Interview Patrick Heim – Dropbox Entreprises : la sécurité IT dans le cloud

AuthentificationBases de donnéesCloudData-stockageGestion cloudGestion des talentsManagementRisquesSécurité

Après avoir séduit le grand public avec des offres de stockage de documents dans le cloud, Dropbox vise le marché BtoB. Entretien avec son nouveau « Mr Sécurité IT ».

On connaît Dropbox comme un fournisseur de services de stockage de fichiers dans le cloud pour le grand public : 400 millions de particuliers (dont 70% sont situés hors des Etats-Unis).

Désormais, la société américaine s’attaque au marché des entreprises. La sécurité IT prend une autre dimension. C’est pour cette raison que Patrick Heim a pris les fonctions de Head of Trust & Security chez Dropbox.

Une pointure dans le domaine : cet expert de la sécurité IT occupait auparavant les fonctions de Senior Vice President, Chief Trust Officer chez Salesforce.

Chez Dropbox, il endosse les fonctions de « Mr Sécurité IT » en charge de rassurer les entreprises clientes.

ITespresso.fr l’a rencontré au Partech Shaker à Paris. L’interview a été réalisée par une belle matinée de début de semaine sur la terrasse du Partech Shaker avec vue sur la Tour Eiffel svp.

Après un tour en Suisse, Patrick Heim est passé par Paris pour rencontrer la presse et des clients. Citons le groupe Lagardère, Naviland Cargo et BlablaCar comme références françaises.

Plus globalement, Dropbox Entreprises aligne déjà 100 000 clients.

La sécurité IT se renforce progressivement sur les services BtoB (Dropbox Entreprises et sa déclinaison Dropbox For Business) : renforcement des outils d’administration de comptes, authentification forte à double facteurs, certification ISO 27018 (protection pour le traitement des données personnelles dans le cloud)…

Assis avec un Coca-Cola Zero à proximité, Patrick Heim aborde les enjeux de la sécurité IT et du cloud qu’il rencontre dans ses nouvelles fonctions.

(Interview réalisée le 29 juin 2015)

ITespresso.fr : Quelles sont vos priorités sur la sécurité pour Dropbox ?

Patrick Heim : Primo, il s’agit évidemment d’assurer la sécurité de nos clients et de les protéger des menaces ou des attaques. Cela nécessite de développer une stratégie de sécurité IT et d’établir des règles dans ce sens. La seconde chose est davantage liée à mon arrivée chez Dropbox il y a un an.

La société dispose d’un background phénoménal dans le segment grand public mais nous restons méconnus en tant que vendeur de solutions pour le business des entreprises.

Il est temps de dépasser cette vision orientée consommateurs et d’attaquer le marché des entreprises de manière offensive.

ITespresso.fr : Comment organisez-vous la gestion de la sécurité en interne ?

Patrick Heim : Nous disposons de deux divisons principales en termes de sécurité au sein de Dropbox. La première est dédiée à l’ingénierie adaptée à la sécurité. Nous disposons de collaborateurs techniques talenteux pour avancer et lancer de nouveaux défis en termes d’évolutivité et de criticité dans ce domaine.

La deuxième porte sur la confiance associée à la sécurité. Elle a vocation à gérer les problématiques de conformité règlementaire et d’homologation pour les certifications qui sont nécessaires pour nos activités opérationnelles.

ITespresso.fr : Disposez-vous d’un Network opérating center (centre de supervision de la sécurité de votre réseau) ?

Patrick Heim : Classiquement, un NOC est perçu comme une salle sombre remplie d’écrans de contrôles. Ce n’est pas notre cas.

Nous travaillons plutôt dans un espace ouvert dans des environnements de travail virtuels. Mais nous assurons un contrôle étroit sur les opérations qui sont réalisées à travers la compagnie et nous avons adopté les outils nécessaires pour la supervision à cette échelle.

ITespresso.fr : Comment renforcez-vous votre expertise en termes de sécurité ? Optez-vous pour du recrutement ou cherchez-vous des talents en rachetant des start-up ?

Patrick Heim : Dans notre stratégie, nous cherchons à façonner nos propres talents, à renforcer notre expertise d’ingénierie et d’enrichir notre propriété intellectuelle en comptant sur nos ressources. Je ne peux pas vous révéler le nombre de personnes qui travaillent dans les équipes de sécurité. Mais je suis satisfait du niveau d’effectif et de la qualité d’expertise.

Il n’y a pas de pénurie de talents. Néanmoins, nous gardons l’option de croissance externe. Si vous regardez l’historique, vous verrez que Dropbox a acquis plusieurs sociétés technologiques. Le champ de la sécurité n’est pas exclu. Nous cherchons le bon produit associé à des gens talentueux.

