Installation de Sylius 2.0 et découverte du nouveau backoffice en Bootstrap
Courrier stéphane miège - anssi- sgdsn -25 juin 2010
1. www.validy.com
Validy SA Société anonyme à Directoire et Conseil de Surveillance au capital de 40 000 €
Z.I. – 5 Rue Jean Charcot 26100 ROMANS – Tél. +33 (0)475 717 717 – Fax +33 (0)475 717 718
RC ROMANS B FR 50 382 975 639 – APE 723Z
1 / 4
Gilles SGRO, Romans, le 25 juin 2010
Président du Directoire,
Jean-Christophe CUENOD,
Président du Conseil de Surveillance,
VALIDY S.A.
5, Rue Jean Charcot
26100 Romans Sur Isère
Secrétariat Général de la Défense
et de la Sécurité Nationale
Agence Nationale de la Sécurité
des Systèmes d’Information
Relations Industrielles
Monsieur Stéphane MIEGE
51 Bd de la Tour-Maubourg
75 700 Paris – 07 SP
L RAR : Réf : GS/10221
Objet :
- Compte rendu de notre réunion du 18 juin 2010 à l’ANSSI.
- Renouvellement de notre demande afin d’obtenir une explication précise sur le
« cas particulier » que représente Validy suite au courrier de Madame le Ministre
Nathalie KOSCIUSKO-MORIZET
- Proposition de Certification de Sécurité Premier Niveau en partenariat avec
AREVA.
A l’attention de Monsieur Stéphane MIEGE (Relations Industrielles),
Monsieur,
Nous vous remercions pour la réunion qui s’est tenue en vos locaux le 18 juin 2010 de 8
H à 9 H 30 sur instruction de Monsieur Francis DELON après réception de notre courrier
référencé GS/10219.
Nous vous rappelons en tant que de besoin que l’objet de cette réunion portait
principalement sur la recherche d’explications au sujet de l’affirmation énoncée dans le
courrier de Madame la Ministre Nathalie KOSCIUSKO-MORIZET indiquant que la société
Validy constitue un « cas particulier » et qu’elle « entre dans le champ de compétence du
Secrétaire Général de la Défense et de la Sécurité Nationale »
Votre explication, qui a banalisé et interprété ce courrier comme une simple déclaration
de non-compétence de Madame le Ministre n’a pas été convaincante. A cet effet, nous
2. 2 / 4
attirons à nouveau votre attention sur la teneur des deux premiers paragraphes de ce
même courrier et vous constaterez qu’ils infirment votre interprétation.
Par ailleurs, vous nous avez présenté plusieurs échanges et courriers entre différents
services d’Etats, le SGDSN et notre société. Ce qui nous confirme, sans nous surprendre,
que le dossier Validy fait bien l’objet d’un suivi régulier par le SGDSN. Monsieur François
LOOS, Ministre de l’Industrie avait d’ailleurs pensé nécessaire d’en tenir informé Monsieur
Gabriel BIANCHERI, député de la Drôme par un courrier daté du 18 Juillet 2006, lui
précisant : que « cette société (Validy) fait l’objet d’un suivi des services de l’Etat depuis
2002 ». Les pièces de votre dossier corroborent donc l’affirmation de Monsieur le
Ministre de l’Industrie.
Vous nous avez également rappelé que nous nous étions déjà rencontrés en 2005 au
Ministère de la Justice lors d’une réunion organisée par le Colonel Gilles GAMBA. Ce dont
nous nous sommes souvenus sans difficulté.
Nous vous avons exposé nos difficultés liées à un enfermement commercial et
administratif ainsi que le retournement systématique de tout prospect ayant manifesté
un intérêt pour notre technologie, certains nous ayant déclaré subir de l’influence les
obligeant à cesser tout échange avec Validy.
C’est dans ce contexte que nous vous avons présenté deux exemples de ces problèmes
avec AREVA et EADS en mai 2009. , Chacun de ces deux groupes avait manifesté de
l’intérêt et indépendamment affirmé, lors d’une réunion, vouloir bénéficier de notre
technologie afin de l’intégrer dans des équipements destinés à assurer la protection de
leurs infrastructures ou de leurs produits. Pour chacun de ces groupes, les échanges ont
brutalement été interrompus par nos interlocuteurs et ce, sans aucune explication.
Vous nous avez exposé les derniers changements de procédures sur les procédures de
certification. Vous nous avez notamment développé la procédure de Certification de
Sécurité Premier Niveau (CSPN). Vous nous avez déclaré qu’une telle procédure se
trouve être plus d’une fois sur deux initialisée et payée par un prospect qui souhaite faire
certifier une solution qui utilise un produit ou une technologie de sécurité.
Nous vous avons enfin remis en main propre un courrier à l’intention de Monsieur Patrick
PAILLOUX, Directeur Général de l’ANSSI, qui devrait pouvoir s’inscrire dans une
procédure de Certification de Sécurité de Premier Niveau. Ce courrier, constructif et
ouvert, démontre sans ambigüité notre engagement à concéder une licence temporaire
pour la protection d’un système SCADA.
Suite à cette réunion et compte tenu de ce qu’il s’y est dit, nous n’avons pas été
convaincus par votre tentative d’explication concernant le courrier de Madame La
Ministre.
Nous nous permettons donc de vous rappeler que l’enjeu qui découle de cette explication
pour une PME innovante telle que la nôtre est prépondérant. En effet, le principe de
bonne foi qui préside à la conduite des affaires dans un Etat de droit fait obligation à
toute société de fournir à ses partenaires contractuels une information loyale et
objective. Aussi, vous comprendrez tout à fait que nous devons fournir une explication
claire à nos différents partenaires et investisseurs.
