Cette année, l’association d’éditeurs français Hexatrust installe avec 13 de ses 27 membres un village d’experts sur les Assises de la sécurité 2016, du 5 au 8 octobre au Grimaldi Forum de Monaco. Huit solutions de cybersécurité et de confiance numérique associant différentes offres y seront présentées (à l’entrée de l’espace Ravel). Elles portent d’une part sur la sécurisation des transactions et la sécurisation des systèmes industriels, d’autre part sur la sécurisation de la messagerie et sur celle des flux mobiles et web. Les quatre autres offres combinées couvrent la gestion des identités et des accès, le chiffrement et la confidentialité, la prévention de la fuite des données et, enfin, les sujets de gouvernance, de traçabilité et d’audit. Le village regroupe les éditeurs Brainwave, DenyAll, Ercom, Idecsi, IDnomic, Ilex, InWebo, Itrust, Olfeo, Pradeo, Sentryo, Vade secure et Wallix (*).

Début septembre, Hexatrust a réuni 220 personnes sur la 2ème édition de ses Universités d’été, en présence de Guillaume Poupard, directeur général de l’ANSSI. Après un focus sur les opérateurs d’importance vitale (OIV) l’an dernier, l’événement a abordé cette année la transition numérique vers l’industrie du futur. Parmi les intervenants, Eric Payan, DSI de Bosch Rexroth, est par exemple venu expliquer comment l’équipementier industriel se transformait à tous les niveaux (production, supply chain, chaine de management, ressources humaines) pour servir ses clients différemment. Avec Tahar Melliti, directeur de l’Alliance pour l’industrie du futur, ont été évoquées les nouvelles responsabilités, notamment dans la cybersécurité, de ces entreprises qui sont en train d’évoluer dans leurs processus de production et de delivery. « Il faut gérer la menace, interne comme externe, savoir gérer ses prestataires, apporter des garanties aux clients B-to-B », nous a résumé Jean-Noël de Galzain, président d’Hexatrust et PDG de l'éditeur Wallix. « Il faut également, avec le nouveau règlement européen pour la protection des données et la directive NIS - Network and information security -, apporter des garanties aux clients qui utilisent les services de ces industriels et qui, en échange, attendent que leurs données soient protégées ».

Hexatrust collabore avec l'ANSSI pour élaborer des offres adaptées

Les Universités d’été d’Hexatrust ont également passé en revue l’évolution des règlementations dans le domaine d’Internet et du cloud, en s’interrogeant sur la façon dont on allait concevoir l’hébergement de données massif et les usines numériques de demain en faisant travailler ensemble les professionnels du cloud et de la cybersécurité. Sur le terrain de l’Internet des objets, Jean-Christophe Mathieu, responsable des solutions et produits de sécurité chez Siemens, a rappelé que les équipements industriels n’évoluaient pas au même rythme que l’IT. Pour ouvrir les capacités d’interagir avec ces systèmes en protégeant les interactions, il faut disposer de solutions adaptées. Dans ce contexte, certains groupes industriels ont déjà demandé à l’ANSSI des recommandations en matière d’interopérabilité et de vérifier et certifier qu’ils n’avaient pas de failles de sécurité dans leurs équipements. En mai dernier, Siemens a été le premier équipementier pour systèmes industriels à se voir ainsi délivrer par l’ANSSI une certification et une qualification de sécurité. 

