Luc d’Urso, CEO chez ATEMPO : NIS 2 est une action de bienveillance pour aider à la Cyber-Résilience des Organisations et des Entreprises.
septembre 2024 par Valentin Jangwa, Global Security Mag
Pendant les Universités d’Été d’HEXATRUST (UECC 2024) à STATION F à Paris, Luc d’Urso, CEO chez ATEMPO et Vice-Président d’HEXATRUST, a accordé un entretien à Global Security Mag.
Global Security Mag : Bonjour Luc d’Urso, Global Security Mag est ravi d’avoir cette opportunité d’échanger avec vous. Pouvez-vous nous dire où en est ATEMPO et quelle est la perspective ?
Luc d’Urso : Bonjour, le plaisir est partagé. ATEMPO a vécu une année 2024 un peu tourmentée, comme vous le savez. Nous avons dû nous placer sous la protection du tribunal de commerce en novembre de l’année 2023 pour régler un litige avec un investisseur historique. Nous nous acheminons maintenant vers la sortie du tunnel. C’est une bonne nouvelle pour nous. Nous sommes sur une trajectoire de sortie du plan de continuation. Cela signifie que nous allons trouver un accord, qui est pour l’instant de principe. Nous ne pouvons pas en révéler les dates puisqu’il n’est pas public pour le moment. Mais nous sommes dans une discussion très constructive avec notre investisseur historique et nous nous dirigeons vers une solution d’ici la fin de l’année, ce qui va nous permettre de repartir de plus belle en 2025. Un grand plaisir, d’abord pour nos collaborateurs et collaboratrices, mais aussi pour tout notre écosystème, tous les clients qui nous ont fait confiance, nos partenaires qui nous ont soutenus pendant cette période compliquée pour nous, qui a donné une surcharge de travail. Mais comme toujours, dans ce genre de difficultés, il est conseillé d’en profiter pour être plus performant, tester sa résilience jusqu’à la corde. Et c’est exactement ce que nous avons fait. Nous allons nous en sortir, c’est une certitude, renforcé.e.s et grandi.e.s de cette période difficile.
Global Security Mag : Pouvez-vous nous parler de la directive européenne NIS 2 (Network & Information Security ou Sécurité de l’Information et des Réseaux), et nous dire si pour vous elle représente une opportunité ou une contrainte pour les entités concernées, sous l’angle de la Cybersécurité ?
Luc d’Urso : Sans entrer dans les détails du cadre de la directive NIS 2 que tout le monde commence maintenant à avoir de plus en plus en tête, du moins je l’espère, il me semble que les entités concernées comprennent de mieux en mieux les obligations qu’elles vont avoir par cette régulation NIS 2 qui, par rapport à NIS 1, étend les règles de Cybersécurité à plus de secteurs d’activités (18 versus 7) et d’entités, avec environ 15 000 entreprises ou organisations concernées.
Comme toujours, quand on parle de Loi (cela sera le cas après la transposition), on parle d’obligations et potentiellement de contraintes. Si on ne remplit pas ses obligations, il y a un risque d’amende assez violente, comme vous le savez, mais les lois sont faites pour protéger les sociétés en général, les individus, les organisations et entreprises également. Cependant, dans le fondement de NIS 2, qui est la suite et l’amplification de NIS 1, il s’agit d’une volonté d’accroître la Cyber-Résilience des entités essentielles et importantes, et d’essayer d’avoir un socle commun d’obligations en Europe. On peut trouver ça contraignant, on peut aussi voir les choses différemment. Contraignant, pourquoi ? Parce qu’il y a des amendes si on n’est pas conforme, mais on peut aussi voir cela comme l’opportunité d’avoir une meilleure Cyber-Résilience. Pour prendre quelques exemples, je pense que personne ne peut se satisfaire d’avoir une chaîne alimentaire qui soit interrompue, de ne pas avoir d’eau le matin, une eau polluée, potentiellement des services publics qui ne fonctionnent pas, un passeport qu’on ne peut pas imprimer. NIS 2 me semble donc bénéfique, à la fois pour les individus et membres de la société en général, et aussi pour les organisations et entreprises désignées importantes ou essentielles. S’en plaindre serait un peu comme se plaindre du contrôle des bagages avant l’entrée dans un avion, ce qui est fait pour notre sécurité. On ne peut que se féliciter que les pouvoirs publics se préoccupent de notre confort, de notre vie en société, du bon fonctionnement des services de l’État en général, et de tous les services qui sont dits d’importance vitale ou essentielle pour les citoyens et citoyennes que nous sommes. J’ai donc plutôt une vision positive, je considère NIS 2 comme une approche ou une action de bienveillance, qui nous évitera par ailleurs d’être dans un « Far West numérique » et favorisera l’hygiène informatique des entités concernées. D’autre part, selon moi, NIS 2 permettra également d’encourager la compétitivité de nos entreprises, avec des ingénieurs, des commerciaux, les équipes marketing, qui travaillent à la promotion de produits ou de services qui pour l’essentiel, de nos jours, sont adossés à des solutions numériques. Les qualités de ces services ou produits dépendent de la donnée. Prendre le risque de voir le travail des années d’efforts, potentiellement de plusieurs décennies, réduit à néant par une cyberattaque, n’est pas acceptable dans l’état actuel des ressources des technologies de protection. Pour ma part, le renforcement de la Cyber-Résilience par NIS 2 était donc souhaitable. Nous avons la chance d’avoir une Europe qui est toujours un peu avant-gardiste lorsqu’il s’agit de légiférer, d’encadrer. Même si cela nous vaut quelques critiques souvent, ou nous ralentit parfois, d’habitude le modèle s’exporte, comme cela a été le cas pour les premières directives de la CNIL, ou pour le RGPD, ou encore pour NIS 1. Et cela sera très probablement le même schéma pour NIS 2, car nos modèles font autorité et servent pratiquement au monde entier.
