Sécurité numérique : le Premier ministre plus que jamais en première ligne

Le Premier ministre est le régulateur de la sécurité numérique nationale. Le Conseil constitutionnel a confirmé en février dernier l’étendue de ses prérogatives et des garanties nécessaires en la matière. L’affaire « SolarWinds » appelle de telles garanties du côté des fournisseurs d’informatique en nuage.

Par Christophe Clarenc (photo), avocat, cabinet DTMV & Associés

La « transition numérique » de l’économie et des entreprises s’accompagne d’une démultiplication pandémique des violations et compromissions de sécurité des systèmes d’information (1), avec un flot continu de « fuites » massives de données, une industrialisation (à l’état de l’art) de l’exploitation des « failles » de sécurité, et une explosion des cyberattaques critiques. L’Agence nationale de la sécurité des systèmes d’information (ANSSI) rapporte à cet égard un développement exponentiel à la fois des cyberattaques criminelles par rançongiciels et des menaces d’espionnage, de déstabilisation voire de sabotage à travers les attaques indirectes par rebond dans les chaînes de sous-traitance, d’approvisionnement et de partenariat industriels, dont la propre chaîne des fournisseurs de services d’informatique et d’infogérance en nuage. Le risque systémique d’attaques ciblées et vectorisées par la chaîne d’approvisionnement informatique est plus que confirmé par la campagne de cheval de Troie menée dans et à partir de la plateforme de gestion et de supervision informatique (Orion) du fournisseur américain SolarWinds, détectée en décembre dernier (2).

Chaîne de compromission « SolarWinds »
Par compromission des mises à jour logicielles distribuées par cette plateforme, cette attaque a infiltré et infecté en profondeur les systèmes de près de 18.000 de ses clients-utilisateurs, dont plusieurs départements de l’administration américaine (Pentagone, NSA, Trésor, Justice, Energie), de grands fournisseurs de services informatiques et de cybersécurité comme Microsoft et FireEye, et une série de grands comptes industriels aux Etats-Unis et en Europe. Reçue comme un « Pearl Harbour » de la « Supply Chain Security », cette affaire a soulevé aux Etats-Unis un tourbillon d’interrogations et d’investigations sur l’état des risques, des faiblesses systémiques, notamment réglementaires, et des défaillances individuelles de sécurité dans l’industrie et la chaîne d’approvisionnement « IT » (Information Technology). Microsoft a répondu que ce type de cyberattaque « sera la norme ». Le New York Times a révélé que les mesures et la politique de sécurité de SolarWinds étaient structurellement déficientes, notamment pour satisfaire aux exigences de profitabilité de ses investisseurs. L’agence Moody’s a considéré que l’affaire Continuer la lecture

Pourquoi Oracle, géant du logiciel de bases de données et de services aux entreprises, s’intéresse-t-il à TikTok ?

Mais que vient faire Oracle – numéro deux mondial du logiciel (derrière Microsoft), spécialiste des bases de données et services de cloud aux entreprises – dans la bataille pour tenter de s’emparer des activités américaines de l’application grand public TikTok, très prisée des ados ? Pour l’instant, Larry Ellison n’en dit mot.

Oracle et TikTok, c’est la rencontre improbable entre un géant du logiciel pour les entreprises et une application mondiale pour jeunes. Dans le cas où la firme cofondée il y a 43 ans par Larry Ellison (photo) rachèterait l’activité de la filiale du chinois de ByteDance aux Etats-Unis (voire aussi au Canada, en Australie et en Nouvelle- Zélande), ce serait le mariage de la carpe et du lapin. Pourquoi le fleuron américain du logiciel B2B, numéro un mondial du logiciel d’entreprise, s’est entiché d’une application B2C d’origine chinoise ? Rien de commun entre les deux entreprises. Aucune synergie possible. Pas de clients communs. Tout les oppose. Leurs intérêts ne sont pas les mêmes. Quant à Larry Ellison (76 ans depuis le 17 août dernier), il a passé l’âge de pousser la chansonnette dans de mini clips vidéo musicaux et de partager ses improvisations sur les réseaux sociaux. Ses hobbies sont ailleurs : la guitare, la voile, l’avion et le tennis. Même ses deux enfants, David (37 ans) et Megan (34 ans), ne sont pas de la génération des tiktokers. Le président d’Oracle Corporation, dont il est aussi l’actuel directeur de la technologie (CTO) après en avoir été PDG de juin 1977 à septembre 2014, est-il tombé dans un délire stratégique sans queue ni tête ?

Trump incite Oracle à s’emparer de TikTok
Depuis l’article du Financial Times daté du 18 août dernier révélant que la firme de Redwood City (Californie) a engagé des discussions avec des investisseurs (dont General Atlantic et Sequoia Capital) déjà actionnaires de ByteDance, la maison mère chinoise de TikTok (1), aucun commentaire ni démenti de l’intéressé. Au-delà des sources proches du dossier qui ont confirmé – au Financial Times, à Bloomberg ou encore à Reuters – l’existence de ces discussions entre Oracle et des investisseurs de ByteDance, la confirmation implicite des tractations est venue du président des Etats-Unis lui-même. « Eh bien, je pense qu’Oracle est une grande entreprise et je pense que son propriétaire [Larry Ellison et sa famille détiennent près de 40 % du capital, ndlr] est un gars formidable, une personne formidable. Je pense qu’Oracle serait certainement quelqu’un qui pourrait le gérer », a lancé le 18 août dernier Donald Trump, lors d’un déplacement à Yuma, dans l’Arizona.