Hexatrust et ses membres travaillent en collaboration avec l’agence nationale pour apporter à ces entreprises des solutions qui leur conviennent et faire évoluer leurs systèmes en les protégeant, explique Jean-Noël de Galzain. Parmi les offres d’ores et déjà adaptées, celles de Seclab, Sentryo et Wallix vont être référencées chez certains industriels. Le cluster d’éditeurs spécialisés dans la sécurité travaille aussi avec l’ANSSI dans tous les secteurs d’importance vitale (transport maritime, fluvial, ferroviaire, automobile connectée, industrie énergétique, gestion de l’eau…). Avec les arrêtés sectoriels de la loi sur les OIV, les entreprises concernées ont désormais deux ans pour se mettre en conformité avec les règlementations de sécurité et être en mesure de le prouver lors des audits et des contrôles qui seront effectués. « Au sein d’Hexatrust, notre priorité est d’avoir des produits et des services qui correspondent à ces besoins, de les faire certifier ou qualifier par l’ANSSI et de les réunir dans des offres de confiance de référence qui répondent aux grands enjeux de ces opérateurs d’importance vitale », pointe le président de l’association. Les offres de cybersécurité déjà disponibles sont donc présentées cette semaine sur les Assises de la sécurité. 

Des collaborations avec la French Tech...

Pour faire émerger ces offres, Hexatrust a rencontré en amont les grands utilisateurs, RSSI, directeurs de la sûreté, métiers, acheteurs… « Nous avons mis en place plusieurs formules, le mentorat mutualisé, les hexabrunchs, les dessous de la cartographie, afin qu’ils expriment leurs besoins et que l’on travaille ensemble de manière plus proche pour en tenir compte dans nos roadmaps », nous a expliqué Jean-Noël de Galzain. « Il commence donc à y avoir un partenariat entre les utilisateurs et les professionnels d’Hexatrust. Les entreprises peuvent nous rencontrer directement. Et mon message à l’occasion des Assises de la sécurité, c’est de les inviter à en profiter, à en user »,  

Hexatrust a également tissé cette année des liens avec la French Tech puisque le cluster fait partie de #Security #Privacy, l’un des neuf réseaux thématiques constitués cet été par le Gouvernement et autour desquels des appels à projets devraient être lancés début 2017. « Aujourd’hui, je crois que l’on ne peut pas dissocier numérique et cybersécurité. Les objets connectés, c’est bien, mais si l’on n’a pas de sécurité, on ne les maîtrisera pas. Compte-tenu de l’urgence, il ne faut plus se contenter de chartes de bonne conduite, mais agir. Beaucoup de choses ont déjà été mises en place, notamment avec les travaux du CoFIS (Comité de la filière industrielle de sécurité). Il y a maintenant un rendez-vous à ne pas manquer avec les OIV ». Il ne manque plus qu’un coup de pouce de la commande publique.

... et des synergies au niveau européen

Hexatrust réunit actuellement 27 éditeurs dont le chiffre d’affaires a progressé de 15% entre 2014 et 2015 à 130 millions d’euros. Le président de l’association rappelle que les logiciels de sécurité ont généré moins de 5 Md$ de chiffre d’affaires en Europe l’an dernier mais qu’ils devraient produire plus de 7 Md$ dans trois ans, soit près de 2,5 Md$ de plus. « Si nous captons, ne serait-ce que 10% de ces 2,5 Md$, nous allons tripler de taille et créer 2 000 à 3 000 d’emplois directs et davantage encore d’emplois indirects », estime Jean-Noël de Galzain. 

Au niveau européen, la filière commence aussi à structurer une industrie de la cybersécurité et à créer des synergies de marché. Dans ce domaine, Hexatrust a créé des groupes thématiques Allemagne et Royaume-Uni, ainsi qu’un groupe Grand Export. L’association vient d’adhérer à un groupement d’industriels allemands et va renforcer les échanges au sein du Cybersecurity Council of Germany. Enfin, du 18 au 20 octobre, des membres d’Hexatrust se rendent en délégation au salon ITSA 2016 (The IT Security Expo and Congress) de Nuremberg. 

(*) Les 27 membres d'Hexatrust : Bertin, Brainwave, CDC Arkhineo, DenyAll, Egerie, Egidium Technologies, Ercom, TheGreenBow, Idecsi, Idnomic, Ilex, InWebo, ITrust, Neowave, Netheos, Novalys, Olfeo, Ozon, Pradeo, Prim’X, Prove & Run, Qosmos, Seclab, Sentryo, TrustInSoft, Vade Retro, Wallix