Olivier Guilbert (OpenTrust) : "Nous sommes passés en Open Source 2.0"

	Olivier Guilbert (OpenTrust)

Quels sont les derniers développements concernant la gestion de la preuve ?

Nous avons développé une suite complète qui intègre non seulement la signature électronique mais aussi la gestion de la preuve qui permet en ligne de retracer toute la chaîne de confiance qui a permis de valider la signature

Comment définissez-vous le terme d'infrastructure de confiance ?

Notre logiciel permet de gérer l'ensemble des services de confiance c'est-à-dire l'authentification forte, le chiffrement, la signature, la non répudiation, l'horodatage et la gestion de la preuve.

Vos client sont-ils sensibles au côté Open Source de vos produits ?

Aujourd'hui c'est plutôt la couverture fonctionnelle, la facilité de mise en oeuvre, le nombre de références en production et l'expertise unique accumulée par OpenTrust qui sont déterminants pour nos clients.

Quels sont les avantages qu'ils en tirent ?

Surtout la capacité de réversibilité, mais ce que recherche avant tout le marché c'est des solutions réellement packagées et documentées. Sur ce point, nous sommes passés en Open Source 2.0.

Comment OpenTrust s'est-il imposé face aux grands éditeurs US ?

Nous avons effectivement réussi à devenir en quelques années le leader du marché par notre innovation. Nous avons rendu simple des problématiques perçues autrefois très complexes, ceci associé à un modèle de prix très compétitif pour les larges déploiement. Nos solutions offrent ainsi toutes les garanties d'un projet réussi techniquement et économiquement dans les grands comptes.

Quels sont pour vous les éléments clés de la réussite d'une startup ?

Avant tout il faut s'attacher à attirer les meilleurs candidats, c'est la priorité absolue et c'est le plus difficile au début quand vous avez juste un rêve à vendre. Après, il faut créer une vraie valeur différenciatrice unique sur le marché et il faut savoir la vendre. C'est sur ce point que la plupart des startup françaises a du mal. On développe des produits merveilleux et innovants en France mais qu'on sait plus rarement transformer en réussite commerciale.

Quels sont les différents secteurs sur lesquels vous travaillez ?

Notre offre est horizontale et s'adapte à tous les secteurs. Parmi nos clients on compte des grands ministères, des industriels, des banques,... Nous ciblons les grands comptes et les administrations et avons entamé notre développement international récemment.

	© Guillaume Serries
"Les meilleurs logiciels sont développés par des équipes à taille humaine"

Quels profils recrutez vous ?

Aujourd'hui plutôt des profils commerciaux pour l'international. En plus nous chassons en permanence les meilleurs architectes ou développeurs pour renforcer notre R&D. L'un des meilleurs chemins pour entrer chez nous est de passer par un stage, les plus motivés d'entre eux sont systématiquement recrutés. On devrait d'ailleurs publier prochainement des sujets de stage pour 2008.

Je ne comprends pas très bien ce qu'est le PKI, ou IGC ou encore ICP. A quoi Cela sert-il ? Est-ce un outil technique ou un concept de sécurité ?

Sans rentrer dans la technique qui prendrait beaucoup de temps (sinon venez voir une démo chez nous), c'est un peu l'équivalent de votre passeport dans la vraie vie et qui permet d'assurer avec un très haut degré de sécurité l'authentification, le chiffrement et la signature électronique.

La concentration du secteur du logiciel laisse-t-il une place pour les éditeurs européens ?

Ca fait 20 ans qu'on dit cela sur le marché et depuis 20 ans on voit de nouvelles sociétés émerger. Nous en sommes la preuve. Il y a 4 ans on a commencé à travailler activement dans ce domaine et on a développé une solution de classe mondiale. Il faut innover, anticiper les besoins du marché, il faut aussi bien comprendre que les meilleurs logiciels sont développés par des équipes à taille humaine. Le plus compliqué est finalement de développer un écosystème de partenaires autour du votre et cela passe par votre succès commercial.

Comment vous positionnez-vous sur la fraude en ligne ?

Notre métier est de construire la confiance dans le monde électronique telle qu'elle existe dans le monde papier. Les services de confiance que nous proposons visent toutes à créer un espace de confiance non seulement en interne des entreprises, mais aussi à leur écosystème client, partenaires, B2B, B2C. Nous sommes en train de déployer des solutions dans ce domaine.

Que pensez-vous de cette histoire de pôle de compétitivité logiciels libres devenu un groupe de travail du pôle System@tic ? Open Trust y participe ?

OpenTrust a soutenu le projet. Je ne crois pas qu'il faille penser logiciels libres versus le reste du monde, mais plutôt penser en termes de politique industrielle globale au niveau européen. L'Open Source n'est pas une fin en soi, par contre l'Open Source remet en cause le modèle traditionnel du soft un peu comme le PC a remis en cause l'informatique mainframe il y a 20 ans.

	© Guillaume Serries

Qu'est-ce que l'authentification forte ?

C'est de l'authentification à 2 facteurs , exemple ce que je détiens - une carte bancaire - ,et ce que je sais - code pin. On utilise le même principe pour accéder au système d'information avec un token USB ou une carte à puce et un code pin associé.

