Grande interview : Guillaume Poupard, Docaposte - Smart Tech

De April MediaWiki
Aller à la navigationAller à la recherche


Titre : Grande interview : Guillaume Poupard, Docaposte

Intervenants : Guillaume Poupard - Delphine Sabattier

Lieu : Smart Tech - B-Smart

Date : 12 novembre 2024

Durée : 16 min 45

Vidéo

Licence de la transcription : Verbatim

Illustration : À prévoir

NB : transcription réalisée par nos soins, fidèle aux propos des intervenant·e·s mais rendant le discours fluide.
Les positions exprimées sont celles des personnes qui interviennent et ne rejoignent pas nécessairement celles de l’April, qui ne sera en aucun cas tenue responsable de leurs propos.

Transcription[modifier]

Delphine Sabattier : Le grand invité de Smart Tech aujourd’hui s’appelle Guillaume Poupard. Bonjour, Guillaume.

Guillaume Poupard : Bonjour.

Delphine Sabattier : Vous êtes le directeur général adjoint de Docaposte, filiale numérique du groupe La Poste, qui a l’ambition de devenir ce grand référent sur les services de confiance et de sécurité numérique en France et en Europe. Vous êtes aussi l’ancien directeur général de l’ANSSI, l’Agence nationale de sécurité des systèmes d’information. Vous êtes aussi pour moi, à ce titre, le maître d’œuvre du SecNumCloud qui doit apporter, pour le coup, la confiance dans le domaine du cloud, confiance qui repose sur des critères notamment de souveraineté, de maîtrise technologique au niveau national et ces critères ne sont pas forcément tous repris dans la version européenne. Vous avez dénoncé une certification européenne pour ces services cloud, qui s’appelle l’EUCS [European Cybersecurity Certification Scheme for Cloud Services], pour faire court, porteuse de vassalité numérique. Vous avez annoncé des jours plus sombres pour l’Europe numérique. Est-ce que c’est toujours, aujourd’hui, votre point de vue, Guillaume ?

Guillaume Poupard : Les mots sont forts, mais, en même temps, les enjeux le sont également. On a absolument besoin, pour des usages qui nécessitent vraiment une protection maximale des données et des process – je ne parle pas pour tout, surtout pas –, mais pour les données très sensibles, les données de santé, les données bancaires, des choses comme ça, on a besoin d’avoir de vraies assurances sur le niveau de sécurité de ces données. Pour ce niveau d’assurance, il faut de la sécurité technique notamment dans le cloud, il faut que ce soit bien fait, à tous points de vue, au niveau technique, au niveau opérationnel, mais également au niveau juridique.
Les offres américaines ont plein de vertus, mais d’un point de vue juridique – et ça n’a rien à voir avec l’élection américaine, c’est vraiment comme ça que fonctionnent les États-Unis –, le droit américain est très intrusif, ce qui fait que si vos données sont stockées sur un cloud américain, eh bien il y a des tas de gens qui peuvent y accéder. Et ça, peut-être que ce n’est pas grave dans 90 % des cas, mais, pour les 10 % restant, il faut être capable de faire autrement. Et, pour être capable d’attester le niveau de sécurité, eh bien il faut des labels. En tant que client, je ne sais pas vérifier si untel ou untel est soumis ou pas au droit américain, s’il fait bien la sécurité.

Delphine Sabattier : C’est contractuel. Un peu contractualisé.

Guillaume Poupard : Oui. Déjà, il faut lire les contrats, il faut les comprendre, et puis, souvent, on subit les contrats dans le domaine du cloud, parce qu’il y a une disproportion entre la taille des clients et la taille des offreurs. Donc, il faut des labels. SecNumCloud est un label français qui visait justement à dire : on veut le meilleur niveau de sécurité technique, opérationnelle et juridique.
IEUCS, c’est une démarche de la Commission européenne que la France, depuis le départ, on est pour, il ne faudrait pas que mes mots soient mal interprétés, mais on considère qu’il y a différents niveaux de sécurité et, au niveau le plus élevé, il faut que la sécurité juridique soit intégrée. Certains parlent de critères de souveraineté. Je parle plutôt de sécurité juridique, l’idée étant que des données dans un cloud au plus haut niveau doivent être protégées au sens où seul le droit européen doit pouvoir s’appliquer.