Global Security Mag : Comment ATEMPO peut aider les entités concernées par NIS 2 à mettre en place les exigences de la directive en matière de conformité et de Cybersécurité ?
Luc d’Urso : NIS 2 est à considérer comme une caisse à outils avec douze grandes familles d’outils ou d’entrées du référentiel (Art. 20, Art 21.et sous-parties). Il y a donc douze thématiques pour garantir un niveau minimal de Cyber-Résilience. Quand je dis minimal, cela veut dire que le niveau est assez élevé. Des exigences minimales au niveau européen mais élevées pour la Cyber-Résilience des organisations et entreprises. Sur quatre de ces douze thématiques ou entrées du référentiel, les solutions d’ATEMPO peuvent agir efficacement.
Art. 21.2 pour la protection de l’environnement physique des réseaux et systèmes d’information.
Art. 21.2.c pour la continuité des activités.
Art. 21.2.f pour les politiques et procédures d’évaluation de l’efficacité des mesures de gestion des risques en matière de Cybersécurité.
Art. 21.2.j pour les solutions d’authentification à plusieurs facteurs ou d’authentification continue, de communications vocales, vidéo et textuelles sécurisées de communication d’urgence.
ATEMPO, éditeur français de logiciels de protection et de gestion des données, offre des solutions de sauvegarde et de reprise d’activité (Continuity, Lina, Tina) pour des serveurs physiques, virtuels et postes de travail. Sa solution Miria assure l’archivage, l’analyse, la sauvegarde, la synchronisation et la migration entre différents stockages de grands volumes de données non structurées. Membre de Cybermalveillance.gouv.fr, ATEMPO renforce la Cyber-Résilience en préservant les entreprises et les organisations de tout sinistre.
Labellisées « Utilisé par les Armées Françaises » et « France Cybersecurity », ses solutions sont référencées aux Centrales d’Achat RESAH, CAIH, UGAP.
Au cœur des systèmes d’information, il y a l’information, et le travail des solutions d’ATEMPO est en quelque sorte un « boulot » de moines copistes. Il s’agit à la fois, de sécurité des systèmes d’information, de sécurité des moyens industriels, de cartographier tout ce qui est vital en matière numérique pour opérer dans les organisations ou entreprises. On parle de perte minimum, acceptable d’informations, ou de délai maximal de reprise d ’activité après une crise. Les solutions d’ATEMPO peuvent aussi jouer un rôle de pompier, via la remédiation qui permet de reprendre l’activité après un sinistre, la sauvegarde des biens, la restauration en remettant en état les organisations ou entreprises après un sinistre, avec une perte minimale, en tendant si possible vers zéro (notamment si les systèmes d’exploitation ou les matériels ne sont pas trop vieillissants). Selon les infrastructures, le travail sera plus ou moins rapide.
Un autre domaine où les solutions d’ATEMPO peuvent aider, c’est celui de l’encryption. Là, il s’agit moins de la sécurité au sens disponibilité de la donnée, mais plutôt de confidentialité. C’est une notion qui devient essentielle, notamment parce que nous sommes dans un monde de tensions géopolitiques très fortes. Quelques exemples avec des guerres économiques, notamment celle avérée entre les États-Unis et la Chine, la guerre en Ukraine, avec des enjeux numériques importants et des défis pour la protection des données. Il y a aussi la nécessité de la maîtrise des chaînes d’approvisionnement et de la sous-traitance.
