Pierre-Gaël Chantereau,Président-Directeur Généralde Nokia France
Alexandre Ibanez, Président du GIE VR Connection
Face à l’augmentation des menaces, comment vos organisations renforcent-elles la sécurité de leurs infrastructures pour protéger les données sensibles de vos clients et partenaires ?
Comment vos organisations respectives abordent-elles la réglementation, la protection des données et quel poids lui donnent-elles par rapport à l’innovation ?
Aujourd’hui, la protection des données constitue un pilier essentiel placé en tête des priorités de Nokia, s’inscrivant pleinement dans le volet ESG et la gouvernance organisationnelle.
Nous avons fait le choix de la transparence en publiant chaque année nos objectifs et les problématiques associées à cette dimension. Ce n’est pas simplement un aspect périphérique ; il occupe une place centrale au sein de l’entreprise, allant au-delà de son périmètre immédiat. La responsabilité financière s’accompagne désormais d’une responsabilité dans le domaine de la protection des données, et cela se reflète dans la supervision globale exercée au niveau du Comex de l’entreprise, démontrant ainsi l’importance stratégique accordée à ce sujet.
Ensuite, il y a deux aspects à considérer :
D’abord, dans un contexte plus global, il y a une dimension préventive. Dans ce domaine, les risques sont souvent liés à des erreurs humaines, il est important de les reconnaître. Nous mettons en place des mesures visant à limiter au strict nécessaire les interventions et l’accès des individus aux données dont ils ont besoin, avec des contrôles préventifs. La formation obligatoire joue un rôle clé, tout comme les mécanismes de détection visant à sensibiliser chaque collaborateur à la sensibilité des informations et aux méthodes susceptibles de les compromettre. Des contrôles impromptus sont effectués régulièrement pour élever le niveau de vigilance de chaque individu. De plus, des contrôles préventifs sont appliqués à nos réseaux et systèmes informatiques, englobant un ensemble de procédures destinées à vérifier la gestion des accès et les mises à jour de nos systèmes. Cela représente notre volet préventif global.
Nous gérons également les incidents, les failles et les problèmes. Nous disposons d’un centre de cyberdéfense chez Nokia, une équipe agile qui surveille l’ensemble de nos systèmes à l’échelle du groupe. Cette équipe s’efforce d’identifier et de prévenir divers types de menaces. Nous avons mis en place une solution de confinement automatisée pour réagir rapidement et limiter les problèmes dès leur apparition.
Ces mesures s’appliquent globalement, mais nous avons également des mesures spécifiques, notamment pour nos clients. Les données de référentiels sont soumises à des normes spécifiques de certification, et des audits sont réalisés pour garantir une gestion appropriée au niveau mondial, adaptée rapidement d’un pays à l’autre selon les besoins. Ces mesures font partie d’un programme spécifique pour les données clients, offrant des niveaux de protection adaptés aux exigences individuelles.
Au sein de l’entreprise, nous avons instauré une culture de gestion des données à un niveau de qualité critique. La réglementation, la légitimation et leur impact sur le business sont intégrés dans toutes les étapes, de la vente à la recherche et développement, en passant par la maintenance logicielle. Les processus de création de produits intègrent désormais la gestion des données comme une composante essentielle.
Nous anticipons également les failles au niveau des composants et des produits, y compris sur les chipsets. Des systèmes de vulnérabilité sont intégrés en amont pour prévenir les attaques, et des tests de résilience sont effectués en laboratoire. Nous travaillons en étroite collaboration avec l’ANSSI pour garantir des solutions robustes, répondant aux normes de sécurité élevées, notamment dans le domaine des télécommunications.
Au niveau du 3GPP et de la standardisation, nous collaborons avec les opérateurs, les équipementiers et les semi-conducteurs pour garantir la sécurité et l’évolution des normes. En France, cette orchestration se fait en collaboration avec l’ANSSI, assurant la sophistication du système de validation des solutions et la conformité aux réglementations sur la gestion des données privées.
Notre engagement va au-delà du simple contrôle de la sécurité contre les attaques. Nous nous assurons également de la traçabilité des données, répondant aux requêtes spécifiques de nos clients opérateurs et travaillant ensemble pour assurer une maîtrise complète des flux de données.
Alexandre Ibanez
De notre côté, nous avons trouvé une solution pour nous protéger tout en continuant à innover de manière disruptive. Pour avoir un point de contrôle sur les données qui circulent dans les « tubes » de l’information, nous avons choisi de renforcer notre protection au niveau logiciel, une composante qui, jusqu’à présent, était minoritaire dans les infrastructures réseau, mais qui devient de plus en plus importante.
Nous utilisons des surcouches logicielles d’Operating System, tels qu’Android, Microsoft ou Apple, pour filtrer les informations avant leur transmission. Dans le secteur des technologies immersives et du Métavers, nous limitons ainsi les interactions indésirables avec les données qu’on ne souhaite pas transmettre à des constructeurs tels que Méta pour n’en citer qu’un. Cette approche de surcouche logicielle européenne et souveraine offre une alternative plus économique ne nécessitant pas des investissements colossaux.
En parallèle, nous avons choisi de posséder nos propres serveurs, écartant l’utilisation d’infrastructures de serveurs privés pour des raisons de sécurité et de relations avec nos clients. Cependant, nous sommes confrontés à des limitations en termes de quantité de données et de coûts associés à ces infrastructures.
Nous sommes actuellement en réflexion sur la possibilité de collaborer avec nos clients, qu’ils soient publics ou privés, pour financer de nouvelles infrastructures ou architectures permettant de mieux protéger les informations.