Un secret bien gardé

Dans un environnement de plus en plus techno, les cybermenaces s’intensifient. Heureusement, Nandini Jolly et son équipe veillent sur nos données.

Cela remonte à mars 2014. Ce soir-là, la veille de la mise en marché par HewlettPackard (HP) de 40 millions d’ordinateurs de bureau, de portables et de tablettes dotés d’une technologie de chiffrement novatrice, Nandini Jolly, présidente fondatrice et chef de la direction de CryptoMill Technologies, à Toronto, se demandait avec son équipe d’ingénieurs comment souligner cet événement. CryptoMill avait en effet conçu la technologie novatrice en question, et HP était son plus gros client. Ils ont fini par passer la nuit à écrire et à enregistrer une chanson sur l’air de Get Lucky, de Daft Punk.

« Nous avons envoyé l’enregistrement aux dirigeants de HP le lendemain matin », raconte Mme Jolly, qui a travaillé en finance à la Bank of America et chez Deloitte avant de fonder CryptoMill en 2007, où elle est la seule qui n’est pas ingénieur. « Quelques mois plus tard, j’ai su qu’ils faisaient toujours jouer la chanson à leurs réunions internes. » En plus de représenter un tournant pour CryptoMill, le contrat avec HP a créé un précédent : chaque nouveau partenariat aurait désormais sa chanson. « Nous travaillons sérieusement, dit Mme Jolly, mais il faut aussi s’amuser. »

Si tout se déroule comme prévu, les prochaines chansons seront pour Motorola et OpenText, car la petite entreprise canadienne suscite maintenant l’intérêt de multinationales par son approche pragmatique de la sécurité : protéger les données et préserver la confidentialité. La société a conçu une technologie, Circles of Trust, qui permet de chiffrer les données, peu importe où elles se trouvent.

LES DONNÉES AVANT TOUT

Lorsqu’on protège les données plutôt que les appareils, le fait que des pirates informatiques s’introduisent dans un réseau (comme certains l’ont fait avec ceux de Sony, d’iCloud, et, plus récemment, de cabinets d’avocats représentant des banques de Wall Street et des sociétés Fortune 500) est sans conséquence puisque les données sont chiffrées. De plus, les fichiers chiffrés ne sont partagés qu’avec des destinataires authentifiés. C’est l’autre volet de cette technologie : l’accès est réservé à des groupes de personnes dignes de confiance. Et l’organisation qui est à l’origine des données peut accorder à ces groupes divers niveaux d’accès. Elle a le plein contrôle sur le partage des données (quels tiers peuvent y accéder, dans quelle mesure, pour combien de temps).

Et même après qu’un document a été téléchargé, si l’accès est révoqué, il n’est plus accessible. Circles of Trust arrive sur le marché dans un climat d’intensification des cybermenaces. Selon Symantec, en 2015, environ un demi-milliard de dossiers personnels ont été perdus ou volés, l’hameçonnage visant des employés s’est accru de 55 % et les attaques de logiciels rançonneurs ont augmenté de 35 %. L'indice EMC Global Data Protection évalue le coût moyen des données perdues lors d’une seule effraction à plus de 914 000 $ US.

Consciente de la forte demande, mais aussi de sa petite taille, CryptoMill, qui compte 25 employés, n’a pas la capacité de grandir seule. Mme Jolly a donc pour stratégie de former des partenariats avec des sociétés qui sont des chefs de file dans leur domaine. Et elle n’hésite pas à faire de la sollicitation téléphonique auprès de clients potentiels.

« Des organismes de soins de santé aux cabinets d’avocats, en passant par les sociétés d’aéronautique, tous les secteurs ont des actifs à protéger, souligne Mme Jolly. Notre solution convient à tous, car elle est indépendante du matériel informatique et consiste à protéger les données. » La présidente possède à la fois beaucoup d’aplomb et une profonde spiritualité. Elle se sent l’obligation morale de faire le bien.

