Guillaume Poupard, DGA de Docaposte : « Le plus de l’offre, c’est notre position comme acteur de confiance »

Cette offre est le fruit de près d’un an de travail…

Guillaume Poupard – J’aimerais bien faire croire que derrière, il y a des armées d’ingénieurs. Mais objectivement, ça n’a pas été si compliqué à faire d’un point de vue technique.

Pour le lancement, sur le site vitrine cyber.docaposte.fr, on accède à un vendeur par du mail ou des choses très indirectes. Assez vite, on aura un site marchand où faire directement ses devis. C’est prêt, mais on voulait phaser les choses.

On a tout un back-end qui connecte les offres. On a choisi des fournisseurs qui étaient déjà APIsés. Il y a eu quelques surprises. Certains ont dû reprendre des développements pour que ça fonctionne bien. Mais rien de majeur.

C’est là qu’on se félicite d’avoir des acteurs qu’on connaît bien. On n’est pas rentré dans le backlog d’un éditeur américain pour qui on sera un énième client et qui traitera peut-être un jour notre question.

Le plus de l’offre, c’est vraiment de profiter de la position de Docaposte comme acteur de confiance qui a déjà énormément de clients dans la santé, chez les collectivités, chez les PME, avec cette capacité à fédérer un écosystème technique. Pour l’ingénieur que je suis, c’est presque frustrant…

Avez-vous réussi ce qu’Hexatrust a échoué à faire ?

Guillaume Poupard – C’est un petit peu la remarque qu’ils m’ont faite. Pas de manière aigrie. C’était plus un soulagement. Les 12 partenaires, si on les avait mis seuls dans une pièce, ça n’aurait pas fait une offre cyber pour autant. Quelque part, il faut un « gros ». C’était un peu ma frustration quand j’étais à l’ANSSI et ça n’était pas le rôle de [l’agence] de faire ça.

Qui l’aurait fait au sein d’Hexatrust ? Pas la structure associative, qui ne peut pas faire de business. Plus globalement, je pense qu’il faut un nom qui rassure… et qui permet d’embrayer sur des canaux de vente indirects. Ce que n’a pas Hexatrust, pour le coup.

Comment vont se passer la contractualisation et la mise en œuvre ?

Guillaume Poupard – Dans un premier temps, on est en direct. Il y a une adresse  [e-mail] de contact et, en face, un technico-commercial.

Quand les vendeurs de La Poste feront la promotion de l’offre, ce sera assez naturel de renvoyer directement sur Docaposte. Pour d’autres clients qui ne nous connaissent pas du tout, ça pourrait créer un frein, donc on sera vraiment en indirect.

Toute l’installation se fait à distance. On est sur un modèle de prix : hors de question d’aller mettre des experts dans des voitures pour aller voir chaque client et travailler trois jours sur le système d’information.
J’anticipe que de plus en plus, avec des clients comme les collectivités locales, on aura un intermédiaire. Il y a des syndicats numériques, des opérateurs qui gèrent déjà [les SI] de ces acteurs. Ils feront le gros du travail.

Sur le long terme, la vente en direct devrait être anecdotique. On privilégie l’indirect pour permettre à tous ceux qui vendent, qui déploient du numérique, qui accompagnent les petits acteurs, d’ajouter cette offre cyber qu’ils ont du mal à construire par eux-mêmes. On va vraiment apprendre en marchant.

L’offre SnipR [scan de vulnérabilités] semble mise en retrait avec le lancement du Pack cybersécurité…

Guillaume Poupard – Le vrai produit, c’est TankR [coffre-fort de sauvegarde que Docaposte acquit en 2022, parallèlement à SnipR, en s’emparant de la start-up BoomkR]. 

Après réflexion, on ne l’a pas mis dans le pack de base. Le gros défaut d’un coffre-fort, c’est la logistique : ça ne s’envoie pas par Internet. En revanche, pour beaucoup de nos clients, cette offre complémentaire, qu’on peut voir comme une option, peut vraiment rassurer.

SnipR, c’est du scan. Il faut voir à quel point on développe cette offre. Fondamentalement, dans nos actifs, la chose originale est vraiment TankR.

Sur le long terme, on ne s’interdit rien. Avec Docaposte, on construit par acquisitions, avec un rythme assez élevé. On ne s’interdit pas non plus de prendre des participations – certains de nos partenaires sont encore des start-up. Ni d’internaliser certains actifs si on se rend compte que, par exemple, dans le scan façon SnipR, on aurait plus intérêt à le faire nous-mêmes. C’est tout l’intérêt de ne pas avoir d’engagements lourds avec nos partenaires.

Peut-être qu’un jour, on misera à fond sur un SnipR pour faire la partie scan. Là, pour démarrer très vite, ce n’est pas ce qu’on a fait.

Dans un tel contexte de construction d’offre, quelles garanties de stabilité pour les clients ?

Guillaume Poupard – On garantit au client que c’est une offre globale, qui fonctionne. On est l’élément de stabilité. C’est ce qui nous permet de travailler avec des partenaires « à risque ». Quelque part, c’est le drame de beaucoup de start-up. Elles n’arrivent pas à avoir de vrais clients, parce qu’il y a cette crainte du « vous serez où dans 5 ans ? dans 10 ans ?… ».

L’engagement qu’on prend, c’est de fournir cet ensemble de fonctionnalités, et si ça n’est pas untel, si c’est tel autre qui rend le service, si c’est un prestataire externe ou bien si on internalise, à la limite, ça n’est pas ça qui nous intéresse.

Au FIC, évidemment, on met en avant les prestataires : ils font partie de l’écosystème, les gens les connaissent… Quand on va aller voir un patron d’hôpital, de PME, je ne suis pas sûr qu’on lui parle d’Arsen, de Board of Cyber ou de Formind.

Le Pack cybersécurité couvre-t-il les terminaux mobiles ?

Guillaume Poupard – C’est dur de monter sur le mobile. Ce sont des systèmes très verrouillés. Pour l’instant, on est vraiment postes de travail et serveurs. Objectivement, on est le miroir de nos partenaires.

Ce qu’on ne couvre pas non plus, finalement, ce sont ceux qui n’ont pas d’IT, mais juste du shadow IT : un téléphone, une tablette perso avec lesquels ils font du pro. C’est un autre sujet, sur lequel il n’est pas facile d’entrer, en particulier sur iPhone et iPad. C’est pour ça qu’on a mis la barre à une vingtaine de postes de travail.

Photo d’illustration © Docaposte