Lors du FIC, début avril, l’ESN internationale annonçait le lancement d’Eviden. Evidian ou Eviden, marque commerciale ou société, on fait le point avec Jean-Philippe Poirault, directeur des activités Big Data et Sécurité Eviden du groupe Atos, pour y voir plus clair.
Evidian, Eviden, marque, entreprise, etc. pouvez-vous nous aider à y voir plus clair ?
Oui bien-sûr. Dans le cadre du projet de transformation d’Atos, nous avions annoncé au marché l’année dernière notre intention de scinder le groupe en deux entreprises distinctes. Chacune ayant une stratégie propre, une équipe de management dédiée, un Conseil d’administration indépendant et une structure financière adaptée. Aujourd’hui, en termes d’offres, nous avons d’un côté Atos qui propose des services managés liés à la gestion de l’infrastructure (y compris celle liée au cloud), à l’expérience de travail des employés (environnement de travail connecté – Digital Workplace) et aux services professionnels. De l’autre, il y a Eviden [prononcer évidène – (evidεn)], que l’on connaissait initialement sous le nom de projet “Evidian”. Elle rassemble les activités Big Data et Cybersécurité (BDS), que je dirige, les activités “Digital” (transformation digitale, plateformes intelligentes, Net-zéro) et nos activités liées au Cloud.
Eviden est donc une nouvelle société ?
Pour l’instant non. A ce stade, c’est une marque commerciale et une ligne d’activités du Groupe Atos. Mais, dans le cadre du projet de transformation du Groupe, elle a bien vocation à devenir une entreprise indépendante, notamment à l’occasion d’une introduction en bourse (Initial Public Offering, IPO) prévue d’ici la fin de l’année. En attendant cette prochaine étape, nous avons profité de notre présence au FIC à Lille pour lancer Eviden en tant que notre nouvelle marque et qui regroupe, d’ores et déjà, toutes les activités de la future société. Les activités cybersécurité du Groupe Atos sont donc désormais portées par la marque Eviden.
« Eviden est pour l’instant une marque commerciale qui a bien vocation à devenir une entreprise indépendante »
En six ans, le nombre de nos collaborateurs spécialisés en sécurité informatique a été multiplié par dix pour arriver, aujourd’hui, à 6 500 experts cyber dans le groupe. Et, en termes d’infrastructures, nous avons 16 centres d’opérations de sécurité (Security Operations Centers, SOC) à travers le monde. Eviden représente aujourd’hui 5,3 milliards d’euros de CA, 57 000 employés avec un schéma de croissance à deux chiffres. Nous visons d’ailleurs une croissance de 40% pour l’activité de service cyber d’ici à 2026.
Pouvez-vous nous détailler l’offre de services Cyber d’Eviden ?
Nous avons deux activités principales. La première est une offre de conseil et de services de sécurité managés (Managed Security Services). La deuxième est orientée produits. Nous concevons et produisons des solutions propriétaires de chiffrement, de gestion des accès et de gestion de certificats autour de l’identité. Nous possédons notamment le seul module de sécurité hardware (HSM) bénéficiant de la qualification renforcée de l’Anssi, basée sur une évaluation critères communs EAL 4+. Notre HSM est développé et produit en France. Cette stratégie mixant services et briques technologiques nous permet de nous adapter aux besoins des différents secteurs d’activité et à un état de la menace qui évolue constamment. Cela nous permet également de nous positionner comme tiers de confiance quand l’usage de solutions non-européennes est inévitable. Avoir ses propres technologies offre plus de libertés que lorsqu’on est dépendant de celles des autres.
La sécurité dans le cloud s’appréhende-t-elle comme celle on premise ?
Absolument pas ! Surtout, il ne faut pas s’imaginer, comme le pensent beaucoup de petites entreprises, que toute la sécurité est assurée par le cloud provider. C’est bien précisé contractuellement que ces derniers ne sont en charge que de la sécurité de la couche très basse. C’est au client de se charger des plus hautes. Et, pour ça, les fournisseurs mettent tous les outils à disposition. Reste qu’il faut être en capacité de les utiliser et nous travaillons, en ce sens, sur une offre de services destinée à accompagner les plus petites entreprises. Un point important est que beaucoup d’organisations pensent que la sécurisation de la donnée se fait sur l’emplacement de stockage dans le cloud. Ce qui est une autre erreur, car la donnée bouge constamment !
Les cloud providers ne sont en charge que de la sécurité de la couche très basse. C’est au client de se charger des plus hautes.
