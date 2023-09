Jérôme Lecat, SCALITY : Le vrai enjeu de la cybersécurité est d’apporter des solutions ultrasécurisées et simples à utiliser

septembre 2023 par Valentin Jangwa, Global Security Mag

Global Security Mag : Jérôme Lecat, merci de nous recevoir. Pouvez-vous nous dire comment votre parcours professionnel vous a conduit et déterminé à ce que vous faites actuellement ?

Jérôme Lecat : J’ai fait des études d’ingénieur, et très jeune, j’ai eu envie d’être entrepreneur.

En 1994, j’ai démarré ma première entreprise qui s’appelait Internet-Way, et qui était un fournisseur d’accès internet leader en France.

Le succès de la société a amené à son rachat par UUNET, leader mondial dans le domaine de l’accès Internet à l’époque.

Et à travers cette expérience, j’ai découvert le plaisir de construire des infrastructures informatiques.

Dans ce monde informatique ou beaucoup pensent à très court terme, moi j’aime penser à long terme, et construire des choses qui resteront dans le temps.

Après Internet-Way, j’ai continué dans le monde de l’infrastructure en traitant la problématique du spam sur les courriels, en créant en 2003, Bizanga, une entreprise de logiciels pour gérer ce problème que l’on considère aujourd’hui comme résolu grâce à Bizanga et d’autres solutions du marché. Et à ce jour, je suis fier de dire qu’il y a encore des clients qui ont le logiciel Bizanga pour des dizaines de milliers d’utilisateurs, et donc 20 ans plus tard.

Ce qui m’a amené à créer Scality, c’est de le fait de voir les innovations qui se passaient sur le Cloud, avec Amazone, Google, Facebook (Meta) qui sont effectivement des services Cloud.

Voir que c’était possible de fabriquer, grâce à du logiciel, et sur des serveurs standards, des services de stockage des données qui seraient à la fois beaucoup moins chers, beaucoup plus performants et fiables.

En moyenne, quand un client déploie la solution Ring de Scality, il le garde pendant 15 ans. Il s’agit vraiment d’un produit d’infrastructure.

En 2008, il était devenu pour moi une évidence que s’il y avait un moyen de stocker beaucoup de données, beaucoup moins cher, de façon plus fiable et plus performante, les entreprises allaient vouloir cela. C’était juste une question de temps.

Les entreprises, en général n’aiment pas trop changer des solutions qui fonctionnent.

Nous avons fait réaliser une étude indépendante par IDC auprès de nos clients, et elle a montré que quand ces clients déploient le logiciel de Scality, ils économisent 59% sur leurs coûts d’exploitation du stockage des données. C’est un chiffre énorme qui motive les entreprises, et c’est ainsi que nous avons développé Scality, en leur apportant une vraie proposition de valeur sur le métier de l’infrastructure informatique que j’aime beaucoup. Nous avons amené une vision de long terme dans un métier qui a tendance à être trop sur le court terme.

Je laisse Luc d’Urso, ATEMPO, CEO, et William NICOL, EVIDEN, Team Leader of High-End Platform Solutions Architects Big Data & Security, vous en dire plus.

Luc d’Urso : Je suis le CEO et Co-Fondateur de la société Atempo, qui est un éditeur français de solutions de sauvegarde, spécialisé dans la protection des données et la remédiation dans la Cyber, avec une présence à l’international dans 47 pays, 5 implantations régionales, un siège à Paris, et un laboratoire d’Intelligence Artificielle (IA) qui est à Orléans.

L’offre commune avec Scality et Eviden, s’inscrit dans différentes tendances.

Il s’agit tout d’abord de prendre en compte les besoins de donneurs d’ordres publics que nous avions enregistrées, individuellement chacune des 3 sociétés. Ces entités publiques ont émis le souhait de pouvoir bénéficier d’une offre complète en solutions packagées ou réunies au travers d’un guichet unique. La demande nous a donc été faite de nous associer, d’arrêter de parler de technologies, mais plutôt d’usages, en proposant des solutions simples à acheter, à déployer, et à administrer. Cette première tendance venait donc des pouvoirs publics et autres grands donneurs d’ordres, à commencer par l’Agence Nationale du Numérique de Défense (AND) selon le témoignage l’Ingénieur Général de l’Armement (IGA) Dominique Luzeaux, Ancien Directeur adjoint Plans de la Direction Interarmées des Réseaux d’Infrastructure et des Systèmes d’Information de la défense (DIRISI), et ancien Directeur de l’AND.

