Le mot de l'expert
Souveraineté, résilience et cybersécurité
Retour vers le Journal
Arthur DANGER a rejoint Naitways en 2013 en tant que Responsable Commercial, puis est nommé Directeur Commercial en 2016. En 2023 il prend le poste de Directeur des Services et Solutions. A ce titre, il répond à nos questions sur la spécificité de l’offre Naitways en matière de souveraineté, de résilience et de cybersécurité.
Mais la souveraineté, c’est aussi une transparence que nous avons vis-à-vis des clients. Nous ne faisons pas appel à des prestataires tiers ni sur les couches d’exploitation ni sur les couches d’infrastructure. Nous nous refusons par exemple à l’utilisation systématique de solutions qui imposent la collecte des données d’usage en dehors des systèmes et du contrôle de Naitways. Nous privilégions toujours la souveraineté de la donnée et mettons tout en œuvre pour garantir son contrôle holistique.
Nous voulons garder la main sur l’intégralité des services et des infrastructures. En proposant un service de guichet unique à nos clients, nous leur évitons les jeux de ping-pong entre différentes parties prenantes, et apportons une plus grande efficacité dans le traitement des incidents. Comme nous supervisons en permanence la totalité de la chaîne IT, nous voyons tout de suite lorsqu’un problème se pose, et nous pouvons réagir très rapidement.
Sur tout serveur Naitways, la donnée de production est automatiquement sauvegardée 2 fois : une fois sur le datacenter primaire de production, et sur un datacenter secondaire. De plus, par défaut, nous répliquons des données sur un 3ème site, toutes les 24 heures. Les clients souhaitant un RPO plus court peuvent personnaliser leur PRA en augmentant la fréquence de réplication, par exemple toutes les heures, ou toutes les x minutes pour les applications les plus exigeantes.
Au début du projet, nous concevons avec le client l’infrastructure qui correspond à ses objectifs métier. Lorsque le client n’a pas les compétences IT, nous recueillons les besoins fonctionnels que nous traduisons en réalité technique.
Dans les Comités de pilotage, nous abordons la qualité en évoquant les temps de réaction du support, les taux de disponibilité. Nous faisons un point sur la capacité des infrastructures, qu’il s’agisse d’espace de stockage ou de puissance de calcul. Enfin nous évoquons les aspects sécurité, avec ce qui s’est passé depuis le dernier comité de pilotage, les actions menées, et les conseils de mise en œuvre de moyens de protection.
Nos clients PME sont souvent peu techniques, ils ont besoin d’indicateurs métiers, il faut leur simplifier les choses. C’est pourquoi lors des comités de pilotage, nous fournissons des indicateurs consolidés à la fois sur les infrastructures et les opérations Naitways, mais aussi sur les partenaires tiers TMA ou TME, des spécialistes du support utilisateur qui participent à l’exploitation. Nous les accompagnons dans l’interprétation de tous ces indicateurs qui ne leur sont pas familiers pour être capables de prendre les bonnes décisions.
Sur chaque serveur hébergé chez nous, on sait dire s’il doit être considéré comme peu ou très critique. Dans ce dernier cas, le client nous délègue le droit d’intervenir en cas de détection d’un événement de sécurité important. Nous apprécions le risque business, nous prenons des mesures conservatoires pour réagir à ce risque, et ensuite nous lançons des dispositifs d’investigation pour comprendre ce qui s’est passé, et lancer les actions de remédiation.
Nous gérons également la sécurité de réseau et des accès, nous assurons le MCO des serveurs et du stockage, avec les services d’exploitation pour superviser, détecter et réagir en cas de problème.
Nous aimons grandir et partager une stratégie commune avec nos clients. C’est à partir de l’expérimentation que nous pouvons faire évoluer notre offre.
Naitways a beaucoup de clients PME et ETI. Avez-vous une offre dédiée pour ce secteur de marché ?
Le métier de Naitways est multiple. Nous sommes à la fois opérateurs, hébergeurs avec nos propres infrastructures cloud, et capables d’exploiter et infogérer les infrastructures de nos clients. Ces multiples cordes à notre arc sont particulièrement appréciées par nos clients PME et ETI qui voient en nous un acteur à taille humaine capable de proposer un accompagnement sur mesure pour leurs projets IT. Loin des offres packagées, nous avons conçu un portefeuille de services très modulaire, à la fois sur les aspects réseaux et infrastructures, sécurité, mais y compris dans l’accompagnement et l’expertise IT dont ils ne disposent généralement pas en interne.Vous revendiquez une offre de services souveraine. En quoi l’est-elle ?
Toutes les données que nous confient les clients sont hébergées sur des plateformes Naitways installées dans des datacenters situés en Ile de France et en région. Nous sommes propriétaires du backbone interconnectant nos différents datacenters, sur lequel transitent les données de nos clients Nous contrôlons et nous traçons tout ce qui passe sur le réseau, seuls les clients ou ceux qu’ils ont explicitement autorisé peuvent accéder à leurs données.Mais la souveraineté, c’est aussi une transparence que nous avons vis-à-vis des clients. Nous ne faisons pas appel à des prestataires tiers ni sur les couches d’exploitation ni sur les couches d’infrastructure. Nous nous refusons par exemple à l’utilisation systématique de solutions qui imposent la collecte des données d’usage en dehors des systèmes et du contrôle de Naitways. Nous privilégions toujours la souveraineté de la donnée et mettons tout en œuvre pour garantir son contrôle holistique.
