Quand une société veut protéger son patrimoine informationnel, dirigeants, directeurs financiers et juristes sont en première ligne. Alexandre Grellier, directeur général de Drooms, une société dont le siège est en Allemagne, spécialiste des échanges de documents confidentiels, explique pourquoi la cybersécurité est à la fois une question de technologie, d’usages et de conviction de la part des chefs d’entreprise.

Alliancy, le mag. Dans l’entreprise, la cybersécurité est souvent vu comme un sujet technique, purement informatique, qui échoit donc à la DSI ou équivalent. Est-ce un problème pour un acteur comme Drooms ?

Alexandre Grellier. Nos principaux interlocuteurs ne sont pas des directeurs du système d’information, car nous nous positionnons sur la sécurisation des données qui sortent de l’entreprise, lorsqu’elles sont par exemple adressées volontairement à un tiers dans le cadre d’une fusion-acquisition. C’est donc bien un sujet de dirigeant, de directeur administratif et financier et de juriste. Drooms a été créée en 2001 par des experts du monde du droit et de la finance : nous proposons depuis une dataroom virtuelle qui permet de consulter et d’échanger de très nombreux documents confidentiels en confiance. Notre constat est en effet que la façon traditionnelle dont sont traités ces documents d’affaires est loin d’être optimale. Le manque de transparence et de structuration nuit à la fois à l’efficacité et à la sécurité des démarches.

Comment cela ?

Admettons que vous vendiez votre entreprise. Vous devez mettre à disposition des acheteurs des documents sensibles, voire très sensibles. Naturellement, certains de ces acheteurs peuvent être des concurrents. Vous leur ferez donc signer un contrat de confiance… Mais sur le terrain, voilà ce qui peut au final se passer : les documents sont rangés dans une dataroom physique, surveillée par quelques personnes. Il n’est pas rare que l’autre partie, vos futurs acheteurs, arrivent avec 80 experts en même temps pour lire, analyser, évaluer ces centaines de documents mis à disposition tout au long de la journée. Difficile de tout surveiller : le soir, quand ils repartent, comment être certain de ce qui a pu être détourné ou subtilisé ?

La dématérialisation répond à de tels enjeux de façon satisfaisante ?

En partie. Techniquement, il est toujours possible de subtiliser un document, ne serait-ce qu’en prenant en photo l’écran les affichant, même si l’on n’a pas le droit d’y accéder. Le principe de Drooms est justement de proposer une réponse avec une gestion fine des accès. Avec une dataroom virtuelle, le propriétaire des documents confidentiels les upload sur la plateforme sécurisée, puis donne des accès très précis aux personnes de son choix. Il est ensuite possible de tracer très précisément toutes les activités menées avec les documents. De plus, un filigrane dynamique indique directement sur chaque document le nom de la personne qui y accède et le consulte, ainsi que la date de la consultation.

Les évolutions en matière de sécurité d’une dataroom ne doivent cependant pas nuire à la simplicité de la gestion et de l’usage. Nous nous adressons typiquement à un public d’entrepreneurs et de juristes, pas à des experts techniques. Ce n’est pas à eux de modifier leurs façons de faire : à nous d’assurer la sécurisation permanente de nos propres infrastructures. Les possibilités, upload, invitation sur la plateforme, consultations… doivent donc rester très simples et intuitives.

N’est-ce pas également ce que proposent des outils de type « box », comme Dropbox et d’autres : échanger plus facilement des documents et mieux collaborer dans et hors de l’entreprise ?

Il faut déjà être capable de délivrer une capacité de service, en volume et en vitesse, très importante. Peut-on vraiment manipuler, consulter, échanger des milliers de documents en temps réel avec un box dont le principal usage s’adresse au grand public, le tout sans latence ? Par ailleurs, protéger des documents comprend une dimension technologique, empêcher qu’un tiers pénètre sur votre plateforme pour voler des données par exemple, mais aussi légale. Bien souvent, le problème avec un service de type « box » va être de prendre connaissance des « Termes of use » complexes et difficiles à appréhender. Savez-vous vraiment où sont hébergés vos données, vos documents ? Comment les récupérer en cas de problème ? Quel cadre législatif risque de s’appliquer ? C’est une garantie que nous pouvons apporter : l’hébergement de nos données sont garanties dans notre cloud privé, dans nos datacenters en Allemagne et en Suisse, deux pays très à cheval sur la protection des données.

Pas en France ?

Les récentes évolutions législatives françaises  (la loi sur le renseignement votée durant l’été, ndlr) ne vont pas dans ce sens, non. Nous sommes très vigilants sur ces sujets et bien que l’on ne puisse pas beaucoup influencer de telles orientations nationales, nous nous adaptons pour que nos clients puissent avoir confiance. En Allemagne, de telles lois n’existent pas encore. Si le cadre législatif venait à évoluer, nous en tirerions les conséquences. La Suisse a toujours été très neutre et stable sur ces questions, il y a donc peu de chance que le pays imite la France.

Mais vos clients sont-ils aussi sensibles que vous à ces changements ?

Il est vrai que l’intérêt porté à ces questions varie beaucoup. Même chez les avocats, que l’on pourrait cependant suspecter d’être plus attentifs à ces sujets, nous avons des clients qui se montrent peu sensibles. L’argument n’est pas nouveau : pour un entrepreneur ou un spécialiste métier, la priorité est de faire avancer son business, rien d’autre. Pourtant, l’espionnage économique est une réalité multiforme qui demande l’attention des dirigeants, quelle que soit l’activité concernée. Mais une affaire comme celle de Ferrostaal, en Allemagne, reste encore peu connue, alors même qu’elle est parfaitement révélatrice… et date de 2003 !

Qu’est-il arrivé à Ferrostaal ?

Cette entreprise de services industriels négociait un contrat de plusieurs dizaines de millions d’euros en Afrique. Elle a appris une semaine seulement avant signature que son principal concurrent américain l’avait devancée. Ce n’est que bien plus tard, qu’elle s’est rendue compte que ses communications avaient été interceptées – a priori par une agence américaine, qui en a transmis les détails au « champion » national.

Ferrostaal compte des milliers d’employés dans près de 40 pays et un chiffre d’affaire à l’avenant. Les PME peuvent-elles s’y identifier et se dire qu’elles sont également concernées ?

La perception de la menace est une vraie problématique pour les entreprises de taille plus réduite. C’est une question de rapport entre le risque perçu et le coût pour se protéger évidemment. Aujourd’hui, malheureusement, les PME innovantes ne protègent quasiment pas leur propriété intellectuelle et leurs secrets industriels. Pourtant c’est leur existence qui en dépend. Cela peut aussi poser des problèmes dans leurs rapports aux grands groupes. Heureusement, les fondateurs de start-up qui naissent ces dernières années sont de plus en plus vigilants. Ils intègrent de mieux en mieux ces impératifs. Pour les entreprises de taille intermédiaire et certains groupes, il y a par contre une vraie conviction à avoir de la part des directions générales, et de leurs interlocuteurs… Nous estimons que cette conviction va aller en se renforçant, vu la médiatisation croissante du sujet.

Guide du RSSI de demain, la rédaction d’Alliancy, le mag a mené l’enquête ! Découvrez dans notre dernier guide le portrait-robot de cet acteur incontournable de la transformation numérique. > Je télécharge