Depuis quand êtes-vous présent dans la sécurité ?
Notre centre de compétence existe depuis 2000. Nous l'avons récupéré avec le rachat de Transiciel et nous avons décidé d'accélérer le développement de l'activité à partir de 2005. Nous étions 5 en 2005 et nous sommes 120 aujourd'hui. Le marché de la sécurité est en croissance et il n'est pas touché par la crise. Il concerne tous les types de client, de la PME à la PMI aux grands comptes, de l'industriel à la banque en passant par les industries sensibles et les ministères. Intellectuellement c'est un sujet hyper-intéressant par sa diversité. Les problématiques sont différentes dans le monde de la banque, de l'assurance ou de l'automobile.

Comment êtes-vous organisé ?
Nous avons une équipe de recherche composée de 14 ingénieurs-chercheurs qui travaillent sur des vulnérabilités au niveau des systèmes d'exploitation, qui font des tests poussés de produits et qui travaillent sur des problématiques d'offuscation des codes embarqués.

C'est-à-dire ?
Si un industriel livre un produit comme un simulateur de vol, un pilote automatique ou un contrôle d'accès. Ce produit intègre une architecture technique et un logiciel. Lorsque le produit est livré en Asie, le code du logiciel, exécutable, est compilé. Rien n'empêche le pays de faire du reverse ingeniering pour récupérer l'algorithme du code puis d'en faire un clone pour copier le produit. Pour empêcher cette opération inverse, nous créons différentes architectures dans le code pour l'offusquer, c'est-à-dire ralentir le retour en arrière. Nous les sommes à avoir ce type d'expertise en France.

Quelles sont vos autres zones de compétence ?
Toute la partie anti-virus. Nous sommes aussi les seuls en France à avoir ce degré d'expertise. Beaucoup de clients font appel à nous lors d'attaque virale pour les aider à en sortir. Cela consiste à récupérer une machine infectée, comprendre ce que fait le virus puis développer les patchs logiciels qui vont bien pour couper les accès au virus.
Le livre blanc de la défense nationale sorti en juin 2008 identifie divers risques pour la France sur les dix prochaines années. Le risque numéro deux est un risque d'attaque cyber-terroriste. Autant donc penser à s'en protéger.
L'autre problématique soulevée par ce livre blanc est la labellisation des produits. Aujourd'hui, de nombreux éditeurs de diverses nationalités sortent des produits de sécurité. Nous devons nous y retrouver en tant que client et que société de conseil. Le gouvernement a mis en place la labellisation CSPN (Certificat Sécurité de Premier Niveau) portée par l'ANSI (Agence Nationale de Sécurité des Systèmes d'Information). L'objectif est d'évaluer les produits de sécurité pour savoir s'ils tiennent la route. En France, il y a quatre laboratoires spécialisés dans ce domaine. Nous sommes la seule structure à en faire partie à l'intérieur d'un grand groupe comme Sogeti et nous sommes les seuls à être habilités au niveau virus.

Que faites-vous avec le CEA-Leti ?
Nous montons le CESTI, le Centre d'Evaluation de la Sécurité des Technologies de l'Information. Il permet de faire des évaluations combinées de sécurité au niveau du logiciel et du matériel.
L'idée de notre équipe de recherche est de déterminer un sujet novateur, comme la sécurité et la vulnérabilité des smartphones et des PDA. Une fois que l'on a identifié les vulnérabilités, on peut sécuriser une flotte de PDA. Aujourd'hui, le DSI maîtrise la flotte de micro-ordinateurs portables mais pas la flotte de smartphones, chacun d'entre eux étant choisi par un cadre (Windows, Android, Symbian iPhone). Il va chercher à la sécuriser sans être intrusif. Nous gagnons une mission par semaine sur ce type de sujet.

Vos 150 clients sont-ils principalement français ?
Oui mais nous commençons à nous étendre à l'étranger, sur l'Angleterre pour accompagner nos clients industriels, au Luxembourg avec des banques, aux Pays-Bas pour la partie applicative. Nos clients français nous envoient à l'étranger pour auditer leur filiale. Notre activité croit de 30% à 40% l'an.

Comment se caractérise la concurrence ?
Aujourd'hui, nous avons de petites sociétés de niche. Il y a aussi de grands groupes de conseil qui ont des consultants pour l'Europe. Nous avons l'avantage d'être français. Ce n'est pas demain que la sécurité sera gérée par des indiens.

Est-ce que cela ne limite pas votre développement ?
Non car nous pouvons avoir une équipe de consultants anglais pour l'Angleterre, une équipe de consultants allemands pour l'Allemagne et ainsi de suite.