À l’instar du bug de l’an 2000, qui avait fini par mettre tout l’écosystème IT en état de surchaufe durant les mois précédent l’échéance, la GDPR, le règlement général de l’UE sur la protection des données, qui entre en vigueur le 25 mai 2018, pourrait bien devenir le sujet de préoccupation numéro un de nombreux prestataires informatiques ces douze prochains mois. C’est en tout cas la conviction de Mathieu Pierard, chef produit Symantec et référent GDPR chez le grossiste à valeur ajoutée Exclusive Networks, dont les séminaires qu’il organise actuellement autour de la GDPR sont littéralement pris d’assaut par les revendeurs.
L’idée de ces séminaires, proposés sous forme de petits-déjeuners, a pris corps dès l’automne 2016, suite à différents événements – notamment les Assises de la Sécurité – où la GDPR s’est imposée comme l’un des thèmes majeurs, explique Mathieu Pierard. À partir de décembre, il démarre une série de sessions d’informations autour des technologies Symantec sur le thème de la conformité à la GDPR. Devant leur succès et l’intérêt des participants pour le sujet, le VAD fait rapidement évoluer leur formule en décidant de faire l’impasse sur la promotion des solutions pour privilégier les aspects réglementaires, les problématiques posées aux entreprises et les moyens d’y répondre.
Des séminaires GDPR joués à guichets fermés
En pratique, l’aspect solutions n’est pas totalement évacué. Il est abordé en fin de présentation dans le cadre d’un examen des principaux cas d’usage associés à la conformité GDPR. Mais les solutions de Symantec ne sont désormais plus les seules à être mises en avant. Le grossiste a impliqué sept autres marques (Fortinet, Palo Alto, Tufin, Balabit, Gigamon, Imperva et Tenable) dans son initiative. Il a créé pour la circonstance des supports remis à l’issue des séminaires qui présentent comment leurs outils répondent aux problématiques de protection des données induites par la GDPR. D’autres marques devraient probablement être associées à cette initiative dans le futur et Mathieu Pierard assure que les 24 marques du catalogue d’Exclusive Networks France, y compris les fournisseurs de solutions de stockage ou de virtualisation, sont potentiellement « estampillables » GDPR.
Après un premier ballon d’essai fin mars avec un avocat spécialisé, le grossiste a tenu la première session de son séminaire nouvelle formule à Toulouse la semaine dernière en présence d’une trentaine de participants. Ce mardi 13 juin, la deuxième édition se tient à Paris à guichets fermés. Le grossiste a dû arrêter de prendre de nouvelles inscriptions deux semaines seulement après la programmation de son événement. Le grossiste sera à Lyon le 15 juin, à Lille le 20 juin et le 4 juillet à Nantes. Des sessions pour lesquelles le VAD a comptabilisé 130 inscriptions à ce jour. Face à la demande, Exclusive a accepté de rejouer son séminaire chez un de ses clients le 22 juin et le 27 juin devant le client final d’un partenaire en cours de rédaction de son appel d’offres. D’autres dates seront programmées ultérieurement.
Clients et partenaires en quête d’accompagnement
Le succès de ces séminaires s’explique par la forte médiatisation autour de la GDPR et par l’importance des amendes (20 M€ ou 4% de leur chiffre d’affaires annuel) que risquent les entreprises si elles doivent être convaincues de défaut de protection de données après le 18 mai 2018. « Les partenaires sont énormément consultés par les clients finaux, explique Mathieu Pierard. Ceux-ci comprennent bien que la GDPR est un vrai sujet mais ils sont ignorants des technologies qu’ils doivent mettre en œuvre pour sécuriser leurs données. Le texte, qui a été écrit par des avocats, ne dit rien à ce sujet. Les éditeurs s’y engouffrent mais les clients sont perdus. Ils ont besoin d’accompagnement. »
Les clients ne sont d’ailleurs pas les seuls à être perdus, relève Mathieu Pierard. Beaucoup de revendeurs n’ont pas les compétences ne serait-ce que pour conseiller leurs clients. Ils viennent donc chercher cette expertise chez Exclusive Networks qui aligne une équipe d’une vingtaine de spécialistes sécurité capables de les former, de les accompagner en avant-vente et même de se substituer à eux le cas échéant pour la réalisation de leurs projets. Mais attention, les délais d’intervention se tendent : « pour les profils les plus techniques, il faut désormais compter deux mois d’attente », prévient Mathieu Pierard.
C’est le moment de construire son offre
Et il est inutile d’espérer recruter. « Le manque de ressources dans la sécurité est cruel. Les bons profils sont rares et très demandés ». Les revendeurs devront donc, comme à leur habitude, se former eux-mêmes s’ils veulent profiter des formidables opportunités qui se profilent dans la protection des données. Car après la phase consulting, la phase de réalisation des projets devrait démarrer à partir de l’automne. Les plus avancés comme BT ou Computacenter ont déjà monté des services packagés associant les prestations d’un avocat et des souscriptions de cyberassurance, permettant aux entreprises de se prémunir des conséquences financières qu’impliquerait un vol de données malgré les précautions mises en œuvre. D’autres commencent à proposer des services de DPO (Data Protection officer) externalisé. Aux autres, il reste donc quelques semaines pour se former et composer leurs offres.