La deuxième tendance, c’est la règlementation, avec l’avènement de la directive européenne NIS2 qui va exiger d’un panel large de de différents secteurs d’activités, de renforcer leurs niveaux de résilience. Comme l’application de la directive est à l’horizon d’un an, c’est le temps juridique pour que la directive soit inscrite dans le droit français, et la Cybermenace étant là tous les jours, le souhait était d’accompagner toutes ces Organisations qui sont sensibles au sujet de la confidentialité et sécurité des données, et leur apporter une solution 100% souveraine. En effet, Confidentialité, du fait de la gouvernance des sociétés Atempo, Eviden, et Scality, qui sont des entreprises françaises, elles immunes en non assujetties aux procédures extraterritoriales notamment celles des pouvoirs publics américains comme la FISA.

Et sur la sécurité, il s’agit surtout de la sécurité des codes de confiance, c’est-à-dire des codes édités en France, ce qui est le cas pour nos 3 sociétés associées. Nous ne sous-traitons pas la conception et l’architecture de ces codes, ce qui donne la certitude que dans le cas d’une mise à jour, nous n’embarqueront pas un code malveillant qui au lieu d’écrire, va effacer par exemple en matière de sauvegarde.

Ces deux sujets sont des attributs et des bénéfices concrets pour nos clients qui pourront ainsi disposer d’une solution souveraine.

Notre souhait était d’amener le meilleur de la performance sans oublier le scope ou la partie fonctionnelle.

Atempo est donc associée à Eviden, un des meilleurs constructeurs mondiaux, Scality, un des meilleurs acteurs et leader mondial, et nous amenons en toute humilité nos trente années d’expérience dans le domaine de la sauvegarde.

William Nicol : Je suis Responsable des équipes Avant-Vente d’Eviden en France sur le périmètre des serveurs d’entreprises.

Eviden est avant tout une entreprise de services et aussi à notre taille, le seul constructeur européen de serveurs. Nous construisons et assemblons différentes gammes de serveurs en France à Angers. Eviden est très connue dans le monde du HPC (High Performance Computing ou calcul de haute performance) ce qui est notre « Ferrari », mais nous avons aussi toute une gamme de serveurs dits d’entreprises qui bénéficient in fine de la connaissance acquise dans le monde du HPC, ce qui leur donne globalement 5 ans d’avance par rapport à ce qu’on va retrouver dans l’informatique d’entreprise traditionnelle. C’est toute la cohérence de notre offre qui nous permet d’avancer.

L’offre commune Eviden, Scality, Atempo, c’est d’abord une rencontre de personnes qui ont des clients institutionnels ou privés en commun. Ces clients fidèles depuis de nombreuses années nous ont demandé de travailler ensemble en nous précisant qu’ils y avaient intérêt et nous aussi.

Lors de notre rencontre, Jérôme, Luc, et moi, nous sommes rendus compte que nous avions des assets ou actifs, des sujets communs qui nous portaient au quotidien, et notamment le principal qui est la souveraineté. C’est le cœur de notre message, au-delà de la technologie.

Nous aimons construire des solutions clés en main, adaptés pour nos clients. Nous avons des briques, et nous pouvons ensuite ajuster.

L’état d’esprit de cette alliance et cette offre est donc fondé sur la souveraineté et une des solutions simples à mettre en œuvre. Nous pouvons commencer par un petit périmètre et également adapter l’offre pour les très gros besoins, avec une capacité de scalabilité ou de passage à l’échelle au fur et à mesure des besoins.

En matière d’actifs, l’offre repose sur 3 produits souverains. Scality avec une offre de stockage par objet avec une capacité à rendre immuable les sauvegardes, Atempo qui va orchestrer la gestion de ces sauvegardes avec du Data Management pour s’assurer que les données sont au bon endroit, dupliquées et sécurisées correctement. Eviden va apporter la couche d’infrastructure, en mettant à disposition nos serveurs, en agrégeant la solution pour rendre le service à nos clients. C’est la première brique annoncée lors des Universités d’été Hexatrust.

L’offre est intégrée à la gamme de serveurs Eviden X86 « BullSequana », et Stéphanie Abria (Alliance Partner Big Data chez Eviden) précise que c’est Eviden supervisera et commercialisera l’ensemble de la solution.

Sur les besoins de sécurisation de la donnée, c’est du multicouches, et la position de leader dans la Cybersécurité d’Eviden va permettre de rajouter des briques à cette offre, et nous sommes déjà en train de travailler sur notre HSM qui est le seul certifié ANSSI. Nous renforcerons ainsi les aspects cybersécurité.