Née en Inde et élevée dans la tradition hindoue, elle a étudié dans un couvent en Angleterre avant de décrocher un diplôme de premier cycle en économie et une maîtrise en finance internationale à la London School of Business. « Je ne peux rien faire contre les actes odieux de terrorisme dans le monde, dit-elle, mais avec mon équipe, nous pouvons changer les choses en protégeant l’information contre les attaques des pirates. Nous sommes au moins cette goutte dans l’océan de la sécurité. »

CryptoMill est au cœur de la tendance actuelle, selon Micah Clark, associé de recherche principal en sécurité nationale et publique au Conference Board du Canada (CBdC) et chercheur principal au Cyber Security Centre du CBdC. « L’approche en cybersécurité a beaucoup évolué à cause surtout de la prolifération des mobiles, fait-il remarquer. Il n’est plus possible de construire un périmètre numérique autour de l’entreprise et de placer tous les actifs importants à l’intérieur. Les données se déplacent et ne peuvent plus être contenues physiquement. Pour garantir la confidentialité, il faut que les dispositifs de sécurité suivent les données. »

Le chiffrement, ou cryptage, était connu, mais le fait qu’il s’exécute au niveau des fichiers est nouveau. On parle de gestion distribuée des droits et des actifs numériques. C’est l’avenir de la cybersécurité. Une approche similaire a été adoptée par des sociétés comme, au Royaume-Uni, Locklizard (qui met l’accent sur la protection des PDF, des clés USB et des livres électroniques) et, en Suisse, Silent Circle (qui axe ses efforts sur les appareils de communication). De son côté, CryptoMill protège le texte, les images, ainsi que les fichiers audio et vidéo.

Il reste néanmoins des défis. « Peu importe la complexité de la technologie, signale M. Clark, il est crucial que celle-ci soit facile à utiliser. La majorité des employés doivent pouvoir s’en servir. Les fournisseurs développent souvent de très bonnes solutions techniques, mais oublient la convivialité. Les technologies gagnantes seront celles où la protection de l’information sera un jeu d’enfant. »

CryptoMill espère justement se démarquer sur ce plan : elle offre sécurité, confidentialité et contrôle, tout en facilitant le partage et la collaboration. Impressionné, PC Magazine a accordé quatre étoiles sur cinq à HP Trust Circles (la technologie que Mme Jolly et son équipe ont intégrée aux appareils HP), soulignant son haut degré de sécurité et sa facilité d’utilisation.

Ann Cavoukian, commissaire à l’information et à la protection de la vie privée de l’Ontario pendant trois mandats et maintenant directrice générale du Privacy and Big Data Institute de l’Université Ryerson, ne tarit pas d’éloges non plus. Elle a rencontré Mme Jolly lorsque, dans ses fonctions de commissaire, elle a créé le cadre conceptuel Protection intégrée de la vie privée (PIVP), qui vise à incorporer une telle protection dans les systèmes de TI et les pratiques commerciales. La PIVP est depuis devenue une norme internationale, traduite dans 38 langues. Le nouveau Règlement général sur la protection des données de l’UE est le premier document juridique à intégrer la PIVP. Et Mme Jolly a été l’une des premières ambassadrices de cette norme, puisque CryptoMill intègre la protection des données dans tous ses produits.

« Nandini Jolly a créé un produit tout à fait unique, souligne Mme Cavoukian. Son expérience en finance lui procure un point de vue très pratique. Ce produit assure sécurité et protection des données, non pas l’un ou l’autre. »

PARER LES COUPS

Dès qu’on entre dans les bureaux de CryptoMill à l’angle des rues Front et Jarvis à Toronto, on sent une atmosphère chaleureuse, inhabituelle dans une société de haute technologie. Petits tapis sur la moquette industrielle, sofas de cuir à la réception, et sur la table de salon, un livre sur les brevets américains côtoie l’ouvrage India: Then and Now.

