Damien Giry, Cryptographe

Interview réalisée en septembre 2015  —  Interview 1243

Quel a été votre parcours pour devenir cryptographe ?   

Pendant et après mes études universitaires en mathématiques, j’ai été consultant et chef de projet dans le domaine de la sécurité, ce qui m’a permis d’acquérir de l’expérience dans la mise en place d’infrastructure sécuritaire, dans le développement sécurisé d’applications mais aussi dans l’utilisation et le déploiement de solutions cryptographiques.

J’ai aussi travaillé comme responsable de la sécurité informatique du système d’information de l’Université Catholique de Louvain et donc j’ai acquis de l’expérience dans le domaine de l’administration informatique orienté vers la sécurité.

Ensuite, j’ai fondé la société BlueKrypt qui propose un service de conseil en sécurité informatique et cryptologie pour les grandes sociétés.

Actuellement, en plus de mon travail de consultant, je participe activement à la création d’un logiciel de vote par internet utilisant une technologie cryptographique de dernière génération permettant d’apporter la vérifiabilité au processus d’une élection.

Pouvez-vous nous décrire les activités de votre société spécialisée dans la cryptologie ?  

BlueKrypt est composé de deux entités autonomes : la première a développé et commercialise le logiciel de vote électronique vérifiable OAdeo qui permet de réaliser tout type d'élections numériques en toute confiance ; la deuxième entité propose un conseil en sécurité IT et une certaine expertise en cryptologie.

Notre objectif est de protéger les actifs de l'entreprise contre les risques informatiques d'une manière qui est adaptée à l'entreprise, à son environnement et à l'état de son outil informatique.

Pouvez-vous nous citer des exemples de cryptographie que vous avez dû effectuer ?

Il est difficile de rentrer dans les détails au regard des accords de confidentialité qui encadrent nos projets. Pour autant, voici quelques exemples succincts du type d’analyse que nous effectuons.

Dans un cadre médical, nous analysons et validons le niveau cryptographique mis en place pour protéger les données des patients. Cela implique plusieurs types de missions :

- sécuriser la communication et plus spécifiquement, garantir que seul le médecin autorisé à accéder aux données médicales d’un patient ait la capacité de déchiffrer l’information ;
- stocker les données médicales sous une forme chiffrée de telle façon que l’administrateur du système qui a accès aux bases de données ne puisse pas les lire ;
- prévoir les évolutions cryptographiques et notamment permettre une mise à jour des principes mathématiques utilisés dans le système sans impact pour le service.

Pour un autre type de projet, orienté vers l’analyse statistique, le problème suivant nous est posé : un client souhaite sous-traiter une analyse statistique de ses taux d’émission de CO2. Pour autant, il ne veut pas que le sous-traitant ait accès aux données brutes de son entreprise. Le sous-traitant, de son côté, ne veut pas que le client ait accès à ses formules statistiques et il veut donc réaliser lui-même les calculs. Formulé autrement : comment manipuler mathématiquement des données que l’on ne doit pas pouvoir lire individuellement ? La cryptographie apporte un certain nombre de solutions.

Quelle(s) filière(s) recommanderiez-vous à un jeune intéressé par ce métier ?

Il y a quelques cours à option dans les études universitaires en mathématiques, à l’UCL mais aussi à la Katholieke Universiteit Leuven (KUL). Et donc il faut bien regarder le contenu des programmes. Ce type de formation existe aussi à l’étranger (France, Allemagne, etc.).

Qu’est-ce qui vous plaît tout particulièrement dans votre métier ?

La diversité des missions et l’étendue du champ d’action. Il faut se poser les bonnes questions et  prendre en compte la réalité de la demande :

- contre qui allons-nous nous protéger (un état, une mafia, un concurrent ou un hacker du dimanche) ?
- pour combien de temps doit-on protéger l’information (la cryptographie doit-elle résister à des attaques pendant 1 ou 30 ans) ?
- qui va au final utiliser la solution (des administrateurs du système, un groupe de personne clairement identifié que l’on peut former, n’importe qui dans le monde y compris quelqu’un qui n’utilise jamais d’ordinateur) ?

Le maillon faible dans un système cryptographique est principalement l’humain : un utilisateur qui a un mot de passe trop faible ou un développeur qui ne veut pas coder son application en respectant les bonnes pratiques…

Notre métier est à la fois technique et relationnel. Il nécessite de faire des compromis, de faire comprendre pourquoi il est parfois nécessaire de mettre en place une solution plus complexe et donc plus difficile à utiliser.

Ce mélange des genres (gestion humaine, mathématique, informatique, matérielle, etc.) rend les projets passionnants à analyser et à mettre en place.

Pensez-vous que la cryptographie offre des débouchés clairs aux mathématiciens ?

Oui. C’est même un secteur où les mathématiques conservent une importance capitale et où les mathématiciens sont amenés à « faire » des mathématiques dans chaque projet. Pour autant, une connaissance technique et un bon relationnel humain sont importants afin de bien comprendre ce que l’on peut faire et au final ce qu’il sera possible de mettre en place.

Dans le monde hyper connecté où nous vivons, au regard des nouvelles technologies qui apparaissent (objets connectés, e-commerce, e-society, etc.) et en tenant compte du développement de l’activité du hacking, les entreprises prennent conscience de l’importance de protéger leurs données et donc de développer une stratégie en cryptologie.

 
SIEP.be, Service d'Information sur les Études et les Professions.