24mai 2012

La cyberdéfense, un marché en plein boom?

cyberboomHabituellement -et comme le fiasco de l'introduction en bourse de Facebook le démontre, il faut se méfier des annonces tonitruantes concernant l'économie numérique. Pour autant, dans la foulée de l'essor que la cyberdéfense connaît aux Etats-Unis, le marché semble bouger. Différentes estimations l'évaluent à une cinquantaine de milliards de dollars, avec un taux de croissance à deux chiffres[1]. Dans un contexte économique déprimant, ces perspectives apparaissent rafraîchissantes. Le marché de la cyberdéfense, vraie opportunité ou trompe-l’œil ?

Note

[1] Une étude assez complète de l'état du marché et de ses perspectives est disponible en anglais ici par un célèbre cabinet de consultants.

Dans un récent "talk" diffusé sur le site du Haut Comité Français pour la Défense Civile, le Directeur Général de Cassidian Cyber Security, Hervé Guillou, déclarait: "on en a pour plusieurs dizaines d'années pour restaurer les équilibres entre défenseurs et attaquants [..] les attaquants sont libres, mobiles, bénéficient d'ubiquité, les défenseurs sont riches, statiques, et très poreux". Pour ce directeur de cette filiale récemment créée la demande est donc une évidence. L'apparence se heurte cependant à quelques écueils.

Un vide juridique

Le premier obstacle est constitué par le vide jurique du domaine cyber. Si l'on compare à un domaine proche en terme de globalité, celui de l’aviation civile, on constate qu'il n'existe, à la manière de l'OACI[1], aucune institution supra-nationale qui fixe un cadre général au secteur. Certes les normes techniques, globalement dictées par des consortiums industriels sont relativement bien établies et diffusées. Pour autant dans le domaine juridique ou même des pratiques recommandées, rien de tel. Il faut compter avec les réglementations locales forcément inadaptées à la dimension mondiale du cyberespace. A ce titre les demandes qui ont été faites lors de la conférence de Tunis en 2005 n'ont pas abouti[2], conduisant les BRICS par exemple à développer une position isolée[3]. Le problème de la gouvernance des réseaux est donc entièrement posé. A ce titre il faudrait que l'ONU crée une agence qui absorbe l'Union Internationale des Communications et l'ICANN.

Un problème de formation

Pour répondre aux appels d'offre et fournir des services, il faut être en mesure de construire des groupes aux compétences techniques reconnues. Or les écoles ne sont pas préparées à former ces spécialistes[4]. Actuellement, les spécialistes de la sécurité informatique se trouvent essentiellement dans des groupes tournés vers le civil: Symantec, Mc Affee... Possédant d’excellents analystes, ces groupes manquent de compétences dans le domaine de la défense (on identifie et caractérise une menace sans être, en général capable de la neutraliser), et surtout de l'offensive. La reconnaissance de la signature d'un virus est une chose, l'élaboration des réponses face à celui-ci en est une autre, confiée en général à l'auteur du système attaqué.

D'autre part il apparaît qu'un ingénieur ou un analyste n'a pas toujours le bon profil pour œuvrer dans le cyberespace. Les plus grands spécialistes ne sont pas diplômés des grandes universités ou de Polytechnique, ils sont en général des passionnés (des "self made-man" comme on dit en anglais). Pour s'en convaincre il suffit de regarder le CV des intervenants d'une conférence majeure comme la Hack in Paris... Recruter et fidéliser cette population est certainement un défi pour les groupes de cyber-sécurité comme pour les gouvernements. Dans cette perspective, la nécessaire très haute confidentialité sera également un frein au développement de l'offre privée.

Perspectives

Certes, des appels d'offre et des budgets sont à gagner dans le domaine, mais pour autant, le secteur ne réunit pas les conditions pour une croissance sans nuage des entreprises. A cet égard, celles qui jouent la carte du vide juridique pourraient rapidement être rattrapées par l'actualité[5]. Car dans le cyberespace les informations vont très vite et la crédibilité des entreprises voulant investir le marché peut être rapidement écorchée.

Notes

[1] Organisation de l'Aviation Civile Internationale, ICAO in english.

[2] On peut notamment lire dans le rapport la recommandation suivante:"Aucun gouvernement ne devrait jouer à lui seul un rôle prépondérant dans la gouvernance de l’Internet sur le plan international.", disponible en ligne ici

[3] lire cet article en anglais, voir également: "Les nouveaux enjeux de la gouvernance d'internet", Regards sur l'actualité n°327, La Documentation française, janvier 2007 par Bernard Benhamou; on peut y lire:"Si la centralisation de la gestion des ressources techniques d'internet par les Etats-Unis suscite une demande de transparence, la perspective de "fragmentation" d'internet présente des risques sur le plan industriel et politique. Il apparaît donc important de préserver l'unicité du réseau et que les marchés de l'accès et des contenus restent séparés afin de ne pas entraver l'innovation, la diffusion et l'échange d'idées qui constituent le moteur du développement d'internet"

[4] La difficulté à former et reconnaître les qualités de ces experts se retrouve dans l'existence de "certifications" délivrées par des acteurs privés et adossées à un "éco-système" plus ou moins propriétaire.

[5] voir notre billet sur le DPI et les suites judiciaires de l'affaire Amesys

aucun commentaire

Fil des commentaires de ce billet

Ajouter un commentaire

Le code HTML est affiché comme du texte et les adresses web sont automatiquement transformées.

La discussion continue ailleurs

URL de rétrolien : http://cyber-defense.fr/blog/index.php?trackback/17