Le sujet de l’encryption / chiffrement devient donc de plus en plus critique, et d’autant plus avec à l’horizon 5-7 ans, l’avènement de la puissance quantique accompagnée de l’Intelligence Artificielle, qui va débarquer et qui va faire voler en éclat la protection sur les données qu’on a grâce à un chiffrement via le plus haut niveau d’encryption existant à ce jour. Il est nécessaire de travailler pour trouver des solutions. Et c’est ce que fait par exemple, le consortium qui réunit un bon nombre de nos collègues d’Hexatrust sous la bannière d’IDEMIA, sur un appel à projets concernant le chiffrement post-quantique, pour travailler sur l’avènement d’une solution d’encryption / chiffrement qui permette de résister aux attaques d’ordinateurs quantiques.
Nous commençons en effet à voir des ingénieries de cyberattaques qui visent à filtrer aujourd’hui des données chiffrées, qui ne sont pas lisibles à ce jour, mais pour pouvoir les déchiffrer dans 5 ans ou 7 ans, grâce à la puissance quantique. Nous devons donc commencer à chercher à avoir des solutions de chiffrement robustes quantiques, même si l ’ordinateur quantique n’existe pas encore.
Global Security Mag : Quels seraient vos messages clés pour nos lectrices et lecteurs ?
Luc d’Urso : A quelques semaines de l’arrivée de la loi de transposition de NIS 2, j’ai envie de dire « dura lex, sed lex », la loi est dure mais c’est la loi et de toutes les façons, elle est là pour nous protéger. Légiférer dans ce cadre, c’est monter le niveau de Cyber-Résilience et de protection des organisations et des entreprises. Je suggèrerais donc de voir cela avec le sourire, et comme une approche bienveillante.
Mon premier message est de considérer NIS 2 comme une action bienveillante des pouvoirs publics au niveau européen.
Mon deuxième message est au sujet de la géopolitique et de l’économie, sur les menaces de ce monde troublé dans lequel nous évoluons, je dirais qu’il est encore plus urgent aujourd’hui qu’avant, de soutenir la filière souveraine parce qu’il en va de nos emplois et de nos filières d’excellence. Cela va au-delà du discours du point de vue économique. Je crois que c’est maintenant une urgence, c’est-à-dire que le choix des solutions souveraines s’impose au moins pour deux raisons. Nous avons deux « ennemis » économiques qui sont à la fois des partenaires, mais qui ne jouent pas avec les mêmes cartes que nous, il s’agit des Etats-Unis et de la Chine d’un côté, et de l’autre, des pays hégémoniques et hyper-protectionnistes. Par exemple, lorsque nous exportons aux Etats-Unis, nous jouons sur une part de marché très faible, car le marché ouvert nous est relativement restreint, et les marchés publics nous sont interdits, les marchés sensibles nous sont interdits. L’inverse n’est pas vrai, c’est-à-dire qu’on peut trouver des solutions américaines dans des niveaux ou domaines de confidentiel défense en Europe ou en France, et le taux de pénétration des solutions américaines dans les services publics est immense. On sait que la commande publique est un des leviers principaux de la performance, parce que c’est de l’argent utile. En effet, la commande est différente de la subvention, en cela que c’est de l’argent avec lequel on apprend, on répond à un vrai besoin, on développe une fonctionnalité en fonction d’un vrai besoin. Un euro de commande, c’est bien mieux qu’un euro de subvention. Il faudrait qu’à qualité égale, à conditions égales de performance, à scope fonctionnel équivalent, à prix égal ou meilleur, choisir une solution souveraine ou de confiance. Dit autrement, il faudrait éviter de se retrouver avec un immense musée en Europe. C’est-à-dire, un continent et des pays de tourisme pour les Chinois et les Américains.
Le monde serait meilleur, et tous les écosystèmes fonctionneraient mieux s’il y avait un meilleur équilibre.
Il y a de bonnes volontés, les choses s’améliorent un peu, mais les donneurs d’ordres doivent réaliser que nous ne jouons pas à armes égales, et aider à éviter que demain, l’Europe ne soit pas juste qu’un « grand musée ». Si nous voulons que nos enfants aient du travail, continuer à avoir un système de santé qui fonctionne bien, un système d’éducation qui fonctionne gratuitement, il est nécessaire qu’il y ait une importante Économie. Pas de grande Économie, pas d’autonomie stratégique. Pas d’Industrie, pas de Souveraineté.