Philippe Courtot, P.-D.G. de Qualys : « Les chances que l’Internet se segmente existent » (Interview)

Le P.-D.G. français de Qualys, principal fournisseur de solutions de sécurité dans le Cloud, avait anticipé l'ampleur prise aujourd'hui par la technologie. Cet expatrié aux États-Unis s'est longuement confié à Clubic en marge des Assises de la sécurité, avec passion et sur de nombreux sujets.

Dans le vaste monde des technologies numériques, Philippe Courtot est ce que l'on appelle une « sommité ». Du haut de ses 75 ans, celui qui est vu comme un « entrepreneur bienveillant » possède de nombreux atouts dans sa manche, et assure sans forcer la conversation. L'homme est à la tête de Qualys, née en France en 1999, devenue ce qu'elle est en grande partie grâce à son investissement pécuniaire et personnel. Basée aux États-Unis et cotée au Nasdaq, la firme est une référence et pèse 3 milliards de dollars en capitalisation boursière. Intéressé par tous les sujets, nous n'avons pas résisté à l'envie d'interroger Philippe Courtot, aux Assises de la sécurité à Monaco, sur le Cloud et son évolution dans une première partie, mais aussi sur l'IoT, la 5G, les difficultés de Libra et le potentiel Cloud souverain européen, dans une seconde partie.

Partie 1 - Qualys, ses solutions, sa stratégie

Philippe Courtot, aux Assises de la sécurité, le 9 octobre 2019 à Monaco (© Alexandre Boero pour Clubic)

Clubic : Qualys fut créée en 1999 et fête ses 20 ans cette année. Quel bilan tirez-vous de votre activité en 20 ans ?

Philippe Courtot : Nous avions vu que les architectures Cloud représenteraient le futur de l'informatique. Ce que nous n'avions pas vu, c'est la résistance au Cloud de la part des acteurs de la sécurité, qui le voyaient comme cet endroit mystérieux où les données ne sont plus sécurisées. L'argument que nous faisions valoir était qu'il est pourtant plus facile de le sécuriser.



Une grande majorité des sociétés US qui composent le Fortune 500 / Fortune 100 intègrent vos solutions... environ 70 %. D'où vient cette longévité ?

Cela vient de notre architecture Cloud. Au départ, la sécurité était simplement périmétrique. Le périmètre a commencé à s'étendre de plus en plus, et il a fallu ensuite sécuriser l'interne. À l'époque, l'un de nos premiers clients, DaimlerChrysler, voulait déployer nos solutions dans 40 pays. Toutes les updates sont automatiques. La scalibilité (capacité pour une entreprise à maintenir ses fonctionnalités et ses performances en cas de forte demande, ndlr.) nous a permis d'avoir cette position prépondérante.

« Avec le scanning, nous pouvons scanner toutes les IP sur la planète »

Vous avez développé la plateforme Qualys Cloud, qui opère une analyse en temps réel des données. On imagine que c'est aussi une partie du succès de votre entreprise ?

Exactement, et c'est aussi le succès du futur. À l'heure actuelle, nous avons considérablement étendu nos capteurs de données puisque maintenant, avec le scanning, nous pouvons scanner toutes les IP sur la planète. Nous avons 24 millions d'agents installés partout où nous pouvons les mettre. Nous avons le temps réel de tout ce qui change, et toute cette information remonte dans nos data centers.

Nous venons d'introduire l'analyse de flux, qui remonte dans notre détecteur de telle sorte que si jamais, sur un des postes de nos agents, vous avez une nouvelle application qui s'installe ou un nouvel utilisateur, nous le savons immédiatement. Si un poste se connecte sur le réseau, mais qu'il n'est pas connu, nous le savons tout de suite. Grâce au temps réel, nous avons la capacité d'aider les sociétés à établir la cartographie complète de leur entreprise. Sachez que nous avons pris la décision, il y a un petit peu plus de deux mois, d'offrir gratuitement cette solution pour toutes les entreprises.

C'est intéressant, de proposer cette solution gratuitement...

Oui, car nous avons la capacité de le faire. Mais derrière, bien évidemment, une fois que vous avez effectué la cartographie, nous avons des services complémentaires qui sont à la disposition de l'utilisateur en quelques secondes. Vous pouvez ainsi faire de l'analyse de vulnérabilité, de l'analyse de conformité, de l'analyse de vos certificats digitaux, etc. Au total, il y a une dizaine de services prêts. En faisant cela, nous rendons service à la communauté d'un côté, et proposons aussi d'autres services aux clients, d'une manière naturelle et simple, sans les attraper par le bras. Ce modèle de simplification du déploiement et de l'analyse des éléments de sécurité est très efficace, c'est du gagnant-gagnant.