Nous souhaitons apporter un produit clé en main à la fois « secure » et facile à exploiter

Global Security Mag : Avec un effectif de plus de 200 personnes, quelles sont les ambitions, les perspectives, les objectifs de Scality ?

Jérôme Lecat : Scality est un leader mondial, et c’est une position très intéressante, car on ne peut pas faire beaucoup mieux, mais on peut en tomber à un moment. Nous voulons tout d’abord rester leader mondial, même si nous sommes dans un univers très concurrentiel, avec des sociétés américaines et chinoises, avec une absence de concurrents européens. Rester leader mondial car nous pensons que nous apportons un très bon service à nos clients et qu’il faut donc continuer ainsi.

Nous avons commencé par adresser les très gros clients, notamment les opérateurs télécoms, en étant socle des services régaliens comme les grands ministères dans 24 pays à travers le monde. Nous avons lancé il y a un an, un nouveau produit qui s’appelle ARTESCA qui est destiné à apporter la même qualité de service et d’infrastructure aux PME et aux ETI. Nous avons une croissance exponentielle incroyable avec ce logiciel, avec plus de 800% de croissance depuis le début de l’année comparé à l’année dernière, et je pense que cette hyper croissance va se maintenir dans les années à venir.

L’objectif de Scality est donc la croissance avec une logique d’apporter plus de services à nos clients. Croissance, autant de très grands donneurs d’ordre comme la puissance publique, les grandes entreprises, les opérateurs télécoms, le secteur de la santé, et d’apporter le même type de services à des entités plus petites que sont les ETI, les PME, et les collectivités territoriales. Pour aller servir ces organisations plus petites, il faut repenser l’offre pour résoudre les problématiques de simplicité d’emploi et de sécurité pour pallier le manque d’expertises en interne, et ainsi leur apporter un produit clé en main qui soit à la fois « secure » et facile à exploiter.

Nous pensons que dans notre domaine, une partie de la sécurité est le fait que le produit soit basé sur Linux, car l’essentiel des attaques d’intrusion ou de ransomware en cybersécurité, sont sur Windows. En effet il y a un plus grand parc Windows, cela suscite plus d’attaques, et donc le fait d’être sur Linux apporte déjà un premier niveau de sécurité, même si cela n’est pas suffisant. Nous avons fait un package avec Linux et WYSIWYG, qui permet à nos clients de ne pas être obligés d’avoir l’expertise en Linux pour pouvoir exploiter notre logiciel ARTESCA.

Nos mots d’ordre sont fiabilité, sécurité et développement durable

Global Security Mag : Pouvez-vous nous dire quelques mots sur la solution de Scality pour contrer les ransomware ?

Jérôme Lecat : Notre premier métier est le stockage de données, et nous sommes assez vite aperçus que ce service est le dernier rempart contre les ransomware. Aussi, nous stockons beaucoup de back-ups ou secours, et la première chose qu’un ransomware cible en pénétrant une entreprise, c’est le back-up, car si celui est détruit, cela garantit que l’entreprise ou l’organisation ne pourra pas redémarrer ses services, et va donc être forcée de négocier ou de payer la rançon. Donc la sécurité du back est très importante.

Nous avons trois mots d’ordre pour nos solutions, la fiabilité, la sécurité, le développement durable.

Tout d’abord la fiabilité est notre mot d’ordre depuis la création de l’entreprise. On mesure en moyenne sur nos clients, un taux de panne d’une tous les 5 ans, ce qui est très acceptable. C’est le résultat de beaucoup de travail, de génie logiciel, d’algorithmique.

Ensuite, la sécurité tombe sous le sens, et de plus en plus des investissements de Scality touchent à la Sécurité, que soit au niveau de la plateforme d’administration en s’assurant de qui se « log » ou se connecte via la mise en place d’un mécanisme d’authentification multifactoriel (MFA) pour être capables d’auditer tout changement qui a été fait. Un contrôle des droits des usagers pour accéder à certains contenus, plus de flexibilité dans le chiffrement des données avec la possibilité pour nos clients d’utiliser leurs propres HSM (Hardware Security Module ou matériel électronique offrant un service de sécurité qui consiste à générer, stocker et protéger des clefs de chiffrement) et de s’intégrer avec leurs KMS (Key Management Service ou service de gestion des clés de chiffrement), tout en utilisant Linux comme système d’opération sous-jacent. Nous réduisons la surface d’attaque possible de linux en mettant sur nos serveurs que le minimum des packages Linux qui doivent être présents.

