Alain Kagan (Risc Group) : "La sauvegarde externalisée offre une garantie à 100% de récupérer ses données"

En quoi consiste le métier de MSSP ?

MSSP veut dire Managed Security Services Provider ou, en français, fournisseur de services de sécurité administrés. C'est une forme d'externalisation de la fonction sécurité informatique.

Les services de sécurité managés ne datent pas d'hier et ont déjà connu un revers il y a 2 ou 3 ans. Qu'est-ce qui vous rend plus optimiste ?

Les chiffres de Risc Group ! Notre exercice fiscal s'est achevé au 31 mars avec une croissance de notre chiffre d'affaires de plus de 50%.

Quelles prestations offrez-vous et quelles entreprises servez-vous ?

Nos prestations : la protection des données avec un service de télésauvegarde Backupia Evolution, la protection du poste de travail avec l'antivirus managé (et antispyware, firewall applicatif), la protection du réseau avec une offre de firewall managé et l'antispam de flux.

Les entreprises : nous sommes très présents sur le marché des TPE et des PME, avec plus de 22 000 clients répartis sur 4 pays européens. Nous avons également un canal indirect avec plus de 400 revendeurs locaux, régionaux ou nationaux. Le canal grands comptes a démarré en début d'année.

Quels sont les services MSSP les plus demandés par les PME ?

C'est aujourd'hui indéniablement la télésauvegarde et l'antivirus de poste.

A ceux qui disent qu'externaliser, ce n'est pas jouer la sécurité, que répondez-vous ?

L'externalisation de la sécurité, c'est-à-dire la gestion pour le compte d'une entreprise de cette fonction est aussi sûre que la gestion internalisée, et sans doute peut-être davantage dans la mesure où nombre de menaces sont liées au facteur humain, en interne. Quel que soit le service, nous donnons toutes les garanties, car c'est évidemment la première question posée par un client.

Je dirige un cabinet comptable de 5 personnes. Quel intérêt ai-je à externaliser auprès d'une société telle que la votre ? Que me proposez-vous ?

En externalisant, vous faites appel à un spécialiste qui vous propose l'ensemble des moyens nécessaires et suffisants pour assurer votre sécurité informatique. Risc Group vous propose les outils les plus performants, mis à jour en permanence, dont vous n'avez pas à assurer l'administration, qui pourrait vous demander, si vous gériez vous-même votre sécurité, du personnel qualifié et coûteux.

Pour un cabinet comptable, il est indispensable de sauvegarder les données de vos clients, je vous proposerai en premier lieu notre service de sauvegarde "on-line" (complètement sécurisé et automatisé) Backupia Evolution. Ensuite, après avoir examiné votre parc informatique et selon le cas, l'un ou l'autre des autres services mentionnés plus haut.

Vous vous déplacez chez le client ou tout s'opère à distance ?

Nous nous déplaçons au moins une fois chez le client, au moment de l'initialisation du service. Ensuite tout est administré à distance. Notre hotline, en cas de problème, est en mesure de vous assister à distance. Dans les cas non résolus de cette façon, un technicien se déplacera.

Quelles économies puis-je espérer en externalisant et de quel ordre sont vos tarifs ?

Chaque cas est particulier. En effet, il faut comparer le coût de l'abonnement à nos services au coût d'exploitation en interne, qui doit prendre en compte non seulement l'équipement et les logiciels, mais le personnel nécessaire. Une étude du Gartner Group indique que l'externalisation est plus économique et apporte un meilleur service.

Quel est votre temps d'intervention garanti ? Idem, si vous devez vous déplacer sur site ?

Comme je l'ai indiqué plus haut, notre hotline répond sans délai aux demandes. 98% des demandes sont traitées à distance. Pour les 2% restants, un technicien est envoyé sur le site du client. Notre couverture territoriale permet des interventions très rapides.

J'ai déjà une infrastructure de sécurité, antivirus, parefeu. Pouvez-vous en assurer le monitoring ou préférerez-vous installer votre propre matériel ?

Nous travaillons avec McAfee pour l'antivirus, Fortinet et Netasq pour les firewalls. Si vous êtes équipés de l'un ou de l'autre, nous pouvons l'administrer.

Parmi les produits que vous prenez en charge, y en a-t-il Open Source ? Si non, pourquoi ?

Nous sélectionnons très rigoureusement nos partenaires fournisseurs. Aujourd'hui les produits que nous administrons ne sont pas Open Source. Par contre, nous préparons une offre qui sera disponible à la mi-mai, à base d'Open Source.

La sauvegarde des données relève du domaine de la sécurité selon vous ?

Ma réponse est oui absolument...bien que les analystes l'oublie systématiquement !

Quel lien entre sauvegarde externalisé et plan de continuité d'activité ?

