Pour Stanislas de Rémur, le PDG et fondateur d’Oodrive, le besoin de sécuriser les données est devenu incontournable. Il milite en faveur d’une meilleure gouvernance de la data.
Quelle direction est en train de prendre le marché de la donnée sensible ?
La donnée, et plus spécifiquement la gestion de cette donnée, est un sujet majeur pour les entreprises. Et pour une raison très simple : la cyber-menace est omniprésente et de plus en plus sophistiquée. Une fuite ou une perte de données peut avoir de lourdes conséquences pour une organisation. Jusqu’à la forcer à mettre la clé sous la porte. Pouvez-vous imaginer l’impact que qu’aurait la divulgation du bilan financier d’une entreprise du CAC 40 ou les secrets de fabrication des produits d’une entreprise de biotechnologie ?
Les entreprises ont conscience de ces problématiques. Et elles savent qu’elles ne peuvent pas gérer toutes leurs données de la même manière. Plus elles sont sensibles, plus elles doivent être gérées avec précaution.
Chez Oodrive, nous avons fait de la gestion de la donnée sensible notre cœur de métier. Nous mettons tout en œuvre pour permettre à nos clients de partager n’importe quel document en toute sécurité. Mais ausssi d’échanger avec leur écosystème de manière sûre grâce à nos solutions de confiance numérique.
Comment mieux sensibiliser les collaborateurs ?
Chaque collaborateur aujourd’hui doit être sensibilisé aux risques que représente une publication non maîtrisée des données de son entreprise. Et bien évidement la direction ne fait pas exception. La gestion de la data est devenue un sujet à part entière de gouvernance d’entreprise.
Pour une société comme Oodrive, cette sensibilisation peut se faire notamment grâce à des organismes comme l’ANSSI. L’Agence est incontournable dans notre écosystème. Grâce à la publication par exemple de guides de bonnes pratiques en matière de sécurité et de défense des systèmes d’information.
Qu’apporte la certification SecNumCloud à vos services ?
Nous collaborons étroitement depuis des années avec l’ANSSI. Récemment nous avons été les premiers à obtenir la qualification SecNumCloud. Il s’agit de la plus haute et la plus exigeante dans le domaine du Cloud computing. Pour les entreprises, de plus en plus sensibilisées à la cybersécurité, une telle qualification peut devenir un argument massif dans le cadre d’un appel d’offre. Dans un avenir proche, certains appels d’offres seront réservés aux solutions qualifiées. L’ANSSI recommande déjà les solutions qualifiées aux infrastructures critiques comme les OIV, soumis à des règles de confidentialité très strictes.
En ce qui concerne la classification des données, c’est un véritable problème de fond
Le partage de documents n’est pas le seul axe sur lequel nous sommes présents pour assurer la sécurité des données sensibles de nos clients. La confiance numérique – à travers nos offres de signature et de certificat électronique – occupe une place très importante chez Oodrive, via notre filiale CertEurope.
Grâce à une signature qualifiée, nous permettons aux entreprises de donner davantage de valeurs à leurs documents. C’est un argument fort auprès de certaines professions réglementées comme les avocats ou les huissiers de justice avec qui nous collaborons depuis longtemps. Nous sommes actuellement sur une tendance lourde qui implique un recours massif à la dématérialisation sécurisée. Les entreprises vont de plus en plus se tourner vers ce type d’outils qui instaurent la sécurité et la confidentialité dans leurs échanges.
Que pensez-vous de la maturité des grands donneurs d’ordre. Et plus généralement, de la séparation entre données sensibles et non sensibles ?
A mon sens, il y a un problème de compréhension vis-à-vis de ces problématiques. La DGE (Direction Générale des Entreprises) a permis d’éclaircir certains points en ce qui concerne le prélèvement non autorisé de données par des entreprises américaines. Elle explique qu’il existe véritablement deux lois. Tout d’abord, une loi issue du Cloud Act, d’incidence pénale. Dans les faits, par cette loi à portée extraterritoriale, une entreprise américaine peut être contrainte par des autorités d’enquêtes et de poursuites de fournir certaines données de ses clients.
Il existe un cadre commercial entre un fournisseur de services et son client. En cas de rupture de contrat, une entreprise américaine pourra éventuellement dédommager son client. Mais les conséquences ne sont pas les mêmes que dans un cadre pénal. Peu d’entreprises européennes comprennent cette distinction entre cadre juridique et cadre légal général.