Delphine Sabattier : Est-ce que ça veut dire que ça menace, finalement, la survie ou l’utilité même du SecNumCloud si l’EUCS est adopté tel qu’il est aujourd’hui ?

Guillaume Poupard : C’est un débat. La priorité reste au fait de pouvoir disposer d’un niveau de certification de niveau élevé – EUCS +, on l’appelle comme on veut –, qui intègre la sécurité juridique. Si ce n’est pas le cas, malheureusement, si l’Europe n’arrive pas à se mettre d’accord là-dessus, on ne sait pas, je ne veux pas du tout anticiper sur l’issue, parce que ce n’est pas du tout joué et peut-être que l’élection américaine va voir un petit impact. Je ne sais pas. Ça va avoir un impact, mais dans quel sens, je ne sais pas dire, c’est compliqué. Mais de fait, si jamais il n’y a pas ce niveau de protection maximal à l’échelle européenne, est-ce que l’on garde ou pas, SecNumCloud en France ? Ce n’est pas une bonne nouvelle.

Delphine Sabattier : Sachant que ça représente des investissements colossaux. J’ai reçu pas mal d’entreprises, d’opérateurs de clouds français, qui m’ont parlé de deux ans d’investissement ! C’est beaucoup de temps, beaucoup d’argent, beaucoup de compétences.

Guillaume Poupard : Oui, ça représente des millions, peut-être, pour certains, là où l’investissement dans le cloud, côté américain, se compte en milliards, pour relativiser. C’est vraiment un sujet très complexe, mais de fait, si jamais l’EUCS n’atteint pas le niveau de sécurité qu’on souhaite, est-ce que l’on garde, ou pas, SecNumCloud, c’est un débat que je ne vais pas faire ici, je n’en ai pas le pouvoir.
Ce que prévoit le droit européen, de manière très légitime, c’est que quand il y a un schéma de certification européen comparable à un schéma national, le schéma national doit disparaître, parce que, autrement, ça ne sert à rien de faire des trucs au niveau européen.
Maintenant, s’il n’est pas du même niveau, pourquoi le faire disparaître ?
J’insiste sur le fait que ce n’est pas une bonne nouvelle, parce que ça veut dire qu’on va continuer à faire des choses en franco-français avec un périmètre qui n’est pas le périmètre européen, ça a moins de sens économique, ça sera plus compliqué, pour les acteurs industriels, de faire ça, ce sera moins rentable, soyons clairs. Donc, c’est un peu dommage. Il faut se battre !

Delphine Sabattier : Donc, il faut continuer à se bagarrer sur ce critère. Là où je suis peut-être un petit peu moins optimiste, c’est que j’ai lu la petite déclaration d’Ursula von der Leyen quand elle a appris la victoire de Donald Trump. Elle a rappelé que l’Union européenne et les États-Unis sont plus que de simples alliés. Elle demande à ce qu’on travaille ensemble sur un programme transatlantique fort. On se dit que là elle essaie plutôt de resserrer les rangs entre l’Europe et les États-Unis. Ce n’est pas votre interprétation.

