Présent chez 13 des 20 plus grandes entreprises pharmaceutiques mondiales, Discngine propose une solution SaaS dédiée à la recherche de nouvelles molécules. Dans un secteur où le secret et la sécurité sont clés, l’éditeur français s’est tourné vers Oracle pour se mettre au niveau.
Editeur de logiciels dans le domaine des Life Science, Discngine est spécialisé dans la recherche de nouvelles molécules actives. Ses solutions sont utilisées dans l’industrie pharmaceutique, cosmétique et agrochimique, des secteurs où une cybersécurité au top est un prérequis. « Nos solutions sont exploitées en recherche appliquée, c’est-à-dire 10 à 12 ans avant la mise sur le marché des produits » résume Eric Le Roux, Chief Executive Officer de Discngine. « Nos clients, les grands comptes de la pharma sont très préoccupés par les sujets de cybersécurité car les données manipulées sont au cœur de leur savoir- faire. Ce sont des informations non brevetées, car nous nous plaçons très en amont du dépôt de brevet. La connaissance de la molécule d’intérêt, sa cible et son contexte biologique font que l’on doit être très prudent sur la confidentialité des informations et ne pas permettre à un concurrent d’accéder à cette information. »
Le dirigeant le reconnaît, la cybersécurité n’a pas toujours été au cœur des préoccupations de l’éditeur. Discngine était initialement une société de services qui développait des logiciels à façon pour ses clients. Ceux-ci déployaient les logiciels en interne et la sécurité était prise en charge par les directions informatiques de chaque client. C’est en 2015 que les choses vont changer, quand Eric Le Roux prend la direction de l’entreprise et que le virage vers le Cloud est opéré. 3decision, la solution phare de l’éditeur, est désormais disponible en SaaS, ce qui implique une montée en puissance rapide de l’éditeur sur la cybersécurité. Depuis 2017, Discngine se fait accompagner sur le Cloud et sur la cybersécurité.
Le Cloud change radicalement la donne en termes de cybersécurité
Suite à ce virage vers le SaaS, le CEO notre un changement d’interlocuteurs chez ses clients, avec de plus en plus d’experts en cybersécurité à qui l’éditeur doit expliquer les mesures de sécurité prises pour protéger les données sensibles. Il note aussi un net allongement du cycle de vente : « Nos grands comptes nous ont challengés sur le Security Assesment et le délai de vente de nos logiciels a été démultiplié. Il faut 18 mois pour vendre un logiciel, dont 12 mois consacrés au Security Assesment. Avec Oracle, nous avons pu accélérer ce délai de réponse en développant une expertise, de la documentation et en mettant en place des outils cyber. »
Damien Rilliard, expert sécurité chez Oracle EMEA CISO Office, souligne : « J’ai travaillé avec le RSSI sur le choix d’une approche écosystème : Discngine est un opérateur SaaS sur l’infrastructure Oracle Cloud. Tout le travail réalisé par Oracle autour de la sécurité du Cloud bénéficie à Discngine. » Oracle fournit ses réponses aux questionnaires de type « Consensus Assessment Initiative Questionnaire (CAIQ) » envoyés par les clients de Discngine. Si Oracle dispose de multiples certifications cyber, Discngine a dû lancer de son côté une démarche de certification de son logiciel et de son architecture. « Nous avons commencé la démarche de certification ISO 27001 en 2019 et nous sommes en phase finale avec 17 pistes de progrès et 0 non-conformité. »
Une infrastructure de production qui exploite OCI de manière extensive
Discngine qui exploitait déjà Microsoft Azure pour ses développements déploie désormais les instances clients sur Oracle Cloud infrastructure (OCI). Chaque client dispose d’un tenant client OCI déployé sur 3 Availability Domain, soit 3 datacenters physiques différents. Cela représente de l’ordre de 60 To en base de données Oracle. L’application elle-même représente plus de 150 microservices. De nombreux services OCI sont sollicités dans cette architecture, notamment des briques liées à la cybersécurité. C’est le cas du WAF (Web Application Firewall). Celui-ci a notamment filtré une grosse campagne DDoS lancée sans prévenir par un cabinet reconnu en cybersécurité dans le cadre d’un PenTesting et sans que personne ne s’en aperçoive. Discngine a aussi accès à l’offre de Threat Monitoring qui intègre un feed de Threat Intelligence. Grand utilisateur des conteneurs Docker, Discngine tire profit du Vulnerability Scanning d’Oracle pour évaluer le niveau de sécurité de son infrastructure logicielle et notamment repérer les vulnérabilités des conteneurs de ses partenaires.
Néanmoins, les grands clients poussent l’éditeur à aller toujours plus loin en matière de cybersécurité. La solution Cloud Guard est venue répondre à leurs exigences en matière de supervision de la sécurité. Une autre exigence portait sur le chiffrement et leur volonté de gérer eux-mêmes leurs clés : « Ce fut un peu une surprise pour nous » raconte Eric Le Roux. « Un de nos grand clients nous a demandé de changer rapidement la façon dont nous gérions nos clés. La réactivité des équipes Oracle nous a permis de répondre à cette exigence en quelques jours ! » Damien Rilliard ajoute : « Sur OCI, la gestion des clés est soit réalisée par Oracle, soit l’entreprise peut le faire elle-même, sur un HSM (Hardware Security Module) hébergé par nos soins ou son propre HSM hébergé par ses soins. »
Comme le souligne Eric Le Roux (lire encadré ci-dessous), s’appuyer aussi fortement sur Oracle et ses solutions offre une solution à l’éditeur dont les ressources humaines sont limitées en exploitation et cybersécurité, le tout pour un coût que le CEO estime relativement indolore dans sa facture Oracle.
Alain Clapaud
« Nous avons 4 personnes en interne seulement
sur la cyber, Oracle en a plusieurs centaines »
« Le modèle de responsabilité partagée avec Oracle est très bénéfique pour nous, notamment en termes de ressources humaines. Nous avons 4 personnes en interne seulement sur la cyber, Oracle en a plusieurs centaines. Cela nous a permis de trouver un bon équilibre et nous appuyer sur des ressources additionnelles pour affronter des problèmes très complexes alors qu’il y a de grandes difficultés à recruter les bonnes compétences.
L’autre point clé, c’est l’automatisation. C’est une obsession chez nous pour la mise à l’échelle et la déployabilité de nos solutions dans un contexte d’équipe très réduite. Dans l’environnement Oracle, tout est automatisable, du développement au déploiement en passant par la sécurité.
Enfin, en termes de coût, nous avons remplacé du temps homme par des services gérés par Oracle. Dans notre enveloppe Oracle, la sécurité ne fait pas trop mal et vient se diluer dans les coûts globaux. »