La salle du conseil donne sur le marché historique St. Lawrence, où Nandini Jolly et son équipe vont souvent dîner, prendre un café ou acheter des friandises pour leurs visiteurs ( j’ai eu droit à un gâteau au caramel). « J’essaie de stimuler mon équipe, mentionne Mme Jolly. Les employés sont plus créatifs et travaillent mieux quand ils sont heureux. » Et en bonne santé. Elle est elle-même en rémission d’une rare maladie auto-immune et fait du kickboxing sept jours sur sept pour se tenir en forme et relâcher la pression. Elle fait venir son entraîneur, Jason Battiste, un ancien champion canadien, dans les parcs du quartier pour que son équipe puisse participer à des séances d’exercice impromptues.

Plaisir et collégialité s’accompagnent d’une grande détermination. Mme Jolly doit sa grande spiritualité à sa mère. Celle-ci lui a fait connaître les moines védantistes, à qui elle demande maintenant conseil. Lorsqu’elle a obtenu son premier million de dollars de financement, un moine est venu d’Allemagne et a béni son bureau. Dans l’ascenseur, en repartant, il lui a raconté que Peter Drucker, à qui on demandait quelle était la principale qualité d’un bon dirigeant, avait répondu : un doctorat en spiritualité. Elle ne l’a pas oublié.

« Les moines m’ont enseigné que tout est spirituel, dit-elle. Notre logo, le cercle de la vertu, met de l’avant les actes que l’on accomplit dans un souci de droiture, en évitant le mauvais et en préservant le bon. C’est exactement ce que nous faisons : nous tentons de freiner les pirates et de protéger les actifs. Trois choses comptent : que notre solution règle le problème, qu’elle fonctionne et qu’elle en vaille la peine. Même si nous ne bloquons qu’une seule attaque, nous faisons quelque chose d’utile. »

Mme Cavoukian a pu constater cette détermination de près. Les deux femmes ont souvent eu l’occasion de prononcer des allocutions sur la même scène et elles ont rédigé ensemble un rapport sur la protection des dossiers de santé. En 2013, Mme Cavoukian a présenté la candidature de Nandini Jolly pour le Prix des 100 femmes les plus influentes au Canada du Réseau des femmes exécutives (RFE). « Je me suis dit, voilà une femme remarquable, qui dirige une entreprise formidable, et qui joint le geste à la parole en respectant ses principes personnels dans son travail. » Mme Jolly s’est vu décerner le prix précisément pour cette faculté de donner l’exemple par son leadership et d’innover dans un secteur dominé par les hommes.

« Sur les 871 femmes qui ont remporté ce prix, Mme Jolly est unique, affirme Linsay Moran, vice-présidente aux programmes et événements du RFE. Cette femme, membre d’une minorité visible, a lancé une entreprise de technologie après avoir fait carrière en finance. Elle dirige avec conscience et honnêteté, encourage le leadership des femmes, et soutient que son rôle de mère et d’épouse l’a aidée à bâtir son entreprise. C’est un message très puissant. » Un message qui a d’ailleurs trouvé écho auprès de la députée Kellie Leitch et de l’organisme Condition féminine Canada, qui a publié, grâce à Mme Leitch, un profil de Nandini Jolly lors du Mois de l’histoire des femmes en 2014 pour souligner son esprit d’entreprise et son rôle de mentor auprès d’autres femmes.

Si la mère de Mme Joly lui a transmis sa spiritualité, son père, qui a été contrôleur financier pour des sociétés de l’OPEP partout dans le monde, lui a légué une force qui l’a toujours poussée plus loin. Ses deux parents lui ont appris que tout est possible lorsqu’on a confiance en soi. Et Mme Jolly s’est renforcée dans cette conviction au couvent des sœurs de la Providence, en Angleterre, où elle était pensionnaire avec 90 jeunes filles venant du monde entier, à l’époque où sa famille résidait au Nigéria. Elle attribue à ses expériences passées sa réussite à la Bank of America, à Toronto, où elle a travaillé avec une seule autre femme et 400 hommes au pupitre de négociation. « Je m’étais promis, confie-t-elle, que je brillerais dans tout ce que j’entreprendrais et que je ne compterais que sur moi-même. J’étais tellement déterminée que j’ai décroché un de nos plus gros comptes de l’époque, Broadcast Music Inc. C’est ce contrat qui m’a propulsée au rang de vice-présidente dans l’année. »