Guillaume Poupard : Ce sont des alliés très forts. On a absolument besoin des Américains et je ne veux pas sortir de mon champ, mais, dans le secteur de la défense, dans plein de domaines, on a besoin de cette entente avec les Américains. Et pour autant, être allié ça ne veut pas forcément dire être vassal. C’est là où il y a un véritable équilibre à trouver, et l’Europe en a conscience, je n’ai aucun doute là-dessus. Ce qui est important, c’est de bien comprendre que le sujet de la donnée, le sujet du numérique, c’est également un sujet de pouvoir, c’est un sujet de force. Si l’Europe se dit « je vais plutôt privilégier l’énergie, plutôt privilégier la défense, plutôt privilégier l’automobile – je dis n’importe quoi –, le champagne » en se disant finalement, ce numérique, c’est un peu flou, ce serait une très grosse erreur. Ce n’est pas parce que c’est potentiellement plus compliqué d’accès, notamment pour des acteurs politiques, qu’il faut dé-prioriser ces questions numériques. Au contraire, je pense que la puissance de demain s’appuiera énormément sur la capacité à être autonomes dans le domaine du numérique.

Delphine Sabattier : Est-ce qu’on a des offres cloud françaises, même européennes, du niveau ?

Guillaume Poupard : Oui. La réponse est oui.

Delphine Sabattier : Elle n’a pas toujours été oui, quand même, Guillaume Poupard.

Guillaume Poupard : La réponse est oui et je vais nuancer derrière.
Aujourd’hui, les utilisateurs du cloud, les clients, qui sont dans une logique de « je choisis un prestataire, je lui file tout et je fais ça pendant dix ans » déchantent pour des raisons évidentes. Il y a une relation disproportionnée qui s’installe et, si vous faites ça, comme par hasard, tous les trois ans, vous avez une augmentation de la facture qui est monstrueuse et quelles que soient les bonnes intentions et les bons discours, c’est impossible à empêcher.
Donc, pour des raisons financières, pas des questions de sécurité ou de souveraineté, il faut avoir aujourd’hui une stratégie multi clouds. Il faut pour prendre plusieurs fournisseurs, il faut faire jouer la concurrence. Les clients – publics ou privés d’ailleurs, mais c’est très vrai dans le privé – sont condamnés, quelque part, à devoir gérer plusieurs prestataires. Et quitte à gérer plusieurs prestataires, autant ajouter des clouders français, européens et, dans ces clouds-là, mettre les données qui sont particulièrement sensibles. La stratégie, qu’on qualifie parfois d’hybride, est obligatoire aujourd’hui pour des raisons financières, profitons-en pour en faire une stratégie de sécurité également.

Delphine Sabattier : Vous dites ça parce qu’il y a NumSpot dans le scop de Docaposte aujourd’hui ?

Guillaume Poupard : Il y a NumSpot, CloudScale, il y a OVHcloud, il y a Scaleway, il y a Cloud Temple, je peux vous citer pas mal. Il y a dix ans, je n’aurais pas dit ça, parce que ça aurait été plus compliqué, objectivement. Aujourd’hui, il y a de vraies offres, qui sont des offres de qualité, qui sont des offres différentes, complémentaires. Ce ne sont pas des offres qui ont pour vocation de virer les hyperscalers, ce serait complètement absurde et ce serait même dangereux, probablement, d’un point de vue économique. Mais, dans une logique de complémentarité, ça demande un petit effort d’architecture, mais ça se fait très bien, je vais aller mettre mes données financières sur du NumSpot. Je vais mettre mes données de santé sur NumSpot, ou sur d’autres, mais, évidemment, j’ai un petit biais pour du NumSpot. Par contre, sur d’autres sujets, je vais les mettre sur les clouds Azure, Amazon, Google, ce n’est pas grave. Ce qu’il faut c’est assumer une vraie stratégie, avoir une vraie stratégie et se remettre en position de maîtriser les choses. Et si on fait ça, objectivement tout le monde est content. C’est une petite partie dont on parle. C’est 5 %, c’est 10 % peut-être, des grosses miettes, mais ça reste des miettes, mais je pense que notre sécurité est à ce prix-là.

Delphine Sabattier : Vous avez évoqué, par exemple, les données de santé en disant que c’était des données stratégiques, sensibles, qu’on doit savoir bien protéger. Aujourd’hui, le Health Data Hub reste encore sous un cloud américain et à l’époque, vous disiez, je crois que vous en parliez très clairement, « on n’a pas d’offre équivalente. Aujourd’hui, on n’est pas capable de répondre à cette demande ». Aujourd’hui, on le serait ?

