vendredi 15 avril 2011

Du sentiment d’insécurité (informatique) 2/2

Le préjudice des attaques informatiques dans le monde semble pouvoir être évalué à près de 1000 milliards $. C’est ce qu’il en ressort d’un article du Figaro paru il y a quelques jours. Le chiffre est impressionnant, massif et, a priori, indiscutable puisque venant de McAfee, l’un des leaders mondiaux en solutions de sécurité logicielles.

En terme d’attractivité, les USA a été le pays le plus attaqué au monde en mars 2011, suivi de la Chine puis de la…France qui obtient une « très belle » médaille de bronze ! Viendraient ensuite la Russie, l’Allemagne puis la Corée du Sud. Le Royaume-Uni, première place financière mondiale, n’apparaît même pas dans le classement, relégué à une infamante 45ème place ! Ces informations sont relayées par le Journal du Net et basées sur le décompte effectué par Websense. On peut émettre l’hypothèse que l’actualité des dernières semaines (Libye, Côte d’Ivoire) donne une « visibilité » exceptionnelle à la France comparativement au Royaume-Uni et peut focaliser un surcroît d’attaques d’origine essentiellement partisanes et/ou politiques.

Quelles hypothèses peut-on poser à la lecture de ces deux informations choc ? Premièrement que le cyber-crime devient une activité extrêmement rentable, générant un chiffre d’affaire annuel compris entre celui des dépenses militaires (chiffres 2009) et le trafic de drogues ! A cela, il convient de distinguer les activités délictueuses « classiques » qu’elles soient d’origine mafieuses, col blanc ou de la petite délinquance vis à vis d’opérations considérées comme non-conventionnelles de guerre économique et d’espionnage. Difficile de quantifier ce dernier ratio, qui recherche l’invisibilité la plus complète et dispose pour se faire de moyens techniques et organisationnels bien supérieurs à quiconque.

Les chiffres étant énoncés, le décor planté et les acteurs présentés, il convient maintenant d’introduire un paramètre sous-jacent qui possède un effet de levier non-négligeable : le marketing ! En effet, le marché mondial de la sécurité de l’information, des infrastructures de transport et de communication est un marché en forte croissance depuis plusieurs années. Tout en étant loin d’avoir atteint sa maturité. Les éditeurs de solutions de sécurité sont donc en première ligne et ont tout intérêt à surligner, avec plus ou moins de discrétion, l’ensemble des actes délictueux que l'on peut qualifier de cyber-insécurité. Entretenir ce sentiment d’insécurité informationnelle, avéré ou non, rend plus attentif toute entreprise ou particulier qui prend conscience dès lors qu'il est préférable de (bien) protéger ses données.

Le procédé en soi n'est pas choquant mais, ce qui rend par contre doublement vigilant c’est de constater que les attaques sont permanentes, nombreuses et souvent ciblées. Et, bien-sûr, qu’elles réussissent. Dans ce cadre, combien de temps encore les éditeurs de solutions et nombre d’acteurs spécialisés vont-ils rester crédibles vis-à-vis de leurs clients ? Comment expliquer qu’une entreprise comme RSA ou HBGary se fassent trouer et mette, potentiellement, en danger certains (ou la plupart ?) de leurs clients ?

Bref, qui peut encore assurer aujourd’hui que le triptyque « magique » ISO 27k + DMZ Proxy/Firewallée/VPNisée + SSO / chiffrement me garantit une protection élevée et que je peux dormir sur mes deux oreilles ? Personne ! Personne de sérieux et de bien informé, en tout cas.

Que faire alors ? Il n'y a pas de solutions «clé en main » mais je crois qu’il devient nécessaire d'arrêter cette hypocrisie tandis que les faits viennent contredire les beaux discours. Et chaque jour un peu plus. Sauf à penser, bien-sûr, que ce qui est vendu se rapporte davantage à des éléments entretenant le sentiment de sécurité. Dans ce cas, l'objectif est atteint mais autant s'assurer que la police d'assurance nous couvre contre ce type de préjudice.

2 commentaires:

AG a dit…

Article très intéressant.

Je pense aussi de plus en plus que la sécurité et la confiance sont deux notions aux liens forts mais pas toujours parfaitement sains.

J'ajouterais une vision très personnelle de la chose en disant que si la sécurité se heurte à des questions de budgets et d'intérêt (certes), elle se heurte aussi à une position vis-à-vis du travail.

L'expert en sécurité, le bon, est incontestablement passionné, en alerte, humble, découvreur...Au final, il s'éloigne plus, par sa mentalité, du quotidien de l'entreprise qu'il ne s'en rapproche peut-être...

Un autre "gap"...

Sportet a dit…

Disons que c'est un constat que je fais depuis plusieurs années maintenant et que l'un des "gap" que tu évoques s'est durci ces derniers mois.

On sent (sait) bien que les attaques fortement médiatisées (ne parlons même pas de celles qui restent dissimulées !) se sont professionnalisées et qu'il ne s'agit plus de quelques coups d'éclat ou de hackers s'amusant pour le simple plaisir de voir afficher son pseudo dans le "hall of fame" !

Est-ce que les technologies, l'organisation et la façon d'aborder ce durcissement de l'environnement ont changé ? Je ne le crois pas et c'est en cela que je réagis car je pense que nombre d'acteurs sont complices et pourraient, un jour ou l'autre, être considérés comme coupables.

Mais bon, tout comme toi sur ton blog, j'essaie d'amorcer un débat avec cet article comme tant d'autres, autant du point de vue de la communauté "spécialistes et experts" que des décideurs d'entreprise et, bien-sûr, des éditeurs. Mais peut-être me trompe-je ou suis-je naïf. Ou les deux à la fois ! ;)