Accueil Collaborer en toute sécurité et souveraineté : un défi à relever !

Collaborer en toute sécurité et souveraineté : un défi à relever !

© Microsoft - DR.

Jamais l’activité des entreprises françaises n’a autant reposé sur des outils collaboratifs bien souvent proposés par des acteurs étrangers. Pourtant, des solutions souveraines existent et des alternatives aux grandes suites collaboratives Cloud sont en train de se constituer.

 

La période du confinement et l’incroyable essor du télétravail qui en a résulté lors du premier semestre 2020 ont provoqué une véritable ruée des entreprises et de leurs collaborateurs sur les services de collaboration dans le Cloud. Webconferencing, Visio communications, espaces de partage de fichiers ont été pris d’assaut et tous les services ont connu un accroissement sans précédent de leur trafic. Parmi les grands gagnants de cette période unique, Microsoft Teams, le service de collaboration dans le Cloud qui a connu une brusque accélération de son nombre d’utilisateurs. Il en comptait 32 millions par jour en mars 2020, ce nombre a bondi à 75 millions fin avril 2020. L’autre gagnant est l’emblématique service de visioconferencing Zoom qui a atteint la barre des 300 millions de participants par jour en avril 2020. Il s’agissait alors du nombre de participants et non pas d’utilisateurs payants mais le chiffre est significatif et ce succès a aussi donné naissance au phénomène du “Zoom Bombing”. Les paramètres par défaut du service étant plutôt permissifs, de petits plaisantins s’amusaient à s’inviter dans des réunions internes d’entreprises… Ajouter à cela quelques failles de sécurité dans le logiciel client Mac et ces événements très largement médiatisés ont semé le doute quant à la confidentialité des échanges sur la plateforme. La direction du service américain a bien compris le danger en rachetant l’éditeur de solutions de chiffrement end-to-end Keybase. « Nous avons été attaqués sur notre sécurité et nous avons voulu montrer qu’en 90 jours nous pouvions réagir et proposer un service encore plus sécurisé que l’ensemble de la concurrence. Nous avons une encryption 256 bits AES GCM, un protocole au top de la sécurité et le end-to-end est notre manière de réagir et montrer que nous mettons tout en place pour que notre plateforme soit totalement sûre » expliquait Loïc Rousseau, responsable de Zoom Video Communications en plein confinement.

tixeo
Des alternatives à Zoom hébergées en France se sont fait une place sur le marché français à l’occasion du confinement. Tixeo bénéficie d’une certification de sécurité de premier niveau (CSPN) de l’ANSSI.

Si tous les services de collaboration de nouvelle génération cherchent à donner des garanties quant à la protection des données échangées sur leurs services, beaucoup d’entreprises notamment liées à certains secteurs sensibles préfèrent rester prudentes quant à la localisation de leurs données afin de s’assurer de leur confidentialité et de leur protection à tout moment.

Une collaboration basée sur des solutions “de confiance” est possible

Des alternatives offrant des garanties de souveraineté des données et un avis de l’ANSSI existent, à commencer par les services de partage et de sauvegarde de données de signature électronique et de Data Room sur une infrastructure qui bénéficie d’une qualification SecNumCloud par l’ANSII. Toutefois, l’ambition du Français va au-delà de ces premiers services : « Notre stratégie est de devenir une plateforme », explique le cofondateur d’Oodrive, Edouard de Rémur. « Aujourd’hui, nous commercialisons des services autonomes or ce que nous développons depuis 3 ans et qui va être lancé cette année, c’est une plateforme sur laquelle tous les outils techniques seront communs à toutes nos solutions. Il y aura un stockage commun, un seul carnet d’adresses, un service de traçabilité et de notification pour l’ensemble des modules métiers. » Cette évolution technique permettra à un client Oodrive d’activer bien plus rapidement un nouveau module fonctionnel ; cette évolution fait entrer l’éditeur sur le marché des CSP (Content Service Providers) face à Box notamment. « L’étape suivante sera d’intégrer des partenaires de confiance sur cette plateforme car le marché recherche des offres agrégées comme les proposent les américains. » L’association Hexatrust montre la richesse des solutions proposées par les éditeurs français mais aucune ne fonctionne de concert avec les autres si bien que reconstituer une offre fonctionnelle aussi large que Google Suite ou Microsoft 365 avec uniquement des solutions de confiance est un véritable casse-tête technique et contractuel. « Nous voulons agréger des solutions pour offrir une suite complète constituée de briques validées par l’ANSSI et ainsi offrir une suite de confiance au secteur public et aux entreprises. »

Des solutions collaboratives de confiance, il en existe de nombreuses, depuis Tixeo, le service de visio certifié par l’ANSSI, au réseau social de Talkspirit en passant par la messagerie collaborative de BlueMind, les solutions chiffrées d’Ercom, Prim’X et TheGreenBow ou encore la solution de Tchat utilisée par le gouvernement français qui s’appuie sur les briques Open Source RiotChat et Matrix, il est sans doute possible d’assembler suffisamment de briques pour rivaliser avec les grandes suites collaboratives américaines.

Une option possible : sécuriser les services américains

Une alternative à cette approche “souveraine” est de chercher à sécuriser pour qu’aucune fuite de données sur ces plateformes du marché ne soit techniquement possible, fût-elle à destination d’un gouvernement. Alors que de nombreux grands groupes français ont déjà fait le choix de l’une ou l’autre de ces suites, ce choix marketing peut s’avérer judicieux. C’est celui d’Atos qui a dévoilé sa stratégie lors du FIC 2020. Pour Jean-Baptiste Voron, Manager & Consultant Senior en Sécurité des SI chez Atos : « Notre concept de “Data Sanctuary” est très simple : le Cloud public apporte un niveau de sécurité qui est adapté à 95% des usages mais pour 5 % d’entre eux, il est nécessaire de les cadrer et de ne pas créer des situations où les utilisateurs partagent des documents qui ne devraient pas l’être, il faut s’assurer que ceux qui accèdent à des documents disposent bien des accès aux services collaboratifs et il faut enfin assurer une traçabilité sur qui fait quoi sur la plateforme. L’idée est d’ajouter une couche de sécurité (Layer of Trust) qui assure ces trois points. » Ce concept a notamment été implémenté pour Veolia, une entreprise qui a fait de Google Suite sa suite de collaboration à l’échelle du groupe. « Nous aurions facilement pu mettre en place des solutions on-premise pour répondre à ce besoin, mais il était capital de conserver l’expérience utilisateur d’outils collaboratifs auxquels les métiers étaient habitués. » L’offre “Data Sanctuary” a été construite au-dessus de Google Suite et de Box qui permet de réaliser un chiffrement “at-Rest” (c’est-à-dire au repos, ce que ne permet pas G Suite) en s’appuyant sur des clés de chiffrement stockées sur un HSM opéré par Atos. Sur la plateforme Office 365, plusieurs hébergeurs, dont OVHCloud (en cours d’agrément SecNumCloud pour son offre Private Cloud), proposent un hébergement privé de la plateforme Microsoft tandis que Ikoula mise sur son partenariat avec Zimbra pour proposer une alternative souveraine à Microsoft 365 et G Suite.

L’alternative “Made in France” aux offres Microsoft 365 et G Suite est en train de se mettre en place, mais le plus dur sera certainement de convaincre les utilisateurs de délaisser leurs outils actuels pour ces nouvelles offres.