C’est l’info mercato de cette fin d’année dans le secteur cyber. Révélée hier par l’Informé, elle est confirmée ce jour par un communiqué de presse officiel : Orange a recruté Guillaume Poupard au poste nouvellement créé de Chief Trust Officer.
Rattaché directement à Christel Heydemann, sa directrice générale, il rejoindra l’opérateur le 1er février 2026.
Figure du monde de la cybersécurité française, Guillaume Poupard a dirigé l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) pendant huit ans, de 2014 à 2022, période durant laquelle il a travaillé au renforcement du dispositif français de cyberdéfense et plus généralement à sensibiliser sur les enjeux économiques liés aux risques cyber.
Accélérer sur la cybersécurité et le cloud de confiance
Depuis 2022, il occupait le poste de directeur général adjoint de Docaposte, la filiale numérique de La Poste, où il supervisait les actifs technologiques stratégiques : cybersécurité, intelligence artificielle et cloud.
Que va faire Guillaume Poupard au sein de l’opérateur ? Définir et incarner la stratégie d’Orange en matière de souveraineté et de confiance numérique. Concrètement, il devra accélérer le développement, en collaboration avec les entités Orange Business et Orange Cyberdéfense, d’offres innovantes dans trois domaines clés : la cybersécurité (grand public et entreprises), le cloud de confiance et l’intelligence artificielle souveraine.
Des secteurs en pleine croissance mais où la concurrence fait rage. Au classement Numeum 2024 des ESN, Orange Business occupe la cinquième place avec un chiffre d’affaires de 1,8 milliard € ( sur un total de 7,8 milliards) quand Orange Cyberdéfense a enregistré des revenus de 1,2 milliard sur cette période.
L’échéance approche : le 16 décembre 2025, la Matmut éteindra sa plate-forme data sur site.
Ce socle Spark-Hadoop avait été constitué en 2017, avec la stack open source Cloudera. Sur le papier, il est resté à son statut de PoC. Dans les faits, il est devenu de la prod.
En 2022, à l’arrivée d’un nouveau CDO, deux visions de modernisation se sont confrontées.
Le CTO prônait une plate-forme unifiée, avec un outil proche de ceux déjà en place. Une option qui assurerait un support éditeur large, mais induirait des efforts supplémentaires de développement pour les équipes data, de gestion pour les équipes de production, et de formation pour l’usage par toutes les entités.
Le CDO portait l’idée d’une plate-forme full open source – toujours on-prem – avec une multitude de fournisseurs. Il en découlerait le besoin d’assurer un support pour pléthore de services, en plus de l’aspect formation (sur des nouveaux outils : ML, orchestrateur…).
Chez S3NS, pas d’immunité au CLOUD Act… mais du chiffrement que la Matmut maîtrise
Dans ce contexte, la Matmut a étudié la possibilité d’aller chez un hyperscaler. Elle s’est tournée vers S3NS et son offre « Contrôles locaux » (récemment renommée CRYPT3NS).
Cette offre utilise des HSM (modules de sécurité matériels) fournis et hébergés par Thales. Elle « n’empêchera pas une instance américaine de demander à Google de dumper les données », a reconnu Jean-Jacques Mok, directeur de programme cloud au sein de la Direction du numérique et de l’innovation de la Matmut, lors du salon DEVOPS REX. Ce dump n’est toutefois pas fait en live, tempère-t-il : les données sont récupérées à froid. « Et ça tombe bien : c’est ce qui est crypté par le boîtier HSM. »
« Globalement, Google aura répondu aux injonctions, poursuit l’intéressé. Charge [aux États-Unis] de s’amuser ensuite à décrypter les données, [sachant que] les clés ne sont pas hébergées chez Google. » C’est effectivement la Matmut qui en a la maîtrise. Jean-Jacques Mok en donne une illustration : lorsqu’un des deux boîtiers HSM de la Matmut est tombé en panne, il a dû se rendre chez S3NS, qui ne pouvait pas lui-même en initialiser un autre.
Un socle BigQuery-Dataflow-Cloud Composer
La plate-forme montée chez S3NS s’articule autour de BigQuery, avec Dataflow pour les trasnsformations et Cloud Composer – version packagée d’Airflow – pour l’orchestration. « On a un peu déshabillé la mariée , admet Jean-Jacques Mok. C’est tout l’intérêt d’un cloud provider : on est venu chercher uniquement les services dont on avait besoin. »
Pour structurer les données, la Matmut est restée sur du classique : l’architecture médaillon (bronze = données brutes ; argent = données nettoyées ; or = données spécialisées). Il y a ajouté une zone vermeille ; qui, par rapport à la zone argent, est agnostique de la source des données.
Une autre zone, dite zone relais, a été mise en place. Une exigence « portée par les execs ». S’y trouvent toutes les données maîtres à envoyer vers le cloud.
