Pour Sentryo, la connaissance des réseaux est essentielle

Ingénieur INSA promotion 1983 avec une spécialisation énergie/automatismes, Thierry Rouquet a créé différentes entreprises dont la plus connue est Arkoon Network Security. En moins de 10 ans, le chiffre d’affaires de cet éditeur de solution de sécurité des réseaux passera de 2 M€ à 13 M€. Un parcours sans embûche pour cet amateur de golf.
Aujourd’hui, il se lance dans une nouvelle aventure avec son associé Laurent Hausermann : Sentryo. Cette start-up est dédiée à la sécurité des réseaux industriels et de l’Internet des objets.

 

Propos recueillis par Philippe Richard

 

 

Photo Thierry Rouquet

 

Pourquoi avoir créé Sentryo ?
Thierry Rouquet : Je suis entrepreneur dans le domaine du logiciel depuis 20 ans et j’ai déjà créé trois entreprises, dont la dernière Arkoon Network Security, a été revendue à Cassidian CyberSecurity, filiale de Cassidian (groupe EADS). À mon âge, j’ai envie de continuer à entreprendre, de faire grossir des entreprises pour ensuite, peut-être, les vendre ou continuer à les faire prospérer. Je souhaite réinvestir dans des projets l’argent que j’ai gagné après la vente de mes précédentes entreprises. Mon associé, Laurent Hausermann, était CTO d’Arkoon, il est plus jeune et n’a donc pas les mêmes motivations que moi. Il a un background technologique dans le design et le développement de solutions de sécurité. Mais il a aussi envie d’entreprendre. Nous avons donc décidé de nous associer dans cette nouvelle aventure qu’est Sentryo (LIEN http://www.sentryo.net/f).

L’activité principale de Sentryo sera la protection des réseaux industriels. Certains peuvent être considérés comme la version professionnelle de l’Internet des objets. Or, différents experts parmi lesquels Bruce Schneier et Vint Cerf sont très inquiets : « Ces systèmes embarqués sont criblés de vulnérabilités et il n’y a pas de bon moyen pour les patcher ».
Comment allez-vous relever ce défi ?
T.R : La solution passe par l’élaboration de nouveaux paradigmes. Durant les 15 dernières années, la sécurité informatique s’est construite sur des logiques paramétriques puis de défense en profondeur, etc. Pour schématiser, il s’agissait d’installer des portes blindées avec des verrous ! Avec l’Internet des objets, c’est impossible pour deux raisons principales. Premièrement, il n’y a plus de périmètre. Deuxièmement, les « objets » eux-mêmes sont ne peuvent pas supporter de composants de sécurité comme une station de travail supporte un antivirus.
Ensuite, il faut distinguer deux types d’Internet des objets. La version grand public avec les pèse-personne et les différents capteurs que l’on porte. Il y a aussi les équipements industriels qui sont des systèmes relativement complexes. Pour l’instant, l’Internet des objets grand public n’en est qu’à ses débuts. Par contre, les réseaux industriels sont déjà bien en place et ils vont continuer à se développer.
Or, il n’est pas possible d’installer des « barrières » de sécurité classiques. Premièrement, elles empêcheraient ces réseaux de fonctionner correctement en temps réel. Deuxièmement, ces dispositifs standards pourraient créer des faux positifs ou des perturbations.

Quelle est l’approche technique de Sentryo ?
T.R : Il y a une règle de base en matière de sécurité : pour protéger son réseau, il faut bien le connaître. Notre approche consiste à mettre en place une solution passive et non intrusive qui cartographie le système. Comme des caméras de vidéosurveillance installées dans des hangars. Nos moyens automatisés fourniront une visibilité précise à l’administrateur du réseau industriel de façon à ce qu’il connaissance en permanence les composants connectés sur son réseau, le niveau de vulnérabilités, qu’il repère quel équipement communique avec quel autre et ce qu’il pourrait faire pour améliorer sa protection et sa résilience. Notre approche consiste dans un premier temps à fournir des recommandations que l’administrateur pourra appliquer, mais pas nécessairement de façon automatique afin de ne pas perturber son réseau.

En tant que président de la commission cyber sécurité de l’AFDEL, vous êtes très septique à propos des mesures du Plan 33 consacré à la cybersécurité ?

T.R : Pour élaborer ce Plan 33, inclus dans les 34 priorités pour la Nouvelle France Industrielle), les pouvoirs publics ont réuni des personnalités sous la houlette de l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI). Son objectif est de déterminer les priorités permettant à la France de bénéficier de technologies dites de « confiance » pour mieux protéger nos infrastructures.
À l’AFDEL, nous sommes dubitatifs quant aux recommandations et conclusions. Les propositions faites par le groupe se trompent d’objectif. Ce qui est important ce n’est pas de développer une forme de protectionnisme dans la cyber mais bien d’utiliser les forces du marché pour créer un écosystème dynamique autour de chercheurs, d’entrepreneurs, d’investisseurs. C’est la raison pour laquelle nous avons édité un Livre Blanc (LIEN : http://www.afdel.fr/publications/categorie/livre-blanc/article/cyber-securite-hisser-les-acteurs-francais-au-niveau-de-la-competition-mondiale) intitulé « Cyber-sécurité : Hisser les acteurs français au niveau de la compétition mondiale »

Que proposez-vous ?
T.R : L’argent public doit être focalisé sur l’émergence des projets technologiques ambitieux en France capables d’attirer dans un second temps des capitaux privés de manière massive (y compris des capitaux qui pourraient venir de l’étranger). Pour ce faire il faut que les investisseurs privés ne soient pas bridés dans leur capacité à générer des plus values à la hauteur des risques pris dans leurs investissements. Ces plus values seront réalisées lors d’une introduction en Bourse mais plus fréquemment lors d’une cession. Il faut accepter que certaines de nos entreprises soient achetées par des acteurs étrangers, car les plus values ainsi engendrées seront réinvesties dans le même secteur. Il deviendra de plus en plus attractif pour les entrepreneurs, chercheurs et managers qui auront envie de recréer de nouvelles entités sur les mêmes thématiques. Nous finirions ainsi par créer une dynamique d’investissement et un écosystème, avec de fortes compétences, qui restera en France. C’est ce qui se passe dans la Silicon Valley et à Tel-Aviv par exemple.
Et s’il y a deux ou trois petites entreprises qui ont développé des technologies tellement importantes que l’État ne veut pas qu’elles soient rachetées, il sera toujours possible de leur trouver un traitement particulier…
Il conviendrait également de se rapprocher de nos confrères allemands pour que des solutions de sécurité soient reconnues par les deux pays, de manière à ce qu’un produit répondant à un certain nombre de critères de qualité et confiance en France soit accepté comme tel outre-Rhin et vice-versa. Cela passe par une action concertée des pouvoirs publics et du secteur privé afin de mettre en place un processus de qualification commun qui devrait associer étroitement les acteurs du secteur et être conduit par des cabinets indépendants (type CESTI) labellisés par les pouvoirs publics des différents pays.

Partager :

Dans la même catégorie

Publié le : 28/03/2024

7 bonnes pratiques que les petites entreprises peuvent suivre pour se protéger contre les cyberattaques 

Découvrir
Publié le : 26/03/2024

La gestion post-crise : évaluer, apprendre et améliorer le PRA

Découvrir
Publié le : 26/03/2024

Pourquoi un audit de cybersécurité est-il essentiel pour toutes les entreprises ?

Découvrir
error: Le contenu est protégé !!