JC Barbou (PGP) : « Le chiffrement permet de s’assurer contre la perte d’information en entreprise »

ITespresso.fr : Comment installer vos solutions au sein d’une entreprise ?
Jean-Charles Barbou : Nous proposons une offre de chiffrement de disques durs pour les PC portables principalement. Cette offre PGP Whole Disk Encryption (PGP WDE) – la plus courante – a pour but de se prémunir contre le vol ou la perte de cet équipement. Elle est compatible avec l’offre Microsoft Windows mais aussi Apple MacIntosh. D’ici la fin de l’année, elle sera compatible avec l’environnement Linux. En juin 2009, nous avons lancé une déclinaison PGP WDE destinée aux PME (150 postes) avec l’appui d’intégrateurs. Dans ce contexte spécifique, on peut se passer du déploiement en interne d’un serveur de gestion des droits ou des règles de sécurité. Les prix varient entre 99 euros et 75 euros en fonction des quantités commandées. C’est un coût fixe d’investissement. Le client est propriétaire d’une licence perpétuelle. La première année de maintenance est comprise. Et il y a ensuite un renouvelement de contrat de maintenance qui correspond à 20 ou 23 points de son achat initial.

ITespresso.fr : Qui sont vos concurrents directs en France ?
Jean-Charles Barbou : Les éditeurs nationaux Arkoon et Prim’X Technologie. Au niveau international, nous pouvons citer McAfee qui a racheté la société SafeBoot (en novembre 2007),  Symantec avec son offre Guardian Angel, Ultimaco repris par Sophos en août 2008. On peut citer également Voltage Security mais il est absent du marché français.

ITespresso.fr : Comment jugez-vous la maturité des entreprises françaises en matière de chiffrements ?
Jean-Charles Barbou : Les entreprises françaises ne sont pas conscientes des enjeux, si l’on s’appuie sur une enquête du Ponemon Institute menée cet automne pour le compte de PGP [voir encadré en bas de l’interview, ndlr]. Premier élément : on  chiffre à cause d’un risque ou sous la contrainte. Mais le chiffrement n’est pas un réflexe en arrivant le matin à son bureau. Je considère cela comme une erreur mais il s’agit juste de faire un point sur l’état de l’art. Secundo, la loi française n’oblige en aucun cas les entreprises ayant perdu des données à le déclarer. Et les sanctions en cas de violation de la confidentialité des données sont faibles. C’est une spécificité de l’Europe du Sud et la France se complait bien dedans. Au niveau du cadre juridique, les dirigeants des entreprises sont responsables au niveau pénal des données personnelles de ses salariés. A ce jour, il n’y a pas eu de procès en France dans ce sens. Je me rappelle juste le cas d’un grand compte. L’amende s’est élevée à seulement 60 000 euros. Autant dire strictement rien. La contrainte financière est vraiment trop faible.

ITespresso.fr : L’Agence nationale de la sécurité des systèmes d’information a lancé un programme de labellisation des produits de sécurité « pour conseiller les PME ». Vous y adhérez ?
La démarche semble intéressante sur le principe, car elle permet d’expliquer aux PME qu’il n’est pas nécessaire d’être une multinationale pour assurer la confidentialité de ses informations. Les PME également ont des données dont elles doivent assurer la confidentialité et la protection, pour leurs besoins propres, mais également pour leurs clients. Mais cette approche de « labellisation » doit se faire en prenant en compte la totalité des offres existantes sur le marché. Dans le cas contraire, elle risque d’apparaître comme un moyen de favoriser les offres nationales au détriment de choix technologiques et d’une saine concurrence.

A lire également : – Chiffrement : PGP attaque le marché français (Silicon.fr, 17/03/09)
– Le chiffrement, une solution pertinente de protection des données (eWeek.fr, 29/04/09)