Si c’est opportun, nous pourrions envisager le rachat d’une société.

ITespresso.fr : A votre avis, où se situent les maillons faibles dans un réseau IT ? Considérez-vous la sécurité des data centers comme un point essentiel ?

Patrick Heim : Je suis pragmatique. Les gens me posent souvent des questions sur la sécurité des data centers, qui constituent un maillon critique du réseau. Mais, lorsque l’on voit les historiques de cas de vulnérabilités aboutissant à des disséminations de données,  je ne vois pas vraiment de cas vraiment liés à l’exploitation de data centers, qui font l’objet d’une exploitation sécurisée et certifiée.

Le vrai problème se situe au niveau de la protection des informations. Je ne veux pas blâmer nos clients grand public. Mais il est vrai qu’ils ont tendance à protéger leurs accès à des sites Web en conservant les mêmes codes d’accès. Nous devons leur montrer qu’il est important de disposer d’un code d’accès par site Web. C’est même plus important que le fait de choisir des combinaisons renforcées (avec des lettres et des chiffres).

ITespresso.fr : En tant que société technologique américaine à l’ère post-Snowden, est-il plus difficile de parler sécurité et protection des données ?

Patrick Heim : Non. Ce n’est pas plus compliqué. Les révélations d’Edward Snowden ont entraîné une accélération des investissements dans la sécurité IT sur le volet du chiffrement et du renforcement de la protection de nos propres infrastructures au profit de nos clients. A

Au-delà de la question de pratiques de cyber-surveillance du gouvernement américain, nous devions le faire face aux menaces d’organisations criminelles ou de pirates agissant individuellement.

ITespresso.fr : Quels messages principaux adressez-vous à vos clients BtoB en termes de sécurité IT ? Le cloud est aussi sûr que leurs propres réseaux physiques ?

Patrick Heim : C’est plus sûr. Au regard de mon expérience professionnelle dans la sécurité IT dans plusieurs sociétés (tests d’intrusion, audit…), je dirais que la sécurité IT dépend vraiment du savoir-faire d’experts. Il faut des personnes talentueuses pour protéger vos systèmes. Les PME n’ont pas les moyens de s’offrir ce type de compétences en interne. Même les plus grdes entreprises ont du mal à en disposer.

Secundo, c’est un domaine complexe avec des technologies diverses qui ne cessent d’évoluer qu’il faut faire cohabiter avec socles traditionnels d’infrastructures. Trop de systèmes, trop de plateformes…Cela peut tourner au désastre à long terme sur le volet de sécurité.

Voilà ce que je dis aux DSI et responsables en charge des technologies lors de mes entretiens : le cloud devrait entrer dans votre stratégie de gestion des risques. Déléguez des missions opérationnelles à des spécialistes du cloud d’un côté et concentrez vos efforts sur la sécurité otre système d’information en interne de l’autre.

ITespresso.fr : Vous allez rencontrer en France des DSI qui seront réticents à cette vision cloud…

Patrick Heim : Je serais probablement confronté à une certaine forme de résistance. Mais la réalité du marché, c’est que les talents sont rares et les technologies complexes. Ce n’est pas soutenable à long terme et il faut raisonner avec le cloud en termes de développement durable pour la sécurité.

ITespresso.fr : Pouvez-vous garantir aux entreprises clientes de Dropbox que leurs données seront stockées en Europe ?

Patrick Heim : Actuellement, les données sont hébergées aux Etats-Unis. Nous devons réfléchir à la manière de nous adapter au nouveau cadre sur la protection des données personnelles en Europe. Ce n’est pas clair la manière dont les choses vont évoluer. Actuellement, nous n’avons pas de plan pour monter des data centers en Europe. Mais nous suivons l’évolution de l’environnement règlementaire avec une grande attention.

ITespresso.fr : Par rapport à votre propre parcours professionnel, quelles sont les différences majeures entre votre job chez Salesforce et celui chez Dropbox ?

Patrick Heim : Salesforce assume son statut de cloud company et de fournisseur de services cloud de confiance. J’ai eu l’opportunité de  monter une équipe fabuleuse chez eux.

Dropbox est une société plus jeune avec beaucoup d’énergie et de dynamisme. C’est tout aussi enthousiasmant.

Et le fait de dépasser le BtoC pour viser le BtoB est un véritable challenge pour la croissance et l’innovation au sein de l’entreprise. Nous cherchons en permanence à déterminer quels sont les meilleurs services pour nos entreprises clientes.

(Crédit photo : ITespresso.fr – NetMediaEurope)

Lire aussi :

Lire la biographie de l´auteur  Masquer la biographie de l´auteur