À l'époque où vous vantiez la sécurisation nécessaire du Cloud, certains n'étaient pas fondamentalement d'accord. Aujourd'hui, avec l'importance que le Cloud a pris dans la société numérique au sens large, que peuvent vous dire ces personnes ?

Certaines sont à la retraite (rires). Mais c'est toujours pareil. Avoir raison n'est pas important. Ce qui est important, c'est de reconnaître quand on a tort.

Le logo Qualys, ici aux Assises de la sécurité 2019 (© Alexandre Boero pour Clubic)

Quelles solutions proposez-vous pour le mobile et, plus largement sur l'IoT, le smartphone étant par nature un objet connecté ?

C'est encore une fois une question d'architecture. Le Cloud, ce sont des data centers qui ont une puissance de calcul infinie, des capacités de stockage pratiquement infinies, l'Internet comme voie de communication. De l'autre côté, vous avez des objets spécialisés qui ont aussi leur propre puissance de calcul, mais cela est géré d'une manière continue. Vous pouvez programmer la mise à jour automatique du produit qui se connecte, la surveillance de son état etc.

« Il est très probable que la 5G soit une menace pour la fibre, oui »

Notre architecture, chez Qualys, est la même. Et c'est ce qui fait notre force. Lorsque vous regardez un objet connecté, pour nous, il faut un agent, comme il y a un agent pour les mobiles.

Nous avons fait en sorte que les fournisseurs d'IoT puissent eux-mêmes bâtir cet agent, qui est tout petit puisqu'il ne pèse que 3 Mb, car il ne fait que pomper les changements. On donne à tous les fabricants de l'IoT le SDK, le kit de développement, pour qu'ils fabriquent leur agent. Ensuite, nous avons le back-end derrière qui leur permet de gérer tout cela. Ce back-end (un serveur), vous pouvez l'avoir chez nous, chez Google, chez Amazon. Notre système, on peut l'insérer un peu partout, comme on le fait avec Orange Business Services, qui a créé un Cloud souverain, chez Airbus CyberSecurity ou Telstra. Nous avons 80 plateformes privées qui sont en fait des copies conformes de notre propre back-end. Nous pouvons distribuer tout cela dans le monde en fonction des besoins. Cela fait que nous sommes très bien placés sur l'IoT, grâce à cette architecture.

Comment se porte Qualys aujourd'hui ?

Très bien. Nous avons une forte base installée, des clients depuis longtemps, et le bon modèle. Nous sommes une société profitable car nous avons été prudents, en ne faisant pas de la croissance pour faire de la croissance. Nous avons toujours consenti à des investissements importants dans l'engineering. Nous n'avons jamais essayé de vendre à nos clients plus que ce dont ils avaient besoin. Car nous avons un service. C'est la différence entre acheter un voiture ou l'avoir en location. Nous n'avons aucun intérêt à vendre plus aux clients, car cela les encouragerait à moins renouveler.

Partie 2 - 5G, Cloud Act, Libra : l'avis de Philippe Courtot

Un mot sur l'arrivée de la 5G. La France a publié la liste des onze projets retenus pour expérimenter sur la bande millimétrique 26 GHz. Qu'est-ce que cela va changer de votre côté ? Est-ce que vous voyez cela comme une évolution ou une révolution ?

Les deux à la fois. Elle va améliorer considérablement la connectivité. Tout le monde en bénéficiera, que vous ayez besoin d'un petit débit ou d'un gros débit. Il y a certains applicatifs où la capacité d'avoir maintenant des volumétries considérables vont relancer les communications, réduire les coûts. C'est très stratégique.

« L'Inde est devenue depuis longtemps le back-office du monde »

C'est un peu la même chose que le WiFi ou le mobile, qui ont démocratisé l'Internet, avec des coûts beaucoup plus bas. La 5G prendra le même chemin.

Les opérateurs ont coutume de nous dire que la 5G n'est pas une menace pour la fibre optique, et que les deux technologies sont complémentaires. Pourtant, la menace semble réelle...

Il est très probable que la 5G soit une menace pour la fibre, oui. Toute la fibre optique installée restera en place. Après tout, pourquoi la changer puisqu'elle fonctionne très bien ? Par contre, si vous n'avez pas encore la fibre chez vous, pourquoi l'installer alors que la 5G vous amène tout cela sur un plateau ?

© Alexandre Boero pour Clubic

Que pensez-vous de l'idée de Bruno Le Maire de bâtir un cloud souverain d'abord franco-allemand puis européen avec Dassault Systèmes et OVH pour contrer le Cloud Act ? Que pensez-vous du texte américain ?

