Stratégie cybersécurité de Huawei France : entretien avec Gwénaël Rouillec

Stratégie cybersécurité de Huawei France : entretien avec Gwénaël Rouillec

  • Gwénaël Rouillec, vous avez rejoint Huawei France en tant que Directeur de la cybersécurité : quelle sont vos missions et celle de votre équipe ? 

En tant que Directeur cybersécurité de Huawei France, et sous la responsabilité du DG, Karl Song, j’ai la charge, avec mon équipe, de missions allant de la sensibilisation aux sujets liés à la cybersécurité jusqu’à l’application des réglementations sur les produits Huawei. À mes côtés, plusieurs experts en cybersécurité suivent au quotidien les actions de nos Business-Group réseaux, entreprise et grand-public. Concrètement, nous nous assurons que nos produits soient conformes aux lois les plus strictes en termes de sécurité des données et des réseaux, et que le produit livré corresponde à toutes les spécificités réglementaires. Nous élaborons également les processus qui garantissent, lors d’opérations chez les clients, la sécurité des données de ces derniers. Et lorsque nos clients ont besoin de faire intervenir un sous-traitant dans leurs systèmes, nous menons les audits afin de nous assurer que ceux-ci disposent des standards suffisants en termes de cybersécurité.

Il y a chez Huawei une attention particulière à la protection des données. Que ce soit chez le client, où chez nous, nous respectons les mêmes standards, en nivelant systématiquement par le haut : la sécurité, chez Huawei, est globale et cumulative. En interne, nous proposons tous les mois des sessions de sensibilisation, à la fois sur les bons réflexes à appliquer et sur les sujets d’actualité – il est beaucoup question, en ce moment, de crypto-lockers et de ransomwares, des attaques particulièrement critiques pour les entreprises. Nous apprenons à nos employés à être exemplaires sur le sujet : nous ne saurions garantir chez nous un niveau de sécurité qui ne soit pas au moins égal à celui qui est appliqué chez nos clients. D’ailleurs, toutes les personnes recrutées chez Huawei passent un test de cybersécurité – techniciens ou non !

  • Ces derniers mois, Huawei multiplie les prises de paroles : quels ont été pour vous les derniers temps forts ? [FIC, workshop EU, discours UNESCO…]

Effectivement en janvier dernier, lors du Forum International de la Cybersécurité (FIC) à Lille, nous avons présenté des partenariats stratégiques avec des acteurs français de la cybersécurité dont Secure-IC, une entreprise bretonne, spin-off de Télécom ParisTech. Secure-IC nous accompagne désormais dans la sécurisation des chipsets. Ce partenariat sur les puces, que nous retrouvons aussi bien dans nos smartphones que dans nos routeurs, contribue à notre vision de la cybersécurité, « de bout-en-bout ». Les ingénieurs français font partie de l’élite mondiale sur la sécurité, et nous tenons à les valoriser !

Huawei est très engagé dans l’écosystème français de la cybersécurité. Nous avons également participé, au mois d’octobre dernier, à un workshop technique à Vilnius, dont l’objectif était de recenser les best practices sur le chiffrement et la définition de la Privacy au niveau européen – pour la Commission européenne, plus précisément. Nous avons émis des avis, qui ont été retenus dans le rapport final sur la conception de l’identité numérique au sein de l’Union Européenne. La contribution de Huawei a été double : nous avons fourni, sur le plan réglementaire, une définition de la Privacy qui harmonise les spécificités locales, et, sur le plan technique, la méthode de mise en œuvre du chiffrement sur les données personnelles.

Plus récemment, lors de la première conférence « construire la paix et la sécurité internationales de la société numérique : acteurs publics, acteurs privés, rôles et responsabilités« , organisée à l’UNESCO le 6 avril dernier, notre CEO Ken Hu, a présenté la vision de Huawei sur la cybercriminalité. Si nous parlons souvent de cyberguerre ou de cybermalfaiteurs, il importe tout autant de penser à la cyberpaix. Alors qu’on souligne tous les jours l’importance qu’a pris le numérique dans nos vies personnelle et professionnelle, nous avons besoin de produits fiables, sécurisés et de confiance. Il y a un droit à la cybertranquilité, à une certaine sérénité d’utilisation, un droit qu’il faut affirmer – et Huawei y contribue.

Enfin, de manière plus informelle, nous sommes un membre actif d’autres rendez-vous français de la cybersécurité aux côtés du CLUSIF, du CESIN ou encore du Cybercercle. Huawei contribue autant qu’il bénéficie à l’écosystème français du numérique !

  • Dans quelle stratégie d’ensemble s’inscrivent ces actions ?

J’ai brièvement évoqué tout à l’heure notre vision de sécurité « de bout-en-bout », dans le domaine de la protection des données personnelles. Concrètement, avec son smartphone, lorsque l’on se connecte à sa banque, à l’Internet des objets ou à la domotique, nous devons exiger une expérience sécurisée, depuis le stockage dans le Cloud, jusqu’à l’accès aux objets connectés. La sécurité de bout-en-bout, assure qu’à aucun moment de la circulation sur Internet, vos données ne seront exposées ; car si elles le sont ne serait-ce qu’un instant, c’est comme si elles n’étaient pas protégées du tout. Cela se traduit par un chiffrement de la connexion entre le smartphone et le Cloud, et un chiffrement entre le smartphone et les objets connectés. Il y a une couche de chiffrement globale enserrant le Cloud, une couche de chiffrement propre à l’appareil et un chiffrement propre à chaque utilisateur.

En termes pratiques, c’est un travail constant de veille technologique : nous devons toujours – moi le premier – rester attentif à l’ensemble, afin de détecter les signaux faibles, la faille jusqu’ici dissimulée. « En cybersécurité, il y a toujours plus fort que soi » : c’est pourquoi la sécurité chez Huawei est globale et cumulative. Nous ne revenons jamais sur nos standards, et quand bien même ceux-ci sont plus exigeants que ceux imposés par la réglementation locale, il est de notre responsabilité d’avoir cette longueur d’avance sur les cybermenaces. Ainsi, lors de l’attaque par déni de service qui a paralysé le DNS Dyn en octobre dernier, les attaques provenaient de caméras de surveillance dont les mots de passe par défaut n’avaient pas été changés. C’était une pratique inédite, qui n’aurait pu voir le jour avec l’approche security by-design de Huawei, les identifiants étant modifiés dès installation du matériel par l’utilisateur.

Nous devons avoir le même niveau d’exigence vis-à-vis de nous-mêmes que celui attendu par nos clients.