Quelle est l’incidence de cette circulation de la donnée que vous évoquez ?
Et bien, avec l’explosion des devices, qui va se poursuivre avec l’arrivée de la 5G (on parle de 20 milliards d’objets connectés), et des données (nous sommes passés en dix ans de 2 à 64 zeta bytes) nous assistons à la coexistence de plusieurs zones de traitement des données dont la plupart des CIO et des CEO souhaitent, avant tout, extraire de la valeur. Or, disons le clairement, il n’y a pas d’économie numérique s’il n’y a pas de données protégées. En gros, il y a cinq zones potentielles de traitement des données. L’ordinateur et les devices représentent une première zone. Il y a ensuite le edge computing, avec des petits calculateurs très proches de la zone de production des données, puis les data centers (y compris les data centers privés), le cloud et, enfin, les supercalculateurs (HPC). Donc, pour une entreprise, la réflexion quant au passage dans le cloud ne se traduit pas par “cloud ou pas cloud”. Ce n’est pas aussi binaire. C’est un mix d’approches. C’est pourquoi nous encourageons les organisations à classifier leurs données et leurs applications en fonction de leur sensibilité, afin de pouvoir les traiter aux bons endroits et de leur apporter le niveau de sécurité approprié. Aussi bien à l’edge, de façon sécurisée, mais aussi en dehors.
Une approche hybride en somme ?
Oui, c’est exactement ça. Pour vous donner un exemple, nous faisons de la maintenance préventive pour un de nos clients qui gère mondialement des grands parcs d’attractions. Pour ce faire, nous avons interconnecté, sur site, l’intégralité des manèges afin de détecter des pannes éventuelles. Comme nous avions l’interdiction de sortir les données de l’enceinte, nous avons fabriqué et installé nos propres serveurs sur lesquels tournent nos algorithmes de cybersécurité. Mais, d’un autre côté, nous enrichissons le modèle en post processing dans le cloud avec Google Cloud Platform (GCP). Et, ce genre de modèle combinable, à savoir des processus de décision dans l’usine couplé à un enrichissement dans le cloud, sera de plus en plus utilisé. Vous allez avoir cette coexistence qui va se faire de plus en plus dans des modèles hybrides. Ce qui implique également d’avoir une gestion agile.
« ce genre de modèle combinable, à savoir des processus de décision dans l’usine couplé à un enrichissement dans le cloud, sera de plus en plus utilisé. »
C’est-à-dire ? Qu’entendez-vous par “gestion agile de la sécurité” ?
Je parle des services managés de détection et de réponse (“Managed Detection and Response”, MDR) qui sont adaptés au niveau d’attaque qui augmente, en proposant une gestion dynamique et agile. Dans la mutation vers le cloud, il faut justement d’avoir ces outils de MDR qui permettent de détecter très rapidement ce qui se passe sur votre réseau. Et ce d’autant plus que votre environnement de surface peut évoluer avec un facteur 1000 dans la journée. C’est-à-dire vous créez des machines virtuelles dans le cloud, vous les allumez, vous les éteignez : la surface d’attaque peut ainsi complètement évoluer. Et donc il faut avoir une politique de sécurité qui passe à l’échelle, une manière agile de gérer l’environnement en surface, avec du chiffrement des données, de la gestion d’identités et des certificats. Avoir une structure de contrôle et de supervision qui orchestre tout cet ensemble en temps réel, et mesure la posture de sécurité de l’entreprise sur le temps long. Par ailleurs, il ne faut plus être uniquement organisé par pays, puisque le cloud est au minimum européen, voire international. D’où l’importance de notre réseau de Centre d’Opérations de Sécurité (SOCs) international, où les SOCs sont interconnectés, et d’un réseau de MDR.
Vous disiez tout à l’heure que la gestion d’identité allait prendre une place importante
Oui, l’identity management va être extrêmement clé dans le futur. Ces dernières années, la protection cyber consistait en une protection périmétrique autour des data center. Aujourd’hui, avec la bascule des applications dans le cloud, vous devez avoir une protection non seulement à leur mais à celui des objets connectés. J’entends pas là qu’il faut les “déclarer” tous les deux comme actifs et avec un certificat de sécurité. Et ça, la plupart des entreprises n’ont pas encore fait cette démarche pensant, à tort, comme je le disais juste avant, que la protection qu’elles avaient au niveau du IaaS et du PaaS sur les couches basses allaient remonter jusqu’à la couche applicative.