En ce qui concerne la classification des données, c’est un véritable problème de fond. Pour tirer pleinement profit de toutes les données dont elle dispose, une entreprise doit commencer par les trier. Selon leur nature, elles ne seront pas gérées de la même façon. Pour beaucoup d’organisation, ces données sont traitées via des plateformes américaines, devenues quasiment incontournables aujourd’hui. Mais il faut être capable d’utiliser la bonne plateforme pour la bonne donnée. Une entreprise dont les données sensibles sont stockées par un fournisseur de service américain perd son contrôle dessus. Le risque que les autorités judiciaires américaines y accèdent est bien réel.
En matière d’infrastructure cloud, n’existe-t-il pas une prédominance préjudiciable des grands donneurs d’ordre. Un acteur comme OVH est-il en mesure de disposer de la même force de frappe que Google ?
Je suis toujours étonné de voir de grandes entreprises publiques françaises choisir exclusivement des prestataires d’hébergement américain.
Prenons un exemple concret. Lorsqu’une grande entreprise publique de transport sélectionne parmi ses prestataires d’hébergement IBM, AWS et Azure, cela m’interroge. Ne sommes-nous pas en mesure de concurrencer ces grands groupes au niveau européen, voire national ? J’ai du mal à croire qu’aucun hébergeur européen ne soit capable de fournir des prestations équivalentes.
Aujourd’hui, les solutions américaines sont très installées au sein des entreprises européennes. Et les sociétés américaines sont excellentes en marketing ! Les choses sont en train de changer. Et elles doivent changer dans le domaine public qui doit être précurseur et moteur dans ce changement. Nos administrations doivent disposer d’un niveau de sécurité élevé, et pour cela faire appel à des champions tricolores. La France dispose de pépites dans le domaine de la Tech, et c’est une chance. Nous devons impérativement conduire une solide politique européenne en matière de numérique.
Etre une solution française à l’international qui traite de la donnée sensible représente-t-il un atout apprécié ?
Nous avons pu constater qu’être français est un argument de poids. Nous avons eu plusieurs exemples d’entreprises qui ne pouvaient pas collaborer avec des prestataires américains pour diverses raisons et qui ont naturellement fait le choix d’une solution européenne. Les entreprises apprécient la proximité avec leur prestataire.
Les problématiques liées à l’international sont très présentes chez Oodrive. Nos collaborateurs sont principalement en France. Nous avons également des bureaux dans différents pays européens. Nous avons pour ambition de nous développer en priorité en Allemagne et en Suisse, et nous commençons à cibler certaines régions stratégiques comme l’Asie.
Pour accéder plus facilement au marché allemand, nous avons signé un accord commercial exclusif avec Drooms, leader de datarooms virtuelles en Europe. Il s’agit d’un partenariat stratégique avec d’excellentes synergies commerciales.
Quelles sont les perspectives de développement pour Oodrive ?
Nous proposons des produits ouverts. Des connecteurs et des API permettent de créer de véritables gammes de services. La valeur ajoutée des solutions professionnelles réside dans leur capacité à interagir entre eux.
Nous avons pour objectif d’agrandir notre force commerciale. Nous voulons vendre nos produits en direct et en indirect. Le troisième point important concernant le développement du groupe concerne notre système d’information. Nous finalisons une étude qui aura duré 6 mois et qui à terme nous permettra d’être plus agile.
Pour aborder sereinement les prochaines étapes d’Oodrive, nous avons jugé nécessaire de revoir notre gouvernance. Cédric, Edouard et moi-même (les fondateurs d’Oodrive, ndlr) avons souhaité prendre de la distance vis-à-vis de tout l’opérationnel. Un nouveau COO nous a rejoint pour prendre en charge le pôle Revenu (vente, marketing et delivery). L’équipe dirigeante a accueilli un nouveau CTO en charge de la R&D et de l’IT.
Ces nouveaux talents sont essentiels à notre évolution. Ils disposent d’une expertise précieuse pour accompagner le changement dans l’entreprise. Ces recrutements sont cruciaux pour permettre à Oodrive de réussir ses prochains challenges.
Olivier Robillart