Lorsqu'un PCA est déclenché, la mise en œuvre du plan de secours informatique n'aurait pas de sens si l'entreprise n'avait le moyen de récupérer les données critiques nécessaires au redémarrage. La sauvegarde externalisée (et automatisée) permet d'avoir la garantie à 100% (c'est notre engagement) de récupérer ses données.

Avez-vous l'impression d'avoir un devoir d'évangélisation auprès des PME autour de la sécurité ?

Si la conquête commerciale est assimilable à de l'évangélisation, oui c'est le cas. Nos 150 ingénieurs commerciaux "convertissent" entre 400 et 500 nouvelles entreprises chaque mois !

N'est-ce pas un risque pour la confidentialité d'externaliser mes données, comptables par exemple ? Ne seront-elles pas interceptées durant le transfert notamment ?

C'est une question absolument essentielle. Notre produit assure le cryptage des données à la source, la transmission des données cryptées et le stockage des données cryptées. Nous ne connaissons pas la clé de cryptage : elle est créée et détenue par l'utilisateur et lui seulement.

Envisagez-vous de prendre en charge pour des clients la sécurité sur mobile ou plus globalement sur la mobilité ?

Oui tout à fait. L'offre qui sera proposée en mai adresse la problématique de la mobilité.

Pensez-vous faire du NAC également ?

Oui.

Beaucoup d'autres entreprises entrent sur le marché des MSS, dont de grands acteurs. Comment pensez-vous pouvoir leur faire face ?

Notre force réside dans notre ancienneté dans le métier de MSS, associée à une base clients de TPE et PME qui devrait atteindre 50 000 à l'horizon 2009, que l'on démarche - ce qui est unique dans notre métier - avec une force de vente directe, de 150 commerciaux qui va d'ailleurs s'accroître.

A titre d'exemple, IBM, l'un de nos principaux partenaires technologiques, présent dans le métier avec le rachat d'ISS il y a deux ans, nous voit également comme un partenaire commercial car nous avons cette capacité à atteindre un marché que peu d'entreprises cherchent à conquérir en direct, notamment dans le domaine de la sécurité informatique.

Vous faire racheter, vous parait-il une solution envisageable ?

Une solution à quel problème ?

Qu'illustre la certification " Entreprise Innovante " remise par l'Oseo ? Cela a-t-il une valeur auprès de la clientèle ?

Cette certification, qui est un renouvellement, puisque Risc Group avait déjà la certification (durée de 3 ans) a demandé en fait de construire un dossier complet. Cela n'avait rien d'automatique. C'est la preuve que Risc Group n'est pas seulement une entreprise commerciale, mais qu'elle investit en R&D, précisément pour offrir à ses clients le meilleur de la technologie.

L'externalisation de la sécurité n'a-t'elle pas surtout un intérêt lorsque les besoins sont standardisés ? Ou pouvez-vous tenir compte des spécificités de mon métier ?

Les deux ! On part d'une base "standardisée", et à l'initialisation du service, il y a le paramétrage et la configuration qui permettent d'adapter le standard à vos spécificités.

Dans quelle direction s'orienteront vos prochaines acquisitions ? Avez-vous des entreprises en vue déjà ?

Les acquisitions qui sont à l'étude aujourd'hui sont dans le domaine de la sauvegarde de données et de la sécurité informatique.

A partir de quelle taille et quelle clientèle, vous estimerez-vous satisfait de Risc Group ?

No limits !

Le faire-faire ne risque-t-il pas de me rendre plus lent face aux menaces ? En allongeant la chaine de décision, je perds en réactivité a priori.

En fait, externaliser un service de sécurité ou de protection de données ne signifie pas que l'utilisateur ne fait plus rien ! La responsabilité de la supervision in fine est la sienne. Nous lui transmettons les alertes et rapports nécessaires qui lui permettent de prendre la ou les décisions appropriées.

Recrutez-vous actuellement et si oui, quels profils, et où en France ?

En effet, nous recrutons, principalement des ingénieurs commerciaux, partout en France où nous disposons d'une implantation.

Et si vous ne travailliez pas dans la sécurité, quel autre secteur vous aurait intéressé ?

Je suis dans le domaine des TIC depuis le début de ma carrière et plutôt dans le domaine du service. Je suis aussi entrepreneur - j'ai créé plusieurs entreprises - et c'est cet axe que je privilégierais. Même si ce n'est pas dans les TIC, tout secteur du service m'intéresse. Je suis co-gérant avec mon épouse de l'entreprise qu'elle a créée de formation aéronautique, il y a 15 ans...

Si vous avez des questions restées sans réponse, n'hésitez pas à me contacter : alain.kagan@risc-group.com.

Au revoir !