Nous voulons garder la main sur l’intégralité des services et des infrastructures. En proposant un service de guichet unique à nos clients, nous leur évitons les jeux de ping-pong entre différentes parties prenantes, et apportons une plus grande efficacité dans le traitement des incidents. Comme nous supervisons en permanence la totalité de la chaîne IT, nous voyons tout de suite lorsqu’un problème se pose, et nous pouvons réagir très rapidement.
Comment assurez-vous la résilience du SI que vous ont confié vos clients ?
À l’inverse des hyperscalers, chez Naitways, toute donnée stockée est obligatoirement accompagnée d’une offre de sauvegarde et d’un PRA, et ceci que le client ait un seul ou 500 serveurs chez nous.Sur tout serveur Naitways, la donnée de production est automatiquement sauvegardée 2 fois : une fois sur le datacenter primaire de production, et sur un datacenter secondaire. De plus, par défaut, nous répliquons des données sur un 3ème site, toutes les 24 heures. Les clients souhaitant un RPO plus court peuvent personnaliser leur PRA en augmentant la fréquence de réplication, par exemple toutes les heures, ou toutes les x minutes pour les applications les plus exigeantes.
Comment se passe la gouvernance des projets IT menés pour vos clients PME ?
Je l’ai évoqué, notre offre est volontairement très modulaire, de façon à répondre au mieux à la spécificité de chaque PME ou ETI. Nous pouvons les accompagner sur l’exploitation système et réseau, et tout le maintien en condition de sécurité du SI qu’ils nous confient. Nous pouvons coexploiter le SI avec les équipes du client, ou le faire seuls, si le client ne dispose pas des ressources en interne.Au début du projet, nous concevons avec le client l’infrastructure qui correspond à ses objectifs métier. Lorsque le client n’a pas les compétences IT, nous recueillons les besoins fonctionnels que nous traduisons en réalité technique.
Dans les Comités de pilotage, nous abordons la qualité en évoquant les temps de réaction du support, les taux de disponibilité. Nous faisons un point sur la capacité des infrastructures, qu’il s’agisse d’espace de stockage ou de puissance de calcul. Enfin nous évoquons les aspects sécurité, avec ce qui s’est passé depuis le dernier comité de pilotage, les actions menées, et les conseils de mise en œuvre de moyens de protection.
Nos clients PME sont souvent peu techniques, ils ont besoin d’indicateurs métiers, il faut leur simplifier les choses. C’est pourquoi lors des comités de pilotage, nous fournissons des indicateurs consolidés à la fois sur les infrastructures et les opérations Naitways, mais aussi sur les partenaires tiers TMA ou TME, des spécialistes du support utilisateur qui participent à l’exploitation. Nous les accompagnons dans l’interprétation de tous ces indicateurs qui ne leur sont pas familiers pour être capables de prendre les bonnes décisions.
Comment vos clients PME perçoivent-ils l’injonction de cybersécurité ?
Chez les clients PME, il y a une réelle crainte du ransomware et de la prise d’otage informatique. Mais en même temps, on ressent également une forme de peur d’être considérés comme des proies vulnérables, non seulement par les cyberattaquants, mais aussi par la quantité d’offreurs de conseils, de services, de logiciels ou de matériels censés les protéger. Les PME se sentent une cible pour les soi-disant experts en sécurité IT.En matière de Cybersécurité, quels éléments apportez-vous à vos clients ?
Nos clients PME ne disposent pas forcément d’experts sécurité en interne, ils attendent de nous l’expertise et les ressources pour gérer la crise en cas de besoin. Certes nous avons les outils techniques en interne avec un SOC, un portail pour alerter le client en cas de problème, mais le client préfère nous déléguer la capacité d’intervention et parfois jusqu’à la gestion de crise.Sur chaque serveur hébergé chez nous, on sait dire s’il doit être considéré comme peu ou très critique. Dans ce dernier cas, le client nous délègue le droit d’intervenir en cas de détection d’un événement de sécurité important. Nous apprécions le risque business, nous prenons des mesures conservatoires pour réagir à ce risque, et ensuite nous lançons des dispositifs d’investigation pour comprendre ce qui s’est passé, et lancer les actions de remédiation.
Nous gérons également la sécurité de réseau et des accès, nous assurons le MCO des serveurs et du stockage, avec les services d’exploitation pour superviser, détecter et réagir en cas de problème.
Naitways a obtenu la certification HDS, quel a été votre cheminement ?
La conformité est une notion importante pour nos clients. Nous sommes certifiés ISO 27001. Mais depuis le début de l’année 2024, nous avons également obtenu la certification HDS. En réalité, quelques-uns de nos clients qui gèrent des données de santé qu’ils souhaitaient externaliser nous ont amenés à obtenir cette certification HDS pour pouvoir le faire chez nous. La souveraineté et la maîtrise de la donnée sont deux grands savoir-faire de Naitways.Nous aimons grandir et partager une stratégie commune avec nos clients. C’est à partir de l’expérimentation que nous pouvons faire évoluer notre offre.