INfluencia.: vous avez créé Cosmian en 2018 : quelle était l’idée de départ ?
Sandrine Murcia : avec mon associé Bruno Grieder nous avons commencé à réfléchir au sujet de la protection de la donnée à partir de 2017, dans le contexte de l’entrée en vigueur du RGPD. Tout s’est accéléré lorsque nous avons commencé à nous intéresser aux innovations en cryptographie, notamment portées par le laboratoire de Normal Sup dédié au sujet, que dirige David Pointcheval. Le projet a depuis pas mal évolué : nous nous sommes orientés vers des applications très BtoB, pour permettre le partage de données sensibles au sein des entreprises, sans les compromettre mais en les protégeant. Nous avons désormais un produit totalement intégré, issu de nos premiers projets avec des clients.
IN. : justement, quels sont vos clients ?
S.M. : nous avons beaucoup de contacts avec les opérateurs de la supply chain, un domaine où les données doivent circuler entre de nombreux acteurs. Nous travaillons aussi sur des projets dans l’univers de la santé, dans les cas où plusieurs entreprises veulent travailler ensemble et croiser des données, sans pour autant qu’elles quittent le dossier médical du patient. Nous avons aussi un projet avec une banque, pour que celle-ci puisse basculer les données de ses clients dans le cloud, tout en les protégeant. Ces données seront stockées cryptées sur les serveurs à distance et les échanges seront chiffrés : le déchiffrement ne s’effectuera que sur le téléphone du client, via l’application. Nos outils peuvent aussi être utilisés pour croiser des bases de données client au sein d’un même groupe, tout en respectant les principes du RGPD.
IN. : à quoi servent les outils que vous développez ?
S.M. : aujourd’hui, dans beaucoup d’entreprises, des calculs et des croisements de données ne sont pas réalisés, car ils sont risqués du point de vue de la confidentialité. Nous proposons donc deux solutions : soit de chiffrer ces données pour permettre leur partage, soit de s’appuyer sur un environnement de calcul qui est lui-même chiffré. Le but est de pouvoir exploiter les données de façon simple et sécurisée, pour démocratiser les technologies de cryptographie qui ont beaucoup progressé depuis 4-5 ans.
Nous ne vendons pas de technologies, mais des solutions logicielles permettant d’effectuer des calculs collaboratifs, qui sont directement utilisables dans les entreprises, sans que les utilisateurs aient besoin de se poser la question de la technologie qu’il y a derrière.
IN. : un exemple concret ?
S.M. : nous collaborons actuellement avec une plateforme de services autour des données spatiales. Une des problématiques du moment est l’encombrement de l’espace sur les orbites basses, avec la multiplication des mini-satellites. Les opérateurs de ces satellites ont besoin de savoir à l’avance si les trajectoires qu’ils prévoient d’utiliser ne vont pas se croiser avec d’autres, pour éviter les risques de collision. Mais aucun des concurrents n’a envie de révéler ses trajectoires aux autres, alors qu’ils ont tout intérêt à échanger. Notre produit vient donc s’installer au plus près des données, de façon complètement décentralisée. Nous fournissons l’environnement qui permet d’effectuer le calcul de collision, sans que les données ne sortent jamais des entreprises.
De manière générale, nos solutions s’appliquent bien à ces situations qui correspondent au “problème du millionnaire” : si vous réunissez des millionnaires dans une salle, ils veulent tous savoir qui est le plus riche, sans révéler ce que chacun possède aux autres. C’est un réel besoin en entreprise, pour de la comparaison financière ou dans les RH. Notre objectif est de pouvoir exploiter les informations, tout en les gardant confidentielles.
IN. : cet enjeu de confidentialité des données est aussi un enjeu de souveraineté, dans un contexte où le Cloud Act américain fait peser une menace sur les données stockées dans le cloud…
S.M. : avec le cloud, l’enjeu de la souveraineté n’est pas de rapatrier des données sur un territoire et d’essayer de remettre des frontières dans le numérique. C’est plutôt de donner la possibilité de profiter du cloud et de tous ses atouts sans faire de compromis sur la sécurité et la confidentialité. Même dans le cas de l’application du Cloud Act, si vos données sont chiffrées, elles continuent à être opérées par vous-même, sans pouvoir être lues ou exploitées pas des tierces parties. C’est bien que la France et l’Europe prennent des mesures pour encourager des outils qui renforcent la confiance numérique, mais l’idée ne devrait pas tant être de reconstruire un cloud à côté, que de créer un environnement totalement sécurisé pour nos données.