Cette interview a été réalisée par Alain Establier lors des dernières Assises de la Cybersécurité 

SDBR News : Comment vous est venue l’idée de créer Quarkslab* ?

Fred Raynal : J’ai fondé Quarkslab en décembre 2011, la société aura donc 13 ans en décembre 2024, et nous sommes plus de 100 personnes aujourd’hui. Nous avons commencé en faisant du consulting mais mon idée première était de fabriquer des produits, car j’ai la passion de la R&D dans le Cyber. Dès mon adolescence, j’adorais décortiquer mes jeux vidéo pour comprendre leurs mécanismes et tout naturellement, après mon diplôme de l’ESIEA et ma thèse de doctorat informatique en 2001, j’ai commencé à travailler dans le monde cyber. Pendant ma thèse à l’INRIA, j’ai eu la possibilité de faire ce que je voulais sur le réseau de l’INRIA, de pouvoir découvrir des anomalies et donc de mettre le pied dans ce qu’on appelait alors la « sécu », en rencontrant des personnes de différents pays en charge de ces problématiques.

SDBR News : Et depuis 2001 vous n’avez pas eu envie de quitter le secteur de la sécurité des systèmes d’informations?

Fred Raynal : Non. Je continue depuis et je suis convaincu de deux choses :

• Le Cyber est un domaine en évolution permanente et qui va le rester, parce que le monde tourne de plus en plus vite, qu’il faut donc se réinventer et apprendre de nouvelles choses en permanence.

• La Sécurité est indispensable, car sans sécurité une société ne peut rien faire : c’est la théorie des besoins humains d’Abraham Maslow et de sa pyramide qui place la sécurité au deuxième niveau (sur 5).

Voila pourquoi, l’informatique étant de plus en plus répandue, la part de la cybersécurité devient de plus en plus importante.

SDBR News : Et donc en 2011 vous concrétisez pour vous ce que vous faisiez chez d’autres ?

Fred Raynal : Oui et j’ai eu un ou deux facteurs de chance pour démarrer commercialement, grâce à de bonnes relations avec certains clients de mes anciens employeurs. Il y a eu l’équipe Microsoft US qui est venue nous voir pour nous demander d’être « tiers de confiance » entre Microsoft et Adobe ! Leur programme** « Mapp » distribue des informations sur les vulnérabilités trouvées dans leurs programmes; mais il faut rédiger ces informations et proposer des solutions pour résoudre ces vulnérabilités. Adobe n’avait pas confiance en Microsoft et ne voulait pas lui donner accès à son code source, entre autres. Il fallait un tiers de confiance pour accéder au code source, faire les analyses et rédiger des documents conformes que Microsoft puisse diffuser ensuite. Ils sont donc venus nous voir, sur recommandations de personnes qui nous connaissaient et, après 3 mois de tests, nous avons travaillé plus de 3 ans sur cette mission, jusqu’à ce qu’Adobe internalise cette fonction. Cela a été une superbe référence et du revenu pour démarrer.

SDBR News : Et ensuite arrive une subvention de la DGA, je crois ?

Fred Raynal : Nous avons continué à grossir et à tester des idées de produits. Et nous avons obtenu de la DGA un financement « Rapid » (Régime d'APpui à l'Innovation Duale) en 2013, pour un produit que nous avons encore : un offuscateur*** nommé QShield. Il s’adresse à des entreprises qui travaillent sur des applications sensibles qui doivent être protégées, particulièrement sur les marchés export, afin de ne pas pouvoir les pirater, les dupliquer, en développer des contre-mesures, etc. Son but est de protéger ce qui a de la valeur : R&D, données, secrets cryptographiques… Le financement « Rapid » a été pour nous un apport de financement bien sûr, mais il a été surtout un questionnement commercial et une obligation à apporter des réponses techniques à des problématiques soulevées par la DGA. QShield, qui est donc l’héritier du « Rapid » de 2013, équipe des entreprises de défense qui ont besoin d’autorisation d’exportation, donc de chiffrement.

SDBR News : Comment se répartit l’activité de Quarkslab aujourd’hui ?

Fred Raynal : Aujourd’hui nous faisons encore 70% de notre chiffre d’affaires sur du consulting et 30% sur la commercialisation de notre produit QShield. En consulting, nous faisons beaucoup d’offensif pour nos clients, afin de découvrir leurs vulnérabilités et leur suggérer des solutions. Lorsque nous utilisons ces logiques offensives, c’est pour aider nos clients, entreprises et organisations gouvernementales, à adopter une nouvelle posture de sécurité : rendre plus compliquée la vie des vrais attaquants. Nous ne dérogeons pas à notre éthique. Côté défensif, nous les aidons à concevoir des systèmes robustes, par exemple dans les choix ou design cryptographiques.

SDBR News : Travaillez-vous sur les objets connectés ?

Fred Raynal : Oui, lorsque nous intervenons - en retro-conception par exemple - c’est sur tous les objets connectés du client, avec le désir de secouer les équipements pour en faire surgir d’éventuels problèmes : programmation, cryptographie, faille logique, etc. Parfois aussi, nous combinons l’approche rétro avec le pentest pour montrer qu’un équipement, comme un VPN, n’est pas aussi sûr que ce qu’il promet. Par contre, intervenir à chaud sur des incidents ne fait pas partie de notre cœur de métier : il existe des sociétés qui font cela très bien sur le marché.

SDBR News : Quels objectifs pour Quarkslab en 2025 ?

Fred Raynal : Nous continuons à développer nos activités de pentest en les appuyant sur notre partie « rétro ». Nous avons aussi plusieurs demandes de développement sur le défensif, car nous sommes très bons en design de cryptographie par exemple. Quant à notre produit de protection QShield, nous travaillons de plus en plus sur le secteur de la Défense, car il y a un gros besoin sur la propriété intellectuelle à l’exportation. Nous nous concentrons sur desktop et solutions de défense, et sur l’IoT. Et d’autres projets, dont je ne peux pas parler aujourd’hui bien sûr…   

* https://www.quarkslab.com

** https://www.microsoft.com/en-us/msrc/mapp    

*** Le but de cet outil est de protéger un programme contre des attaques ou des intrusions notamment dans le domaine de l`espionnage industriel.