Cyberdéfense, le point sur les ambitions d’Orange
Michel Van Den Berghe, directeur d’Orange Cyberdéfense, revient sur le positionnement de l’opérateur historique sur un marché français de la sécurité informatique qui se structure fortement depuis quelques années.
LeMagIT : Le marché français de la sécurité informatique a connu plusieurs opération de concentration ces dernières années, dont le rachat d’Athéos par Orange, dont vous étiez président et fondateur. Quelle était là l’approche d’Orange ?
Michel Van Den Berghe : Le marché français de la sécurité informatique est effectivement en train de s’organiser, en réponse à un besoin d’entreprises qui, dans le cadre de leur transformation numérique, doivent assurer la confiance : ces entreprises ont besoin d’accompagnement.
Et dans ce contexte, pour être une entreprise qui compte, il faut être croître le plus vite possible. D’où une concentration des acteurs dans le monde de la cybersécurité, jusqu’au rachat récent de HSC par Deloitte. On passe donc d’un marché ultra spécialisé, à un marché où les entreprises cherchent à se faire accompagner de bout en bout.
Et Orange a la volonté d’être un acteur majeur du domaine et pas un généraliste de plus.
Mais lorsque l’on en vient à parler cyberdéfense, quelle est la légitimité d’Orange face à un Airbus DS (ex-Cassidian), à un Thales, voire un Safran ?
Nous voulons apporter au moins les mêmes services que ceux qu’apportent ces grands de la cyberdéfense. Nous voulons être reconnus comme l’un des gros acteurs du marché de la cyberdéfense. Nous avons ainsi, pour la seconde fois cette année, participé au Forum International de la Cybersécurité (FIC).
Et par rapport à ces grandes sociétés, nous avançons également un important facteur différenciant : nous possédons et opérons notre propre réseau. Cela nous apporte une visibilité que nous sommes les seuls à pouvoir obtenir : nous jouissons d’une position d’observateur qui permet de détecter des attaques avant qu’elles ne soit détectables à l’arrivée dans les barrières de l’entreprise.
Nous avons ainsi pu installer des sondes sur notre propre réseau pour essayer de détecter en amont des signaux faibles d’attaques. Lorsque l’on propose à nos clients de les protéger, on a ainsi un coup d’avance à jouer, comme nous en avons fait la démonstration au FIC avec notre offre de protection contre les attaques en déni de service distribué (DDoS).
Nous nous inscrivons plus dans une approche de service souverain que de solutions souveraines.
Ce positionnement permet d’éviter la latence observée lorsque l’on met en place des solutions telles que celles proposées par Arbor Networks ou telles que celles de Akamai. Sur notre réseau, on voit le réveil des réseaux de Botnet ce qui nous permet de faire de la remédiation tout de suite en mettant à jour des listes d’adresses IP à bloquer.
Toutefois, lorsqu’il s’agit d’adresser des opérateurs d’importance vitale (OIV), vous retrouvez face à des spécialistes de la défense…
Orange est un peu un OIV des OIV. Tous les OIV n’ont pas la même importance. Et Orange fait partie des toutes premières cibles : en cas d’attaque, ce sont les moyens de communication qui sont visés en premier. En tant qu’opérateur historique, on se sent donc très concerné par les problématiques des OIV. Et tout le travail que nous faisons pour nous protéger, nous sommes capables de le faire pour nos clients OIV et partenaires.
Orange est d’ailleurs très important aujourd’hui sur le marché de défense. Nous intervenons sur les infrastructures très sensibles de certains ministères. Nous avons au moins la même crédibilité que les acteurs auxquels vous faites référence.
La question d’une politique industrielle de la cybersécurité continue d’en animer une autre : celle de la capacité à faire vivre un écosystème autour de quelques champions. Quelle est l’approche d’Orange en la matière ?
Si la souveraineté est une priorité, nous nous inscrivons plutôt dans une approche de service souverain que de solutions souveraines. A technologies égales, on préfèrera bien sûr une technologie française. Mais on peut faire de la souveraineté avec des technologies qui ne sont pas françaises.
Il faut ouvrir les yeux : à ce jour, 95 % de l’IT s'appuie sur des technologies américaines. Nous ne pouvons pas demander à nos clients de tout changer du jour au lendemain pour mettre partout du franco-français exclusivement.
Mais par exemple, nous avons noué un partenariat avec Qualys, basé aux Etats-Unis, pour installer sa solution Cloud dans un cloud d’Orange, en France, afin d’assurer un service souverain.
Et Stéphane Richard a signé le pacte cyberdéfense de Jean-Yves Le Drian, à l’automne dernier. Nous allons aider à la création de technologies de sécurité. Nous nous y investissons. Mais encore une fois, aujourd’hui, nous nous inscrivons d’abord dans approche de services souverains.
L’édition 2015 du FIC a été l’occasion de soulever la question d’une politique européenne de la cybersécurité. Le sujet ne doit-il pas effectivement être appréhendé dans une dimension dépassant les frontières de l’Hexagone ?
Si, bien sûr. Nous ne compterons au niveau mondial dans le domaine de la cybersécurité que si l’on aborde le sujet au niveau européen. Il faut travailler ensemble. Et cela se fait d’ailleurs déjà. Nous travaillons avec nos collègues allemands, notamment pour partager des informations.