que je peux avoir, très clairement, l'un des risques, c'est-à-dire les entreprises
07:47seraient évidemment tout à fait prêtes à essayer de massifier les données disponibles
07:55pour l'intelligence artificielle pour essayer d'avancer, trouver des solutions, mais elles
07:59ont peur de la fuite.
08:00Et donc là, tu peux arriver à résoudre ce dilemme, qui va être un dilemme qui va être
08:06de plus en plus important aujourd'hui pour les grandes entreprises.
08:07La quasi-totalité de nos discussions commerciales aujourd'hui sont sur ce sujet-là.
08:10On a envie d'avoir des intelligences artificielles de bonne qualité, donc on a besoin de données.
08:16Et des données de l'entreprise les plus précieuses.
08:18Voilà, sinon on ne peut pas bénéficier, s'en servir, avoir un levier sur ces données-là.
08:22Donc il y a une vraie pression chez les RSS6 pour qu'ils libèrent des usages de l'intelligence
08:28artificielle.
08:29Ils ont envie de protéger tout ça le plus possible.
08:31Donc évidemment, là-dessus, on est vraiment bien adaptés.
08:33Les RSS6 sont les patrons de la sécurité informatique, qui sont souvent, d'ailleurs,
08:38enfin, ou parfois aussi les directeurs des risques, c'est-à-dire que c'est un sujet
08:41qui est plus sur la gestion et l'intelligence des risques que sur la technique.
08:45C'est en fait plus un sujet de directeur des risques qu'un sujet de CTO ou de digital technique.
08:52C'est un peu à la croisée des deux.
08:53Donc, où sont tes freins aujourd'hui ?
08:56C'est des freins techniques ou, pour en revenir là, est-ce que c'est des freins d'une question
09:00de coût ?
09:00Moi, je sais que les assureurs, par exemple, qui reviennent, j'ai vu ça d'ailleurs à un
09:03moment, ils étaient partis de la cybersécurité, ils sont en train de revenir, disent en gros
09:07c'est 10% du chiffre d'affaires, ce qui est un peu arbitraire, finalement.
09:11C'est un chiffre qui est connu depuis assez longtemps, qui est recommandé par l'Annecy,
09:15par l'Agence Nationale de la Sécurité des Systèmes d'Information.
09:18C'est un chiffre qui est bien adopté depuis assez longtemps.
09:21Et tu rentres dans cette enveloppe-là, avec d'ailleurs, à tes côtés, des anciens de
09:27l'Annecy qui travaillent sur ce sujet.
09:30On a trois, sur les expertises qu'on a, donc une forte expertise en cryptographie, trois
09:33docteurs de l'ONS en cryptographie dont je fais partie et trois anciens de l'Annecy,
09:38dont Yohann Thomas, qui est CTO de l'INEAR et qui était CTO de l'Annecy pendant quelques années.
09:44A chaque fois qu'on est sur des sujets comme ça et face à des entrepreneurs comme toi,
09:46Cécile, ma question, c'est pourquoi est-ce que Google ne le fait pas ?
09:50Alors, bonne question.
09:52Déjà, la cryptographie, c'est un domaine dans lequel il n'y a pas énormément d'experts.
09:56C'est un domaine qui est très large aujourd'hui, mais avec des spécialités, des sous-domaines.
10:01Il y a sur chaque sous-domaine, il n'y a pas beaucoup.
10:03Ça se compte en dizaines de chercheurs sur ces sujets-là, donc il n'y en a pas énormément à
10:08disposition. Sur les sujets qui nous intéressent, il n'y a pas beaucoup de monde.
10:12Et aussi, Google n'est pas forcément l'acteur le plus intéressé par ajouter des protections
10:18pour qu'ils puissent plus accéder aux données de leurs clients, par exemple.
10:20C'est un peu ce qu'on peut...
10:21T'as raison !
10:24Donc, ce n'est pas eux qui seront moteurs.
10:25Par contre, ni Amazon ni Microsoft.
10:27Si ça devient la norme, ce qu'on espère, et ce qu'on veut pousser pour ça, que ce soit la
10:31norme de pouvoir dire je choisis un hébergeur et je choisis qui a accès à ma donnée.
10:35Je peux lui laisser accès à ces données-là, mais je peux aussi ne pas lui donner accès.
10:39Donc, ce n'est pas parce qu'on repose sur des infrastructures qu'on doit donner accès aux
10:43données à ceux qui opèrent ces services d'infrastructure.
10:46Donc, effectivement, les cloud providers qui, quand même, peuvent parfois utiliser les
10:50données de leurs clients, ne seront pas forcément les plus moteurs pour ça.
10:55On ne protège pas qu'eux contre ça.
10:56Non, non, ta réponse est très, très intéressante.
11:00Mais ils sont schizophrènes sur cette question.
11:01C'est à la fois difficile, et à la fois, on ne voit pas forcément pourquoi est-ce qu'ils
11:04pousseraient à ça.
11:05Dernier point, le fait que tu sois en France, que cette recherche donc très, très rare
11:11que tu nous décris se fasse en France, t'y mets une question de souveraineté ?
11:15Déjà, en France, on est très bien placé au niveau mondial en cryptographie.
11:19On est un des pays qui a les meilleurs chercheurs en cryptographie.
11:23Et de manière générale, en cybersécurité, on est plutôt très bien placé.
11:26Donc, être basé en France, c'est un énorme avantage pour voir qu'il y a des talents qui
11:31sont pertinents pour les sujets qu'on traite.
11:33Et après, souveraineté, oui, on peut répondre à ces enjeux-là, mais pas uniquement.
11:36En fait, la sécurité, c'est plus large que la souveraineté.
11:39On est d'accord.
11:42Mais...
11:43Mais voilà, quand il s'agit d'une infrastructure américaine, par exemple, des solutions de
11:47chiffrement peuvent effectivement ajouter des choses, notamment quand on veut se protéger
11:52de loisirs territoriales.
11:53La sécurité est plus large que la souveraineté, mais la fuite de données des clients d'un
11:57club de sport me préoccupe moins que des fuites de données souveraines.
12:02Mais donc, effectivement, quand on veut allier l'utilisation de cloud américain et
12:06souveraineté maîtrise de la confidentialité des données, nos solutions qui sont
12:10logicielles sont effectivement adaptées, mais pas que.
12:14Merci, Cécile.
12:15Merci à vous.
12:16Cécile Delorablet, donc, qui nous accompagnait.
12:18Et ça s'appelle Linear.

Recommandations