Qui connaissait la société FireEye (cf.note1) avant son entrée remarquée fin septembre au Nasdaq ? Créée en 2006 par un ancien de Sun Microsystems, la start-up californienne développe des solutions de sécurité avancées pour lutter contre les nouvelles générations de cyber attaques. Elle déploie depuis un an une stratégie de développement pour s’imposer auprès des sociétés européennes et vient de publier un livre blanc sur l’état des cybermenaces dans le monde.
Les révélations de l’affaire Snowden sur les ententes et la coopération des entreprises informatiques américaines, fournissant des « points d’entrée » à la NSA, entrainent une crise de confiance des sociétés françaises et européennes vis-à-vis des sociétés américaines de sécurité informatique.
Réunis aux Assises de la Sécurité à Monaco il y a quelques jours, les experts de la sécurité IT ont indiqué leur défiance et le souhait de s’orienter vers des sociétés européennes. Le sujet mérite en effet d’être abordé. La société FireEye, par exemple, a été financée en partie par InQTel, fonds d’investissement de la CIA. Indépendamment de la pertinence des services proposés, peut-on aujourd’hui implémenter dans les systèmes d’information de nos entreprises, des outils informatiques dont on ne maîtrise ni les backdoor ni la neutralité ?
En moins de 20 ans, l’ensemble du patrimoine informationnel des entreprises (activités, stratégies, données sensibles) s’est dématérialisé. Soit l’essentiel de la matière première des entreprises. La dépendance aux solutions de sécurité (anti-virus, pare feu etc.) est donc totale. Elle crée une nouvelle vulnérabilité des entreprises, dans un contexte de guerre économique ou la guerre de l’information est prégnante.
Les révélations de l’affaire Snowden soulèvent plusieurs interrogations de fond :
- La police de l’Internet (veille sur les attaques, évolution des menaces virales, correctifs et solutions) doit-elle être confiée aux seules entreprises privées, au regard des enjeux stratégiques qu’elles représentent ? Transposé à la société civile « non virtuelle », cette situation serait impensable. Quant à la cartographie des attaques, risques et menaces élaborée par les sociétés de sécurité, peut-elle être la seule source d’analyse à disposition des Etats ?
- L’affaire Snowden pose également la question de la neutralité des acteurs, dans ce domaine hautement stratégique qu’est la sécurité des systèmes d’information. Quelle est la politique de développement économique de cette filière technologique en France et en Europe, face à un marché largement dominé par des entreprises américaines et israéliennes ?
- Le récent rachat par McAfee de l’éditeur finlandais de pare-feu Stonesoft (largement utilisé par nos administrations) soulève la question de notre positionnement sur les stratégies d’acquisition des sociétés de ce secteur par des entreprises américaines ou étrangères (hors union européenne, voire hors Royaume Uni, au regard du programme Five Eyes, divulgué par Snowden, instaurant une collaboration entre les agences de renseignements des Etats-Unis et notamment le Royaume Uni).
C’est fort de ce constat et pour proposer aux entreprises des offres alternatives, que 12 PME françaises viennent de se regrouper pour créer le club HexaTrust (cf. note1) axé sur l'innovation autour de la cybersécurité et de la confiance numérique.
Cassidian Cybersecurity, la branche cyber sécurité du groupe EADS a, elle aussi, déjà intégré les sociétés françaises Arkoon et Netasq pour renforcer son poids sur le marché européen.
Et la société FireEye a annoncé son souhait de se rapprocher de Cassidian, ce dernier étant appelé à servir de proxy à l’éditeur pour l’Europe, afin de gagner la confiance des entreprises européennes.
Autre paramètre structurant : le poids des investissements dans ce secteur. En France 75 millions € ont été investis en 2011 en matière de cyber sécurité à comparer aux 600 millions € anglais, et aux 10 milliards des Etats-Unis. Quant aux budgets investis par la Commission européenne, ils sont passés de 350 millions € pour la période 2007 – 2013 à 400 millions € pour la période 2014 – 2020, soit à peine 50 millions € de plus, pour un budget global relativement faible compte tenu des enjeux. Enfin, d’un point de vue plus organisationnel et managérial, les enjeux stratégiques résultant des révélations Snowden conduisent à réfléchir sur le rôle des DSI et RSSI dans la stratégie d’entreprise aujourd’hui : combien siègent dans les Comex et sont associés aux prises de décision stratégiques des sociétés ? Très peu.