Larry Ellison, l’ami de Donald Trump
Cet appui présidentiel intervient après que le locataire de la Maison-Blanche ait donné 90 jours au chinois ByteDance pour vendre, aux Etats-Unis, sa populaire application TikTok – téléchargée par plus de 175 millions d’Américains (sur 1 milliard de fois dans le monde). Cette injonction s’inscrit dans la croisade de Donald Trump contre des intérêts chinois tels que Huawei qu’il accuse – sans preuve – de cyberespionnage et d’atteinte à la « sécurité nationale » du pays. Le dessaisissent a été ordonné par décret présidentiel – un Executive Order – le 14 août, assorti d’un délai d’exécution de 90 jours à compter du lendemain, soit jusqu’au 12 novembre prochain. « A moins que cette date ne soit prolongée pour une période ne dépassant pas 30 jours [jusqu’au 12 décembre, ndlr], aux conditions écrites du Comité sur l’investissement étranger aux Etats-Unis (CFIUS) » (2). Ce délai de trois mois s’est en fait substitué à un délai plus court – 45 jours – qui avait été décrété le 6 août (3) et dont l’échéance devait intervenir dès mi-septembre ! Ce même jour, un autre Executive Order a été signé par Trump à l’encontre de, cette fois, WeChat du groupe chinois Tencent. A partir du 15 septembre, toute « transaction » avec cette messagerie instantanée-réseau social-système de paiement sera interdite aux Etats- Unis (4). ByteDance, d’une part (5), et Tencent via la « U.S. WeChat Users Alliance », d’autre part (6), ont porté plainte contre Trump devant la justice américaine. Sous cette pression politique, l’Américain Kevin Mayer (ex-dirigeant de Disney) – directeur général de TikTok depuis juin – a annoncé le 26 août sa démission.
En apportant publiquement son soutien à Oracle dans son projet de reprise des activités américaines du chinois, face aux autres candidats déclarés que sont Microsoft (avec Walmart) et Twitter, Donald Trump a lancé un clin d’œil intéressé à son ami Larry Ellison. Ce dernier est réputé avoir collecté des fonds de plusieurs millions de dollars dès février pour cofinancer la prochaine campagne présiden-tielle de Donald Trump en vue de tenter de remporter un second mandat à l’issue des élections de novembre prochain. Entre milliardaires, on se comprend : Lawrence J. Ellison est la cinquième plus grande fortune mondiale avec un patrimoine professionnel de 73,2 milliards de dollars (au 21-08-20), selon Forbes (7). L’actuelle PDG d’Oracle, l’Israélo-américaine Safra Catz, est elle aussi une partisante du milliardaire de l’immobilier devenu président. En début d’année, Oracle s’est même associé à la Maison-Blanche pour étudier les effets de l’hydroxy-chloroquine sur le covid-19. En outre, Donald et Larry sont sur la même longueur d’ondes lorsqu’il s’agit d’encourager les intérêts technologiques américains dans l’esprit bien compris du slogan nationaliste « America First ». Disposant de 43 milliards de dollars de cash disponibles au 31 mai dernier (8), Oracle a les moyens de racheter TikTok hors de Chine, qui est, d’après l’agence Bloomberg, valorisé entre 20 et 50 milliards de dollars sur un total de 75 milliards de dollars. ByteDance a généré un bénéfice net de 3 milliards de dollars l’an dernier, pour un chiffre d’affaires de 17 milliards. Ce qui en fait la licorne la plus rentable au monde, alors que la rumeur de son introduction à la Bourse de Hong Kong avait été démentie en octobre 2019 par la firme de Pékin. Mais le mariage improbable entre l’appli des teens et les soft des corporates apparaît comme plus politique que stratégique. Oracle, qui a publié au tout début de l’été les résultats de son exercice annuel clos le 31 mai dernier (9), a fait état d’un chiffre d’affaires de 39 milliards de dollars, dont 83 % réalisés dans le cloud et les licences de logiciels, 9 % dans la vente de matériel et support, et 8 % dans les services. Sa rentabilité a été affectée par la pandémie, son bénéfice net reculant de 6 % sur un an, à 10,1 milliards de dollars.
La firme de Larry Ellison s’est d’ailleurs félicitée d’avoir accueillir en avril dernier un nouveau client de son offre « Oracle Cloud Infrastructure as a Service » (OCI) (10) : Zoom. La plateforme de vidéoconférence s’est révélée au grand public lors du confinement du printemps où le télétravail s’est imposé. C’est dans cet esprit que le géant du logiciel d’entreprise souhaite aussi se rendre utile à tout le monde en acquérant des actifs de TikTok. Car, contrairement à Microsoft qui s’adresse à la fois aux entreprises et aux particuliers (Windows, Xbox et LinkedIn), tout comme Amazon (e-commerce), Oracle est inconnu dans les chaumières. Outre la puissance de son cloud, la firme d’Ellison pourrait aussi mettre à profit son expertise data et de courtage de données sur le marché de la publicité ciblée en ligne.

Oracle veut cibler plus le grand public
Le « Data Cloud » publicitaire d’Oracle, né après l’acquisition de Datalogix pour plus de 1 milliard de dollars en 2015, rivalise aujourd’hui avec Facebook sur ce segment réputé rentable, malgré le ralentissement de cette activité provoqué par l’entrée en vigueur en mai 2018 en Europe du contraignant règlement général sur la protection des données (RGPD) et par les restrictions au ciblage publicitaire au regard de la protection de la vie privée depuis le scandale « Facebook-Cambridge Analytica » (11). TikTok permettrait à Oracle de redresser la barre de cette activité. @

Charles de Laubier