Guillaume Poupard : Oui. Des études ont été faites encore récemment par des services de l’État, des gens qui sont allés voir dans le détail, qui disent « il y a encore des petits trucs à développer, il reste les derniers mètres à faire », qui ont été faits depuis, très probablement.

Delphine Sabattier : Donc, le dossier a été révisé, mais il n’y a pas eu de nouvelle décision prise !

Guillaume Poupard : Oui. C’est intéressant de lire dans le détail, l’avis de la CNIL mérite d’être lu. C’est assez étonnant, c’est rare de voir une autorisation avec aussi peu d’entrain, mais parce que c’est très bien justifié derrière, c’est très bien expliqué. Je pense qu’à un moment, il faut vraiment se dire « OK, est-ce qu’on est prêt, ou pas, à faire ce portage ? ». La vraie question qui est derrière, ce n’est pas tant le portage, c’est que, aujourd’hui, la portabilité d’un cloud à l’autre, c’est une arnaque. Porter un système comme le Health Data Hub, ça revient à le redévelopper et, surtout dans le contexte budgétaire actuel, je comprends qu’il y ait évidemment une certaine réticence à redévelopper des choses alors que ça fonctionne, au moins en théorie aujourd’hui.

Delphine Sabattier : Et puis, on n’a pas besoin du label SecNumCloud pour héberger les données de santé aujourd’hui.

Guillaume Poupard : Non, mais c’est quand même une bonne pratique. À terme ce sera une bonne pratique. C’est vrai qu’il y a un autre référentiel.

Delphine Sabattier : Chez NumSpot, en tout cas, on milite pour ne plus faire que du HDS, vraiment de l’hébergement de données de santé, mais vraiment imposer un SecNumCloud.

Guillaume Poupard : Il y a les deux, mais on pense que le label chapeau est dur à atteindre, je ne veux pas dire le contraire. Mais, une fois qu’on l’a atteint, il coûte pas un peu plus cher à faire tourner, mais pas tant que ça. Donc, autant harmoniser par le haut, ce qui fait vraiment sens une fois que les solutions sont prêtes. Les données de santé iraient très bien là-dedans, les données de l’éducation, c’est un autre exemple.

Delphine Sabattier : Est-ce que les données de l’éducation sont des données sensibles ?

Guillaume Poupard : On pense que oui. Je suis juge et partie parce que, chez nous, on a Pronote, que beaucoup de gens connaissent. Quand on est parent, on voit la sensibilité de ces données. Ce qui est dans Pronote, c’est quand même très personnel, c’est très intime. Comme on opère Pronote, on s’est dit « on va pas aller mettre ça sur un cloud d’un hyperscaler, peut-être que ce ça nous coûterait moins cher à faire tourner. Et encore ! Nous avons donc développé notre propre cloud dédié pour Pronote qui est qualifié SecNumCloud aujourd’hui, qui a le meilleur niveau de sécurité, il n’y a que Pronote qui tourne dessus, donc, vraiment, on assure une totale isolation et ça fonctionne. Je ne sais pas si les gens ??? [10 min 56] ou pas.

Delphine Sabattier : Pronote et EDT aussi, le logiciel d’emplois du temps ?

Guillaume Poupard : Exactement. Qui est moins connu parce que c’est un logiciel qui est utilisé par les établissements scolaires. EDT est très apprécié par les chefs d’établissement parce que c’est ce qui fait qu’ils ne passent pas leur mois d’août à faire les emplois du temps. C’est fait de manière automatique, par de l’IA, de manière très évidente quelque part, et c’est protégé, évidemment, par du SecNumCloud. On pense que cette démarche, qui a parfois été vue comme étant trop complexe, en fait, c’est vraiment l’avenir proche et de plus en plus, on voit que beaucoup de gens y vont, d’où cette déception si ça ne passe pas à l’échelle européenne, parce que ce qui marche en France doit marcher en Europe, fondamentalement.

