Entretien avec Coralie Héritier, CEO, IDnomic

Coralie Héritier, CEO, IDnomic, réagit sur plusieurs sujets cyber ! 

Quelques mots sur IDnomic ?

IDnomic intervient dans l’identité citoyenne notamment dans le cadre de l’émission des passeports biométriques : elle fournit des solutions allant de la sécurisation des fichiers biométriques à la vérification des documents d’identité aux postes de contrôle. Nous gérons la création, la gestion du cycle de vie et le support de certificats électroniques, qui sont des identifiants numériques forts, et qui, associés avec d’autres facteurs d’authentification (doubles, voire triples) permettent de garantir une sécurisation des accès aux systèmes d’informations de plus en plus faciles et avec un niveau de sécurité très élevé. IDnomic assure aussi la sécurité des IOT, en utilisant la même technologie, la PKI, qui s’impose de plus en plus comme une technologie transverse et assez universelle. Cette technologie est déjà utilisée pour assurer la sécurité des ITS (intelligent transport systems), et notamment des voitures qui dans le projet Européen « Scoop » utilisent le réseau de communication ITS G5 (*) .

Avez-vous remarqué un changement depuis le début de votre carrière dans la cybersécurité ?

En France, il y a un avant et un après WannaCry. Auparavant, la sécurité venait au second rang des préoccupations. Nous devions faire beaucoup d’éducation sur le sujet ainsi que de la sensibilisation. Maintenant, grâce notamment au RGPD, les sociétés sont davantage poussées à communiquer, afin notamment d’instaurer un cadre de confiance, mais aussi à remettre en cause leurs processus de sécurité IT. Il reste néanmoins un gros travail à faire auprès des TPE/PME/ETI.

Mais quels sont les besoins de ces types d’entreprises ?

Les petites entreprises vont se tourner vers les entreprises de conseil, et donc vers des ingénieurs en sécurité plus généralistes, capables de traiter une large palette de problèmes de sécurité. Il faut savoir qu’en France, le tissu cyber est majoritairement composé de PME car il y a besoin d’agilité et de rapidité. Les grandes entreprises de la cyber ont plutôt un rôle de fédérateurs et d’intégrateurs dans de grands projets digitaux et de sécurité IT.

Y-a t-il des contraintes importantes pour les sociétés qui travaillent avec le gouvernement ? Si oui lesquelles ?

Les contraintes imposées par le gouvernement sont simplement celles citées dans la LPM. Chaque société en fonction de son importance (OIV, OSE ou autre, …) à un niveau de sécurité à respecter. L’actualité du moment est l’arrêté de septembre dernier permettant de transposer en droit français la directive NIS, qui définit précisément le niveau de sécurité imposé aux OSE (organismes de services essentiels). Cela permet de garantir la résilience des services rendus à des acteurs stratégiques de l’économie et de l’industrie française.

Que pensez-vous de l’affaire Diginotar (**) ?

Dans cette affaire, Diginotar n’a pas respecté les règles de l’art en matière de sécurité, et a communiqué trop tard sur l’incident. Leur propre autorité de certification a été compromise alors qu’ils étaient fournisseurs de certificats serveurs (SSL), certificats électroniques de PKI « Publique » pour lesquels la confiance dans l’autorité de certification qui les émet est fondamentale. IDnomic, fournit des services de certification électronique pour de AC privées, l’activité est différente. Pour autant, nous sommes un tiers de confiance et nous nous devons de respecter les règles imposées notamment par l’ANSSI, mais désormais aussi par les règlements en vigueur. Pour cela nous sommes régulièrement audités. .

Comment peut-on aujourd’hui résister face aux GAFAM ?

Il n’y a probablement pas de futur GAFAM en France. Nous luttons difficilement face à eux car si nous avons de très bons ingénieurs et une expertise reconnue, nous ne sommes pas suffisamment bons en marketing. Tenter de résister dans l’absolu est sans doute utopique et n’est pas la solution. Il faut plutôt éviter de dépendre totalement d’eux et proposer des alternatives. C’est ce que fait HexaTrust en regroupant les sociétés qui apportent une technologie de pointe en France et propose des solutions de cybersécurité qui peuvent s’interfacer et rendre plus sure l’utilisation de leurs services. Le but est donc d’apporter une complémentarité plutôt que de lutter contre eux.

Avez-vous un message à faire passer aux femmes qui travaillent ou veulent travailler dans la cybersécurité ?

La mixité progresse dans tous les domaines et c’est une bonne chose. Cela permet d’avoir une ouverture d’esprit plus grande et de partager des points de vue différents. Cependant en informatique elles représentent encore une petite minorité, a fortiori dans la cybersécurité. Les femmes de la cybersécurité doivent à mon sens avoir un rôle d'ambassadrices. Elles doivent montrer que c’est possible. La promotion des femmes dans l’informatique doit être faite au plus tôt, et les formations doivent être facilitées, dans les cursus scolaires et d’études supérieures, mais aussi dans le cadre de la formation continue.

(*) : SCOOP : Est un projet de déploiement pilote de systèmes de transport intelligents coopératifs, c’est-à-dire basés sur l’échange d’informations entre véhicules connectés et entre le véhicule et la route.

(**) : DigiNotar était une autorité racine de certification. En 2011, elle a été victime d’une attaque ce qui eut pour conséquence la compromission de tous les certificats émis jusqu’alors, car il était impossible de déterminer les certificats légitimes des illégitimes. A la suite ce cette attaque, DigiNotar a fait faillite.

Interview réalisée en partenariat avec les élèves de l'EPITA

Dernière publication

Retour sur Les Assises 2018 avec une série de questions/réponses de Benjamin Delpy, responsable du Centre de R&D en Sécurité de la Banque de France et créateur de mimikatz. 

Lire