Ludovic de Carcouët (Digitemis) : “Les grands groupes ont une problématique de vision d’ensemble dans la gestion de leur conformité et leur (cyber)sécurité”

À quel problème répond Digitemis ? 

Nous aidons les entreprises à gérer la conformité de ce que nous appelons leur “entreprise étendue”, c’est à dire les risques de cybersécurité et de gestions des données personnelles en interne, mais aussi en externe, auprès de leurs fournisseurs et des tierces parties avec lesquelles elles pourraient travailler. Nous leur proposons donc un logiciel qui permet de s’adapter à tous les référentiels de sécurité / conformité auxquels ces sociétés peuvent être soumises, que ceux-ci soient généraux, propres à leur industrie, voire propres à leur propre entreprise. Et cela peut s’accompagner de services supplémentaires, de la formation par exemple. 

Quelle est la spécificité de Digitemis, sur le marché des solutions de cybersécurité ? 

Lorsque nous avons débuté notre activité, nous nous sommes concentrés sur le domaine de la cybersécurité. Mais assez vite, nous avons constaté que la charge réglementaire allait devenir de plus en plus importante, et nous avons compris que celle-ci allait orienter les besoins de cybersécurité. Assez déçus des compétences des juristes que nous trouvions dans le domaine, nous avons pris le parti de former les nôtres à la cybersécurité, de même que de former nos ingénieurs aux problématiques légales. Aujourd’hui, nous profitons d’une triple expertise juridique, technique et cybersécurité, qui nous permet à la fois de gagner la confiance de nos clients et de simplifier leurs processus de conformité.   

Vous avez aussi fait le choix d’être labellisé auprès de la Cnil comme de l’ANSSI… 

Cela répond à une même logique de compétences étendues. Le label d’audit de la Cnil valide notre capacité à simuler les audits des autorités de contrôles. Un cabinet d’avocat ne possédant pas de compétences techniques ne pourrait pas en profiter. Nous détenons aussi le label gouvernance et un label de formation. À cela, nous avons adjoint les certifications de prestataire d’audit de la sécurité des systèmes d’information et de prestataire de confiance en cybersécurité de l’ANSSI (Agence nationale de la sécurité des systèmes d’information, ndlr). Nous sommes les seuls à présenter cette double casquette, cela participe à montrer que nous apportons une cohérence dans la gestion de toutes ces problématiques de sécurité et de conformité. 

Quelles spécificités rencontrez-vous dans la gestion de la conformité et de la (cyber)sécurité du secteur bancassurance ? 

Nous observons beaucoup de bricolage. Les grands groupes réalisent des expérimentations souvent intéressantes mais éprouvent des difficultés à industrialiser. En amont, ils ont même du mal à élaborer des indicateurs de pilotage fiable, ce qui les empêche de concevoir des plans d’action efficaces. En fait, on constate que des investissements conséquents ont été réalisés mais que souvent, ils sont assez peu rentables. 

À quoi est-ce dû, selon vous ? 

Un établissement bancaire doit composer avec des activités aussi diverses que la tenue de compte, le crédit, l’assurance, même le leasing quelquefois, par exemple. Elle doit faire converger tous les référentiels réglementaires propres à chaque domaines, mais trouve rarement la solution pour le faire. Or, sur les quelques 260 référentiels de conformité que nous avons recensés en France, un bon quart concerne l’industrie bancaire. Alors la banque mobilise des bataillons de collaborateurs pour gérer ces problématiques. Mais vu la rareté des ressources, notamment en cybersécurité, une automatisation d’une partie de ces tâches serait beaucoup plus efficace. C’est ce que nous proposons de faire, sachant, aussi, que nous avons intégré les complexités réglementaires dans notre solution, pour en rendre le pilotage plus simple. 

Vous travaillez aussi sur la clarté du suivi de sécurité à chaque échelon des grandes entreprises. 

Oui, car un autre problème rencontré par les grands groupes réside dans leur dimension tentaculaire, qui les empêche de savoir avec précision qui fait quoi dans certaines filiales. Nous avons travaillé à simplifier les remontées d’information, ce qui nous permet de fournir facilement des indicateurs de risque sur la confidentialité, la disponibilité des services, la traçabilité des informations, etc, à tous les niveaux de l’entreprise.

En pratique, comment aidez-vous vos clients ? 

Prenons un assureur, par exemple. Et considérons qu’il compte plusieurs milliers de fournisseurs, dont il voudrait vérifier la sécurité et la conformité, d’une part, et d’autre part piloter ce suivi dans le temps. Nous allons d’abord l’aider à qualifier les fournisseurs en fonctions des risques. Cela peut donner une liste des 20 fournisseurs les plus à risques, parce qu’on leur transmet des données personnelles par exemple, puis 200 jugés sensibles, et 2 000 qui semblent en conformité, mais que l’on vérifiera de temps en temps. Ensuite, nous aidons la compagnie à gérer les différents programmes d’audit, avec un rapport annuel très détaillé pour les 20 premiers fournisseurs, la même chose mais avec un peu moins de granularité pour les 200 suivantes, et une surveillance tous les trois ans pour les 2 000 restants, sur la base d’un système de rotation. 

Vous proposez aussi des services à destination des PME/ETI. Pourquoi ce grand écart ? 

En réalité, nous avons constaté que les plus grands groupes ne sont souvent que des assemblages de PME/ETI. Par ailleurs, leurs fournisseurs, que nous aidons à rendre “compliants”, sont des PME/ETI. Il était donc logique de leur proposer directement des solutions. 

Vous comptez donc aussi des fintech et des insurtech parmi vos clients. Quelle différence d’approche constatez-vous avec les acteurs traditionnels ? 

Nous les accompagnons lorsqu’ils sont beaucoup plus petits. Souvent, ils viennent nous voir pour que nous les aidions à simplifier leurs processus de conformité et pour inspirer confiance à leurs partenaires potentiels. Résultat : ils sont beaucoup plus rapides pour lancer leurs programmes et maintenir leurs objectifs de cybersécurité et de conformité que ne le sont les grandes entreprises. C’est logique : vu la taille de ces acteurs, les chantiers sont beaucoup moins complexes. Mais cela nous permet d’accompagner ces clients sur le long terme. Leur compréhension rapide de l’intérêt de nos solutions et le bon usage qu’ils en font nous permettent de créer des partenariats très efficaces.