Lorsque, après trois fausses couches, elle a eu son fils Arun en 2000, elle a décidé d’entreprendre un virage. Et quelques années plus tard, elle s’est jointe à l’équipe de gestion des risques de Deloitte à Toronto à titre de directrice principale. Elle a pris le plus gros risque de sa carrière quand, avec le soutien de son mari, Marc Marlier, elle a lancé une entreprise de technologie. « J’ai encore mon exemplaire de Learning Cryptography for Dummies. Je ne savais pas, relate-t-elle, ce que c’était que d’être entrepreneur, d’embaucher des ingénieurs, de mobiliser des fonds et de voir ses demandes de financement rejetées par des investisseurs en capital de risque. L’un d’eux m’a même dit : “Votre technologie est formidable. Le hic, c’est que vous n’êtes pas un homme blanc anglo-saxon.” Cela ne l’a pas empêchée d’aller de l’avant. Autrefois, le cryptage servait à protéger le matériel. Il y a environ quatre ans, constatant qu’avec la prolifération des appareils, les données peuvent se retrouver n’importe où, Mme Jolly et son équipe ont innové et obtenu un brevet mondial pour un système de chiffrement qui suit les données.

Autre élément distinctif, ni CryptoMill ni ses partenaires ne peuvent récupérer les données chiffrées : seul le client peut le faire. Cela tranche nettement avec la protection offerte par Apple ou BlackBerry, qui hébergent des systèmes de récupération. Cela signifie, par exemple, que le FBI ou la GRC doivent s’adresser directement au client. CryptoMill ne peut rien transmettre à qui que ce soit.

Jeffrey Brandt, chef de l’information à Jackson Kelly PLLC, un cabinet d’avocats de Charleston, en Virginie-Occidentale, qui compte 200 juristes répartis dans 12 bureaux disséminés aux États-Unis, a évalué Circles of Trust et aime l’approche de CryptoMill. Son cabinet veut chiffrer 4,5 téraoctets. « Nous voulons éviter un scénario tel que celui des Panama Papers », déclare M. Brandt. « Les cabinets d’avocats sont des cibles idéales pour les pirates, car nous avons toutes sortes de données, par exemple des dossiers de propriété intellectuelle ou des informations d’intérêt national. Nous subissons des pressions de nos clients et du FBI qui voudraient que nous resserrions notre surveillance. Notre but est de pouvoir dire aux clients que nous avons le contrôle total sur nos documents. » Et M. Brandt poursuit en expliquant que la technologie de CryptoMill se démarque, car elle procure une plus grande maîtrise de la gestion des dossiers.

Alexis Roy, consul et délégué commercial au Consulat général du Canada à Chicago, a pour mission d’offrir du soutien aux jeunes entreprises canadiennes qui veulent faire affaire des deux côtés de la frontière, ainsi qu’aux investisseurs transfrontaliers. Il a contribué à l’établissement des relations entre CryptoMill et Motorola Solutions Venture Capital. « J’ai rencontré beaucoup d’entrepreneurs, dit-il. Le fait que leurs idées apportent une solution à un problème réel constitue l’un des facteurs de réussite. Nandini Jolly a créé une solution unique pour tous les secteurs qui tentent de protéger leurs données. Le potentiel est énorme. »

Il semble bien que CryptoMill n’ait pas fini d’écrire des chansons…

À propos de l’auteur

Mary Teresa Bitti


Mary Teresa Bitti est rédactrice indépendante à Oakville (Ontario).

comments powered by Disqus

Faits saillants

Mettez vos connaissances à jour et élargissez votre réseau grâce à ce colloque à ne pas manquer (en anglais), qui porte sur les questions et tendances essentielles pour les membres des comités d’audit.

Dans votre entourage se tapit sûrement une personne surendettée. Si vous êtes observateur, vous reconnaîtrez l’un ou plusieurs de ces symptômes.