3. 3 / 4
A ce titre, il nous est nécessaire de réitérer notre demande auprès de vos services
jusqu’à l’obtention d’une réponse précise. A défaut de réponse de votre part avant le 20
juillet 2010, il est bien évident que nous serons alors fondés à en rechercher une, par
tous moyens appropriés auprès de toutes structures compétentes.
Nous reposons donc la question :
- En quoi consiste « le cas particulier de la Société Validy », mention relevée dans
le courrier susnommé de Madame La Ministre Nathalie KOSCIUSKO-MORIZET ?
Et une question additionnelle :
- Quelles sont les obligations qui en découlent ?
Le contenu de la réunion, notamment sur la procédure de certification de premier niveau
nous amène aussi à reformuler une proposition pour compléter celle faite dans le courrier
que nous vous avons remis pour Monsieur Patrick PAILLOUX, Directeur Général de
l’ANSSI.
Le prospect AREVA nous avait fait part de son besoin de sécurité pour les systèmes
SCADA afin de protéger ses infrastructures de distribution d’énergies d’attaques
cybercriminelles ou d’attaques cyber-terroristes.
Nous sommes donc tout disposés à mettre en place une procédure conjointe AREVA-
VALIDY de Certification de Sécurité Premier Niveau. Bien entendu cette procédure de
certification est conditionnée par son acceptation préalable par AREVA ainsi que par sa
nécessaire contribution technique et financière. Nous sommes convaincus qu’en votre
qualité de chargé des relations industrielles, vous pouvez faciliter la mise en place de
cette procédure.
Pour la bonne règle, nous vous informons par la présente que nous allons adresser en ce
sens, un courrier à la Présidente d’AREVA, Madame Anne LAUVERGEON, à son Vice-
Président en charge de la sureté, Monsieur Thierry D’ARBONNEAU ainsi qu’à son adjoint
Monsieur Gilles AFCHAIN qui avaient manifesté l’intérêt d’AREVA à utiliser notre
technologie pour protéger les systèmes SCADA (Supervisory Control And Data
Acquisition).
Enfin, en étudiant le site de l’ANSSI, nous avons remarqué que la détection des attaques
fait désormais partie de la mission de l’Agence Nationale de la Sécurité des Systèmes
d’information.
Nous avons extrait de la page de votre site Internet « Cyber-défense-Centre de
Détection » les phrases suivantes :
« Le Livre blanc sur la défense et la sécurité nationale de 2008 a souhaité la création, au sein d’une
agence nationale de la sécurité des systèmes d’information, d’un centre de détection de ces attaques
informatiques. »
4. 4 / 4
« Le centre de détection s’appuiera sur une suite d’outils du marché, mais également sur des outils
logiciels développés spécifiquement. Les conditions pratiques de mise en œuvre de ce service seront
affinées en fonction des besoins spécifiques de chaque système. »
Vous n’êtes pas sans savoir que notre technologie innovante permet de détecter toute
tentative de corruption d’un programme informatique. Cette caractéristique a fait l’objet
d’un brevet au nom évocateur : Détection et Coercition.
Nous avons donc toutes les raisons de penser que votre Centre de Détection pourrait très
logiquement devenir un de nos partenaires. Nous nous tenons donc à votre disposition
pour que l’ANSSI évalue comment notre technologie pourrait contribuer à ce que celui-ci
remplisse cette importante mission. Nous vous précisons que bien entendu, afin que
cette mission ne dépende pas d’une structure privée, telle que Validy, nous sommes
d’ores et déjà prêts à concéder au SGDSN, à L’ANSSI et/ou à toutes structures étatiques
concernées, une licence qui garantirait l’entière souveraineté de l’Etat Français sur
l’utilisation de cette technologie. Nous avions d’ailleurs déjà fait une proposition en ce
sens à M. Alexandre JEVAKOFF, directeur du cabinet de Madame la Ministre de la Défense
lors d’une réunion qui s’était tenue en 2005 au Ministère de la Défense (14 rue Saint
Dominique à Paris). Comme vous pouvez le constater à nouveau, notre volonté à
contribuer à la sécurité du territoire perdure.
Ne faut-il d’ailleurs pas voir en cette « possible » utilisation de notre technologie par vos
services ou d’autres services d’Etat, l’explication amenant Madame la Ministre Nathalie
KOSCIUSKO-MORIZET à nous informer du « cas particulier» que constitue Validy et à
nous diriger vers le Secrétaire Général de la Défense et de la Sécurité Nationale et vers
le Délégué Interministériel à l’Intelligence Economique.
Souhaitant obtenir, une explication précise du SGDSN sur le « cas particulier de Validy »
et souhaitant que nos propositions retiendront toute votre attention, veuillez agréer
Monsieur, l’expression de notre haute considération.
Gilles SGRO Jean-Christophe CUENOD
Président du Directoire Président du Conseil de Surveillance
PJ : Copie lettre de Mme COCCOZA , Chef de Cabinet de Madame la Ministre Nathalie
KOSCIUSKO-MORIZET
Copie de ce courrier à : Monsieur Francis DELON (SGDSN), Monsieur Patrick PAILLOUX
(ANSSI), Madame La Ministre Nathalie KOSCIUSKO-MORIZET (Secrétariat Général à la
Prospective et au Développement de l’Economie Numérique), Monsieur Olivier BUQUEN
(DIIE, Ministère de l’Economie, de l’Industrie et de l’Emploi)