La Cybersécurité est un travail constant.

Enfin, le développement durable est une vraie démarche d’entreprise chez Scality, présente depuis plusieurs années. Il s’agit de se demander comment dans notre métier, on peut contribuer à une activité plus responsable des êtres sur la planète, ce qui est une grande ambition, y compris pour le développement de logiciels.

Lorsque nous développons un logiciel, il est pour nous très important de pouvoir se dire que nos clients vont le garder entre 15 et 20 ans, car c’est à la fois une façon de réduire les coûts et l’empreinte Carbonne sur la planète.

Sans compter que nos logiciels sont déployés sur des serveurs qui sont en moyenne gardés 5 ans par nos clients, et nous les encourageons à garder ces mêmes serveurs pendant 7 ans. Et cela revient à moins de serveurs fabriqués, avec une économie pour la planète en matière de consommation de ressources rares.

Nous avons aussi travaillé sur notre impact en tant qu’entreprise, et nous avons considérablement diminuer nos voyages. En Europe, nous prenons le train. Nous recyclons nos déchets et nous payons pour cela car ce n’est pas un service de la ville à Paris.

Nous avons travaillé sur nos contrats avec nos fournisseurs, pour s’assurer qu’ls ont une démarche de développement durable, et c’est à travers toute la société Scality que nous œuvrons pour le développement durable.

Global Security Mag : Nous avons justement vu une annonce récente sur la Responsabilité Sociétale de l’entreprise et EcoVadis qui a attribué Scality a eu la médaille d’argent à Scality. Pouvez-vous nous en dire plus ?

Jérôme Lecat : Nous en sommes très fiers, et c’est le résultat de plusieurs années de travail. Ecovadis est une entité de « rating » ou classement reconnue, et cette médaille d’argent nous place dans le top 25% des entreprises.

Soumettre un dossier pour l’évaluation à EcoVadis est une chose relativement plus aisée à faire pour les très grandes entreprises, mais plus difficiles pour une PME ou Scale-Up comme Scality. En effet, nous avons dû travailler sur 21 critères qui incluent notamment la dimension environnementale, le droit de travail, respect des individus et de la diversité, les relations avec les fournisseurs, l’éthique, etc.

En droit du travail et éthique, Scality a eu une très bonne note car nous avons été promoteurs du congé second parent que nous avons mise en place mondialement pour tous nos employ.é.e.s, bien avant que cela soit une loi en France.

Scality est aussi bien placée en matière de diversité culturelle (24 nationalités pour un effectif de 200 personnes du monde entier, avec 10 nationalités différentes rien que dans le bureau de Paris) et entre hommes et femmes. Nous faisons beaucoup d’efforts pour inviter les femmes à nous rejoindre dans les métiers de l’ingénierie (R&D et Customer Service), et nous y arrivons assez bien, avec une attention particulière au moment de l’intégration pour qu’elle se passe bien. Le droit à la parole notamment en réunion est encouragé. Cela est devenue une culture d’entreprise.

Un autre axe important est celui de la transparence et la prise de décision sur le fondement de données effectives, et non pas sur des on-dit.

Nous avons par exemple publié deux études cet été sur notre blog, en matière de consommation énergétique des SSD par rapport aux HDD. Est-ce que ce qui consomme le moins c’est de mettre les grosses cartes en silicone pour sauvegarder les données ou mettre des disques durs magnétiques en rotation constante et entraînées mécaniquement avec une plus grande consommation. L’étude a montré qu’en fait, ce sont les SSD qui consomment le plus, et nous conseillons dorénavant à nos clients qui veulent diminuer leur consommatique électrique quand ils font le choix de leurs systèmes, de prendre des HDD quand c’est pertinent, en général, nous recommandons un mixte entre les deux.

Les métadonnées ou celles qui peuvent être servies avec un temps de latence, nous recommandons le SSD, mais le HDD pour la grosse masse ou quantités de données qui très souvent chez nos clients ne peuvent pas être réduites pas des algorithmes de compression ou de déduplication car c’est de la donnée unique comme un film, et donc le disque dur est tout à fait adapté dans ce cas.

L’important c’est d’apporter à nos clients et à l’industrie en général, la bonne information pour prendre des décisions.

Global Security Mag : En parlant de l’information et de l’aide à la prise de décision, quel est l’impact de l’IA (Intelligence Artificielle) sur les solutions de Scality, est-ce un outil ?