Il faut d'abord regarder Internet. Les chances que l'Internet se segmente existent. Ce sont les lois de la nature. Déjà, les Chinois veulent avoir leur Internet, les Américains veulent garder le contrôle d'Internet, même s'ils ne l'ont plus vraiment. Donc nous voyons comment tout cela évolue. Je ne suis pas contre la notion d'un cloud européen, chinois ou indien. Par contre, il y a les questions de coût. L'avantage qu'ont les Américains et les Chinois est qu'ils bénéficient d'un marché homogène. Du coup, cela permet d'amortir les coûts considérablement. Grâce à son marché important et homogène, la Chine peut se payer le luxe d'essayer de pousser son cloud à l'extérieur.

Concernant le cloud européen, je pense qu'il faut d'abord passer par l'étape entre Allemands et Français, s'ils y arrivent. Si le tout fonctionne, ça s'étendra rapidement.

« Le besoin de cybersécurité dans un futur relativement proche va commencer à se réduire »

On parle d'une pénurie de talents dans le monde de la cybersécurité... est-ce que c'est résorbable selon vous ?

En fait, oui et non. Il convient de regarder où sont les talents. À l'heure actuelle, il y a une quantité de talents en Inde qui est absolument incroyable. Pourquoi ? Car le pays est devenu depuis longtemps le back-office du monde. Il y a plus de salariés en Inde chez IBM qu'aux États-Unis. Pour des sociétés comme Accenture, c'est la même chose.

Chez Qualys, nous avions d'ailleurs pris la décision de recruter en Inde, où nous avons 700 employés. Un nouveau campus va voir le jour. Il pourra accueillir 2 500 salariés. Le talent est mal distribué. Aujourd'hui, il est très difficile de trouver le talent dans la Silicon Valley. De plus, il est très cher.

Vis-à-vis de la sécurité elle-même, d'une manière générale, des pays sont mieux placés que d'autres. C'est une question d'éducation. L'Inde est remarquablement bien placée. La Chine aussi, mais ses talents ne servent qu'elle en majorité, à l'intérieur. L'Europe est désavantagée, car elle est morcelée. Il y a un marché commun qui est limité à la circulation des biens et des personnes. Mais les habitudes et le poids des gouvernements ne font pas un marché homogène. Il y a ensuite l'éducation. À l'heure actuelle, les nations où il n'y a pas de forte éducation scientifique vont se retrouver en retard de ce côté-là.

Le besoin de cybersécurité dans un futur relativement proche va commencer à se réduire, avec des gens qui seront plus pointus, bien plus spécialisés. De la même manière, la sécurité va prendre le même tournant que la sécurisation des maisons, où l'on installe des capteurs un peu partout qui remontent l'information à travers Internet dans un centre qui analyse tout.

« Sur la sécurité elle-même, les USA sont très en avance »

Vous qui vivez aux USA, quelle image a-t-on là-bas de la cybersécurité européenne?

L'Europe est très en avance au niveau de la vie privée, avec le RGPD. Aux États-Unis, les régulateurs aiment réguler. Cela a des avantages et des inconvénients. L'avantage d'avoir moins de contrôle sur la vie privée est que, d'un point de vue économique, nous pouvons avoir des modèles gratuits, qui se monétisent à travers l'utilisation des données. L'inconvénient concerne par exemple les personnes qui vous harcèlent pour tenter de vous vendre quelque chose. Il y a une balance qui se crée. Les USA regardent l'Europe beaucoup plus du côté de la sécurité et à travers les données privées, puis copient. Sur la sécurité en elle-même, les USA sont très en avance.

Peut-on assister, en raison des nombreuses procédures auxquelles font face les Gafa, à un éventuel démantèlement d'un ou plusieurs mastodontes ?

Non. Fondamentalement, et si vous regardez la valeur de Google, on se dit que si cela devient plus compliqué pour elle de monétiser, elle commencera à fournir des services payants.

Un mot de Libra, la cryptomonnaie de Facebook. Pour vous, est-ce faisable ? Quel est votre avis là-dessus ?

Un jour, j'ai dit que si les Chinois voulaient vraiment empoisonner les États-Unis, ils créeraient leur propre cryptomonnaie. Du coup, le dollar le supporterait mal. Il y a d'ailleurs le retour de bâton des gouvernements, américain notamment, qui ont fait d'énormes pressions sur des sociétés comme PayPal, pour les convaincre de ne pas se jeter là-dedans. Car les gouvernements se disent "attention, c'est nous qui imprimons la monnaie." Avec la cryptomonnaie, le gouvernement ne contrôle plus rien du tout. La formule de la cryptomonnaie est contrôlée, alors que les États peuvent imprimer autant d'argent qu'ils le veulent. Le monde change, et il faut s'habituer à tous ces changements.

Merci beaucoup Philippe Courtot pour votre temps et cette passionnante interview. Nous vous souhaitons un bon retour.

Merci beaucoup.