La fin promise du « pot à bonbons »…
Le projet a duré environ un an et demi. « On [n’était] pas sur du lift & shift, mais sur une transformation de l’organisation data », précise Pascal Deshayes, président de TerraOps, qui a accompagné le projet (l’ESN a son siège à Rouen, comme la Matmut). Ne serait-ce que de par la transition depuis un système intégralement sur site, avec, entre autres, un CI/CD « pas du tout automatisé ».
Il a fallu faire avec les limites de l’offre « Contrôles locaux », tant en termes de versions que de nombre de services managés utilisables. Un avantage, néanmoins : la facilité de prise en main par les consultants habitués à GCP.
« Maintenant qu’on a des utilisateurs et de la donnée, il faut qu’on soit capable de maîtriser cette consommation », explique Jean-Jacques Mok. Aujourd’hui, l’IT à la Matmut est encore un « pot à bonbons », concède-t-il : « Tout le monde pioche dedans jusqu’à ce qu’il n’y [ait plus de budget]. »
… et des accès en « open bar »
L’offre « Cloud de confiance » – celle pour laquelle S3NS postule à la qualification SecNumCloud – est en ouverture généralisée depuis quelques mois. La Matmut ne l’a pas encore adoptée. Elle y est toutefois appelée : c’est l’une des conditions qui ont permis d’aller vers ces services.
Avec RGPD, DORA et CSRD en toile de fond, la migration est aussi l’occasion de mieux encadrer le lignage des données et les accès. « Sur l’ancienne plate-forme, c’était complètement open bar, déclare Jean-Jacques Mok. Là, on revient à un cadre plus standard : tu n’accèdes qu’à la donnée [qui t’est autorisée] et surtout, tu vas demander [aux propriétaires] le droit de la consommer ».
La Matmut ne le cache pas : quitter un mode Spark-Hadoop pour un monde orienté services managés basés sur BigQuery implique de retravailler le plan de carrière de certaines personnes. « Il faut qu’ils comprennent que le modèle SAS ne va pas durer éternellement », glisse Jean-Jacques Mok…
Langage commun, standardisation des processus, portabilité… Autant de notions dont Gaspard Plantrou, chef produit de Numspot, use pour vanter « l’indépendance numérique portée par Kubernetes ».
Cette grammaire se retrouve dans la dernière annonce de l’entreprise. Laquelle a décidé d’aller au-delà du socle OUTSCALE, en fournissant un plan de contrôle « à la Red Hat » unifiant la gestion des environnements d’infrastructure.
Kubernetes sera la base de cette plate-forme qui englobera des services managés et des fonctions data/IA (modèles, agents et RAG), avec une console et des API unifiées. Une marketplace de services préconfigurés y sera adossée. Numspot compte la déployer en Europe auprès de fournisseurs d’infrastructure, en s’alignant sur les référentiels nationaux équivalents à SecNumCloud. Une vente en marque blanche est envisagée. Des discussions sont en cours avec des sociétés en Allemagne, en Espagne et en Italie.
L’ensemble doit prendre forme au deuxième semestre 2026. Numspot promet une capacité d’adaptation « dynamique » du niveau de confiance. À commencer sur son infra chez OUTSCALE, composée d’une région eu-west « souveraine » et d’une région cloud-gov en cours de qualification SecNumCloud (J1 validé au printemps, audit J2 récemment finalisé).
Une dizaine de clients/projets référents
Pour le moment, 3 ans après sa création, Numspot a à son catalogue les services suivants :
Gestion : console et IaC
Calcul : VM et GPU NVIDIA
Réseau : VPC, IP publiques, VPN, DirectLink, load balancer
Stockage : bloc, objet, snapshots
Base de données : PostgreSQL
Conteneurs : Kubernetes et OpenShift
Sécurité/identité : IAM
Une brique d’observabilité (logging et métriques) est sur la roadmap. On y trouve aussi un registre de conteneurs, un catalogue d’images de VM, du BYOK, du MongoDB et du Redis-like, du KMS, un WAF et du CI/CD (GitLab).
Numspot liste 25 partenaires dont 10 éditeurs (ALLONIA, CEO-Vision, Cleyrop, CobolCloud, Denodo, Docaposte, Energisme, Red Hat, Veeam et VirtualBrowser). Il nomme une dizaine de clients/projets référents, dans la finance/assurance, la santé et le secteur public :
CISIRH (Centre interministériel de services informatiques relatifs aux ressources humaines)
CNP Assurances
Docaposte
Domelior (services de soins à domicile ; petite entreprise bretonne)
ERAFP (complémentaire de la fonction publique)
Maisons France services
M.I.A. Seconde (application d’adaptive learning pour les professeurs en seconde générale)
Pavillon de la Mutualité (groupe d’offre de soins mutualiste en Nouvelle-Aquitaine)
Perfecto Groupe (agence de com francilienne)
Service civique national
Union Retraite (GIP qui réunit les organismes de retraite obligatoire, de base et complémentaire)
Connexion