Jérôme Lecat : Scality utilise à ce jour, relativement peu d’IA, et parfois je suis critique sur l’utilisation du terme IA sur des choses qui sont simplement de la corrélation. Nous avons des systèmes de prédiction de pannes qui ne sont pas à ce jour à base d’IA, le plus efficace étant de dire que si un.e ingénieur.e touche au système, il y a un risque de panne après, sinon, le système va fonctionner pendant des années. C’est ainsi le meilleur algorithme de prédiction de pannes.

Nous utilisons beaucoup l’IA générative avec un réel gain de productivité, en aide au développement, en marketing, en aide à l’écriture de documents.

Nous sommes en train de travailler sur l’élaboration de chatbot pour répondre aux demandes de Support. C’est un projet sur lequel nous travaillons et qui n’est pas encore en production. Tout porte à croire que nous allons rendre notre Support encore plus efficace avec de l’IA.

Global Security Mag : Scality est une composante importante de l’écosystème Cloud et Cyber en France, et a participé à l’évènement Hexatrust aux Universités d’été de la Cybersécurité et du Cloud de Confiance cette semaine et en tant qu’un des sponsors. Qu’avez-vous annoncé ?

Jérôme Lecat : Cela me fait toujours plaisir d’entendre l’importance de la place de Scality dans le paysage français, d’autant plus que nous ne faisons que 25% de notre chiffre d’affaires en France, et le reste dans le monde entier, Europe, aux Etats-Unis, et notamment en Asie où nous sommes de plus en plus présents au Japon, en Corée du Sud ou en Inde.

Scality est en effet une entreprise française, avec notre R&D à Paris.

Nous sommes venus avec une grande annonce à ces Universités d’été, spécifiquement pour le marché français, en partenariat avec la société de solutions de back-up Atempo via la nouvelle version du logiciel TINA et la société spécialiste de la transformation numérique fiable et sécurisée EVIDEN du groupe Atos.

Nous avons constaté ensemble qu’il n’y avait pas à ce jour, d’offres dans le marché de solutions de back-up complète et entièrement fabriquée en France.

Les trois sociétés se sont associées autour d’une solution modulaire ultra-sécurisée de sauvegarde de données.

Scality offre le stockage du back-up avec la solution de stockage des données RING ou ARTESCA selon la capacité utilisée et selon le degré de redondance demandé, Atempo le logiciel de back-up TINA très connue et utilisée en France notamment dans le secteur public, Eviden apporte son savoir-faire en matière de Cybersécurité et les serveurs BullSequana fabriqués à Angers.

Nous avons déjà des clients ensemble, et nous avons amélioré notre intégration qui fonctionnait déjà.

Nous avons ainsi une offre de solutions, commercialisée par Eviden.

Global Security Mag : Scality, en tant que sponsor Platinum, va bientôt participer aux GS Days, l’évènement francophone sur la Sécurité de l’Information et de la Cyber qui se déroulera le 30 novembre. Quel est votre message à nos lectrices et lecteurs ?

Jérôme Lecat : J’aime la nuance, et pour apporter cela, il est parfois nécessaire d’amener un peu de controverse. Mon message à vos lectrices et lecteurs qui sont souvent très technophiles, c’est que le premier maillon de la Cybersécurité est l’humain. Et dans mon entreprise et pour tous mes clients, nous faisons tout ce que nous pouvons pour améliorer la Cybersécurité au niveau technologique, mais la première chose que je voudrais dire, c’est que cela commence par l’humain, et donc par le fait de former les effectifs de l’entreprise aux problématiques. Je recommande beaucoup de faire régulièrement de fausses attaques en interne pour permettre aux personnes de réaliser leurs erreurs quand elles cliquent sur un lien malicieux ou un document malveillant. La meilleure façon, c’est de faire et de se tromper

Quand je parle de l’humain, il y a un point particulièrement sensible chez tous les administrateurs systèmes qui par définition sont ceux qui ont le plus d’accès et qui peuvent donner le plus d’accès aux postes de travail, c’est que si les systèmes sont difficiles à utiliser, ils vont être contournés d’une manière certaine. Et selon moi, le vrai enjeu pour les systèmes de Cybersécurité, c’est d’arriver à fabriquer des solutions qui apportent beaucoup de sécurité avec le moins de soucis possibles pour les utilisateurs et en particulier pour les administrateurs systèmes.

Enfin, le 10 octobre, nous invitons toutes les personnes qui le souhaitent à l’évènement Scality Day lors duquel il y aura plusieurs témoignages de clients très prestigieux, et nous allons présenter notre roadmap produits.