Delphine Sabattier : Je voulais vous parler aussi des nouvelles menaces. Vous venez de l’ANSSI où vous avez passé quand même de nombreuses années. Quelles sont, selon vous, les principales nouvelles menaces aujourd’hui ? Je sais que du côté de Docaposte vous avez sorti une offre dédiée aux PME. Est-ce que c’est là, aujourd’hui, vraiment le gros maillon faible, selon vous, en matière de cybersécurité, par exemple ?

Guillaume Poupard : La menace au sens technique, opérationnel, n’évolue pas si vite que ça. On a de l’espionnage, ça continue, les États s’espionnent entre eux, c’est comme ça. On a des risques de niveau quasi militaire. Aujourd’hui, les gens font la guerre dans l’espace numérique, c’est moins visuel, ça fait moins d’images que la guerre classique avec des bombes et tout cela, des trucs horribles, mais c’est vraiment ça aujourd’hui ; dans tous les conflits, il y a un pendant numérique qui est très fort. Et puis, il y a ce risque criminel qui peut toucher les gros comme les petits – les gros, c’est péjoratif –, mais les grandes entreprises, les grandes administrations se sont adaptées, se protègent aujourd’hui. On parle beaucoup moins de rançongiciels chez des grandes victimes, parce que, simplement, les gens sont mis à se protéger. Pour les plus petits, c’est beaucoup plus complexe parce qu’ils ne sont pas experts, ils ont du mal à mettre les moyens. Et les petits ce sont les PME, ce sont les collectivités locales, les établissements de santé.

Delphine Sabattier : Quel est leur problème ? Ce ne sont pas tellement les offres disponibles sur le marché, c’est le budget à y consacrer.

Guillaume Poupard : Non, ce sont les offres, parce que c’est très compliqué d’acheter de la cyber aujourd’hui, essayez. Allez voir l’offre. Elle est allée plutôt riche, c’est génial, mais c’est impossible de s’y retrouver quand on n’est pas expert. Ce qu’on fait – d’ailleurs nous ne sommes pas les seuls à le faire –, on va prendre la techno, on va l’assembler, l’intégrer, on va cacher toute la technique, tout ce qui est expertise, et on va dire aux gens « voilà, vous voulez vous sécuriser, vous voulez consommer de la sécurité – c’est très moche comme terme, mais c’est vraiment ça l’idée –, vous vous abonnez, vous payez, et pour tant d’euros par mois et par poste, vous avez de la sauvegarde, vous avez de l’identification, vous avez du filtrage de mails », tout ce qu’il faut pour faire une belle sécurité, sans avoir à comprendre comment marche la sauvegarde, comment marche un EDR. On laisse tout ce jargon technique de côté, et quelqu’un qui ne veut pas aller voir les rapports, même pas savoir s’il a été attaqué ou pas, s’il y a eu des tentatives d’attaque ou pas, il n’est pas obligé d’aller voir.
Il faut, il faut cibler ce segment-là, parce que c’est là où, aujourd’hui, massivement, on a énormément de victimes, avec des conséquences qui peuvent être dramatiques.

Delphine Sabattier : Et les fuites de données ? On a encore l’exemple de fuites de données chez Free. On se demande comment est-ce qu’on peut faire pour arrêter, stopper cette hémorragie ? Il y a des moyens ? Il y a des outils ?

Guillaume Poupard : Il y a deux choses essentielles.
D’abord, il faut que les gens qui détiennent les données soient encore plus sérieux dans la protection de ces données, parce que qui dit fuite dit, quelque part, qu’il y a eu des erreurs faites. C’est trop facile de tirer sur l’ambulance, ce n’est certainement pas ce que je ferai, j’ai plutôt beaucoup de compassion pour les équipes sécurité des boîtes qui sont touchées comme ça. Mais, nonobstant, la cible a pas été atteinte en termes d’objectifs. C’est la première chose et de l’autre, il faut former les gens. Est-ce que c’est grave d’avoir son adresse, son téléphone, son mail, son IBAN dans la nature ?

