Bonjour, Nicolas Furgé. Pouvez-vous d'abord situer Orange Business Services sur le segment de la sécurité en quelques chiffres ?
Orange Business Services est un acteur important sur ce marché, avec 1 000 experts, 350 consultants et une présence dans 220 pays et régions où nous avons 600 clients et 100 000 utilisateurs des solutions d'authentification forte, que nous proposons depuis longtemps.
Nous avons aussi dix implantations dans le monde. Nous proposons douze solutions packagées, sans compter les offres sur-mesure, auxquelles s'ajoutent cinq nouvelles solutions. L'international représente la moitié du chiffre d'affaires. En France, les recettes sont partagées entre d'un côté les 200 plus grandes sociétés françaises, et de l'autre les PME.
Pourquoi est-ce qu'un acteur comme Orange Business Services investit le terrain de la sécurité ?
La sécurité est l'un des axes stratégique du plan Conquête 2015, qui est le plan de croissance du groupe défini en 2010. Celui-ci possède huit relais de croissance, la sécurité en est un. Nous avons confirmé la performance de cette branche dans la mesure où la croissance est supérieure à 10% depuis 2011, c'est supérieur au marché. Ensuite, Orange est l'un des plus gros opérateurs de réseaux IP au monde, nous voyons donc beaucoup de choses passer sur le réseau. Grâce à cette expérience accumulée, nous pensons que nous sommes pertinents pour proposer des solutions de sécurité à nos clients.
Quelle est la stratégie suivie par Orange pour répondre à ces besoins, et se démarquer sur le marché ?
Lorsque nous avons monté cette division il y a deux ans, nous avions un parti pris : aller vers les nouveaux usages des clients en entreprise, suivant deux axes. D'abord, la mobilité est de plus en plus importante pour ces utilisateurs, et la porosité entre le milieu professionnel et personnel toujours plus grande. Ensuite, les informations en entreprise sont de plus en plus décentralisées, en raison du développement du cloud. Elles sont aussi de plus en plus nombreuses, et prolifèrent, ce que l'on appelle le Big Data. Et cela augmente les vecteurs d'attaque. Pour nous, seul un acteur avec une expérience assez forte pouvait faire face à ces défis.
Quelle est alors la proposition de valeur d'Orange pour répondre à ces problèmes que vous identifiez ?
Celle-ci s'articule autour de quatre piliers. Tout d'abord, c'est l'expertise et l'expérience, ce que nous prouvons avec nos nombreux utilisateurs de nos solutions d'authentification forte. Ensuite, nous nous appuyons sur la reconnaissance du marché. Nous avons par exemple été distingués par le cabinet Pierre Audoin Consultants comme premier acteur en sécurité IT en France fin 2012, et Gartner nous a également primés comme société majeure de la sécurité managée. Mais nous comptons aussi sur la certification de nos solutions.
Nous contribuons au programme Cloud Controls Matrix de la Cloud Security Alliance (CSA) afin de veiller à la conformité de nos produits avec les principes du cloud. Enfin, nous contribuons à la « communauté sécurité », qui est un petit monde qui a besoin d'échanges entre les experts. Nous avons décidé de sponsoriser une école de cyber-sécurité en Bretagne afin d'encourager l'industrie et d'y recruter si possible les bons profils.
Quels sont les axes de développement d'Orange et comment se compose votre portefeuille de solutions ?
Nous avons une approche globale, comprenant l'infrastructure, les terminaux et la gouvernance de la sécurité, que nous intégrons dans toutes nos offres, c'est du « secure by design ». En termes de portefeuille, nous nous focalisons sur les identités des utilisateurs, le pilotage des risques et la supervision. Note offre se découpe en trois catégories. D'abord, ce qui touche à l'infrastructure. Ici nous sécurisons les réseaux, les datacenters, les sites. En tant qu'opérateur de réseau, il est naturel d'être là-dessus. Or ce n'est pas suffisant, alors nous nous développons dans deux autres catégories.
L'utilisateur est devenu le périmètre de l'entreprise, car il est mobile, a des terminaux divers, et qu'il veut se connecter de n'importe où et n'importe quand. C'est donc sur la sécurité des identités que nous nous focalisons. Ensuite, nous voulons aider le client à piloter et adapter les moyens au bon niveau de risque, grâce à des solutions de visibilité, gestion et contrôle de la conformité du SI par rapport à la réglementation.
Ces offres, nous les adressons à tous les types d'entreprises, mais de différentes manières. Pour les petites sociétés, nous privilégions la praticité, en option d'un abonnement mobile ou réseau. Pour les PME, nous mettons l'accent sur le bon rapport qualité prix, et la sécurité tout-en-un. Enfin, pour les grands groupes, nous faisons du sur-mesure. Certains souhaitent partager le management, ou bien déléguer la sécurité.
Vous avez présenté ce matin de nouvelles solutions censées compléter votre portefeuille en matière de sécurité de l'utilisateur dans un contexte de BYOD. Pouvez-vous les détailler brièvement ?
Nous avons cinq nouvelles offres. Deux sont dédiées à la protection de l'utilisateur, avec une authentification forte à deux facteurs en mode SaaS. Et l'autre qui est une « fédération des identités des utilisateurs », appelée Flexible Identity. 60 % des employés équipés d'un smartphone professionnel l'utilisent dans un cadre personnel et le contrôle de l'identité devient un enjeu clé pour les entreprises dans la gestion de leur politique de sécurité.
Lorsqu'un utilisateur veut passer de façon fluide d'une application interne au cloud, il est authentifié une fois pour toutes et peut naviguer de façon transparente sur toutes les applications définies au préalable, le tout géré par l'annuaire d'entreprise. La DSI reprend le contrôle de la navigation des utilisateurs dans le cloud, elle va savoir ce qu'ils font et leur proposer des options de sécurité supplémentaires comme du chiffrement. Il y a une forte appétence du marché pour la sécurité des identités des utilisateurs.
Nous dévoilons aussi Security Integration Services. Il s'agit pour les clients internationaux d'intégrer, pour eux, des solutions de sécurité avec un niveau de services la carte. Enfin, pour le pilotage des risques, nous lançons CyberRisk and Compliance Intelligence, une gamme de services pour évaluer le niveau de sécurité d'un système d'information et prendre les mesures appropriées afin de prévenir les risques. Et Security Event Intelligence, soit un ensemble de services de surveillance, d'alerte et de reporting des incidents.