Quelles sont les spécificités de la sécurisation des systèmes qui utilisent des flottes mobiles ?

Aujourd'hui on accède au SI par de très nombreux types de terminaux dont les smartphones ou les mobiles. On peut aussi sécuriser un réseau Wi-Fi.

Le développement des services Web dans les administrations et les entreprises exige une prise en compte renforcée de la sécurité des transactions. Quelles sont les grandes menaces actuelles, et quelles sont les technologies mises en place pour y remédier ?

La plupart des services Web a été bâti pour un univers idéal sans tenir compte du besoin de sécurité. Notre plate-forme OpenTrust répond à cette attente, dans le sens qu'elle a été conçue pour délivrer des services de confiance à l'ensemble du parc applicatif. Nous travaillons ainsi à sécuriser de nombreuses applications chez nos clients online .

Vous dites : "l'Open Source n'est pas une fin en soi" et qu'il "faut penser en termes de politique industrielle". Justement que représente le logiciel libre dans le cadre du renouveau de l'industrie du logiciel en Europe ?

C'est une rupture du modèle traditionnel qui ouvre une fenêtre d'opportunité sur le marché. C'est une chance à saisir car elle déstabilise les acteurs traditionnels.

Etes-vous soutenu par les spécialistes en intelligence économique ?

Nous avons rencontré beaucoup de monde il y a 3 ou 4 ans mais nous avons compris rapidement que le seul soutien à trouver est celui du marché et de nos clients.

Les outils Open Source permettent-ils de sécuriser Windows ?

Yes, c'est ce qu'on fait chez tous nos clients. Nos produits sont conçus bien évidemment pour s'intégrer sans problème avec des postes Windows ou des Active Directory

Envisagez-vous de vous attaquer aux USA ?

On va annoncer très prochainement une ouverture à Londres, c'est un premier pas pour aller làbas. Ca viendra sans doute assez vite après le UK.

Comment une start-up a-t-elle réussi à conquérir la majorité du marché français en moins de 3 ans ?

On a beaucoup travaillé ! On est surtout arrivé avec le bon produit au bon moment. Nous avions la conviction que la dématérialisation et l'ouverture du SI à la mobilité allaient réveiller le marché de la PKI. Personne n'y croyait il y a 3 ans, mais on a gagné notre pari.

Quid des relations avec Microsoft ?

Nous avons beaucoup de clients communs ! On est concurrent direct sur une partie de l'offre mais en même temps Microsoft s'ouvre aux solutions extérieures, à l'Open Source et ce mouvement va continuer.

On achète plus vite une infrastructure de sécurité si on a fait aussi l'expérience d'une attaque - vos prospects vous demandent-ils de tenter de les hacker ?

Les grands comptes sont en veille permanente sur ces sujets, nous n'intervenons pas sur ce type de missions.

Quels sont vos partenaires ? Est-ce que Bull (société qui a développé une clé USB de chiffrement je crois) en est un ou est-ce un concurrent. Je n'arrive pas bien à vous positionner sur le marché.

Nous sommes partenaires des fabricants de cartes (Alladin, Oberthur, Gemalto), des intégrateurs (Solucom, IBM , Steria, etc..) , des autres soft (Novell, Utimaco...) pas encore de Bull mais ma porte est ouverte.

Quelles sont les grandes applications du produit OpenTrust ? Pour quels types de services vos clients vous choisissent-ils ?

En premier l'authentification forte, une fois mise en oeuvre nos clients déploient d'autres services de confiance comme le chiffrement de la messagerie, la sécurisation et le chiffrement des réseaux, la signature électronique. Souvent ces services de confiance sont aussi déployés aux partenaires, clients, concessionnaires ou distributeurs.

Cette suite complète dont vous parlez, est-elle développée en Open Source?

Elle est basé sur des distributions linux Red Hat ou Novell et est vendue sous une licence OpenTrust, quelques composants sont disponibles en Open Source tel OpenTrust PAM ou Cryptonit qu'on peut télécharger depuis Sourceforge.

	© Guillaume Serries

Quelles sont les attaques auxquelles les entreprises aujourd'hui doivent faire face?

Le plus souvent les menaces sont internes, dans 80 % des cas, pas toujours par malveillance mais plutôt par négligence ou manque de formation ou d'information.

Dans quels domaines de la sécurité, hormis peut-être les PKI, estimez-vous que l'Open Source rivalise avec le logiciel propriétaire ?

Dans les antivirus il y a de bonnes choses.

Peut-on vraiment sécuriser quelque chose alors que par ailleurs on généralise les IM (messagerie instantanée) et les applications nomades via VPN?

La multiplication des solutions est un de nos grands axes de travail via le chiffrement entre autres.

Chatter avec vous, est-ce vraiment fait en toute sécurité?

Sans doute pas mais il n'y a pas de risque ni de danger dans cet exercice !

Si les menaces sont à 80% internes, comme fait-on ? On se méfie de ses collègues ou on fait des plans de reprises sur incidents?

On définit surtout une politique de sécurité, on la communique à son personnel et on le sensibilise. Ensuite on s'équipe des outils nécessaires pour assurer un niveau de sécurité qui soit en ligne avec votre activité, votre taille d'entreprise…