Delphine Sabattier : Ça commence à faire beaucoup !

Guillaume Poupard : Ça commence à faire beaucoup et, statistiquement aujourd’hui, l’immense majorité des Français ont toutes ces données qui sont dans la nature, sans le savoir. Ce sont des données qui sont quasi publiques, on pourrait discuter, mais quasi publiques. Le problème, c’est qu’un attaquant qui connaît tout ça de vous, peut monter des escroqueries qui sont extrêmement efficaces. Je vous appelle, je me fais passer pour votre banquier, je connais votre IBAN, je connais votre nom, je connais votre adresse, je connais…, vous allez finir par penser que je suis vraiment votre banquier et peut-être que vous allez faire l’action que je vais vous demander de faire. Donc, il faut former : « Attention, ce n’est pas normal ! Votre banquier qui vous appelle comme ça, ça ne devrait pas se produire. »

Delphine Sabattier : Sensibiliser.

Guillaume Poupard : Exactement, c’est la base et il faut apprendre cette hygiène numérique. On n’y est pas encore.

Delphine Sabattier : On va passer à l’interview express. Je vais vous poser des questions très binaires, est-ce que vous pourriez répondre très rapidement, qu’on arrive au bout.
Oui ou non, vous espériez justement un ministre de la cyber dans le gouvernement Barnier pour sensibiliser, pour porter aujourd’hui ces sujets majeurs qui sont discutés en Europe ?

Guillaume Poupard : Je n’ai pas d’avis sur l’architecture gouvernementale. Par contre, il faut qu’un ministre se sente concerné par le sujet cyber. Je pense que c’est le cas.

Delphine Sabattier : Ah ! Qui ?

Guillaume Poupard : Chiara Chappaz.

Delphine Sabattier : Vrai ou faux, les offres clouds françaises ne rattraperont jamais celle des hyperscalers ?

Guillaume Poupard : Elles seront complémentaires, durablement complémentaires et intéressantes à ce point-là.

Delphine Sabattier : Pour ou contre, il faut revoir l’attribution de l’hébergement du Health Data Hub, dont on a parlé, avec un critère de sélection, d’offreur national.

Guillaume Poupard : Oui.

Delphine Sabattier : Grave ou pas, le regard politique que l’on prend sur la transposition de la directive NIS 2, qui doit élever ce niveau global en matière de cybersécurité ?

Guillaume Poupard : La transposition va se faire, elle va bien se faire malgré la complexité parlementaire actuelle. Je suis plutôt très confiant sur les travaux qui ont déjà été faits, sur toute la préparation qui est excellente et sur le fait que ce soit un sujet de consensus qui dépasse les clivages politiques.

Delphine Sabattier : J’y crois ou je n’y crois pas à la survie du SecNumCloud français, justement face à cette certification européenne, l’EUCS ?

Guillaume Poupard : Je souhaite qu’elle disparaisse au profit d’une certification de même niveau à l’échelle européenne.

Delphine Sabattier : On peut, ou pas, mettre fin à l’hémorragie des fuites de données personnelles.

Guillaume Poupard : Il faut. Ce n’est pas qu’on peut ou pas, c’est qu’il faut ! On n’a pas le choix !

Delphine Sabattier : Est-ce un rêve ou un cauchemar, l’IA générative en matière de cybersécurité ?

Guillaume Poupard : Rêve, évidemment, ça va servir aux deux, mais il faut que ce soit les gentils qui gagnent à la fin !

Delphine Sabattier : Merci beaucoup, Guillaume Poupard, d’avoir été dans Smart Tech avec moi aujourd’hui. C’était mon grand invité, le directeur général adjoint de Docaposte. Merci.

Récupérée de « http://wiki.april.org/index.php?title=Grande_interview_:_Guillaume_Poupard,_Docaposte_-_Smart_Tech&oldid=112753 »