La sécurité informatique reste le parent pauvre des DSI : les mesures sont couteuses et sont souvent mal comprises par les directions générales. Si les dernières révélations de Snowden sur le hack de l’Elysée ou les écoutes de la chancelière allemande, ne changeront pas, sur le fond, la réalité de la guerre de l’information et les pratiques des états (à ce titre, l’accord européen de non espionnage souhaité par Angela Merkel est un vœu pieux), elles vont accélérer la réflexion sur nos politiques françaises et européennes en matière de sécurité IT.
Notes :
1) FireEye « World War C: Understanding Nation-State Motives Behind Today’s Advanced Cyber Attacks » - 2013.
2) Liste des entreprises présentes au sein d’HexaTrust : Wallix (contrôle et la traçabilité des utilisateurs à privilèges en entreprise), Keynectis-Opentrust (logiciels et de services de confiance dans le cloud), Deny All (pare-feux applicatifs), Ilex (Identity et Access Management ou IAM), Netheos (logiciels mobiles et sécurisés de banque), Sistech (sécurité télécoms), inWebo (solutions d’authentification forte), Olfeo (filtrage), Brainwave (Identity Compliance Management) , Vade Retro Technology (sécurité e-mail), Arismore (confiance numerique) et Bertin Technologies (sécurité numérique).
3) Etude PwC « Cyber Security M&A» - 2011.
Les révélations de l’affaire Snowden sur les ententes et la coopération des entreprises informatiques américaines, fournissant des « points d’entrée » à la NSA, entrainent une crise de confiance des sociétés françaises et européennes vis-à-vis des sociétés américaines de sécurité informatique.
Réunis aux Assises de la Sécurité à Monaco il y a quelques jours, les experts de la sécurité IT ont indiqué leur défiance et le souhait de s’orienter vers des sociétés européennes. Le sujet mérite en effet d’être abordé. La société FireEye, par exemple, a été financée en partie par InQTel, fonds d’investissement de la CIA. Indépendamment de la pertinence des services proposés, peut-on aujourd’hui implémenter dans les systèmes d’information de nos entreprises, des outils informatiques dont on ne maîtrise ni les backdoor ni la neutralité ?
En moins de 20 ans, l’ensemble du patrimoine informationnel des entreprises (activités, stratégies, données sensibles) s’est dématérialisé. Soit l’essentiel de la matière première des entreprises. La dépendance aux solutions de sécurité (anti-virus, pare feu etc.) est donc totale. Elle crée une nouvelle vulnérabilité des entreprises, dans un contexte de guerre économique ou la guerre de l’information est prégnante.
Les révélations de l’affaire Snowden soulèvent plusieurs interrogations de fond :
- La police de l’Internet (veille sur les attaques, évolution des menaces virales, correctifs et solutions) doit-elle être confiée aux seules entreprises privées, au regard des enjeux stratégiques qu’elles représentent ? Transposé à la société civile « non virtuelle », cette situation serait impensable. Quant à la cartographie des attaques, risques et menaces élaborée par les sociétés de sécurité, peut-elle être la seule source d’analyse à disposition des Etats ?
- L’affaire Snowden pose également la question de la neutralité des acteurs, dans ce domaine hautement stratégique qu’est la sécurité des systèmes d’information. Quelle est la politique de développement économique de cette filière technologique en France et en Europe, face à un marché largement dominé par des entreprises américaines et israéliennes ?
- Le récent rachat par McAfee de l’éditeur finlandais de pare-feu Stonesoft (largement utilisé par nos administrations) soulève la question de notre positionnement sur les stratégies d’acquisition des sociétés de ce secteur par des entreprises américaines ou étrangères (hors union européenne, voire hors Royaume Uni, au regard du programme Five Eyes, divulgué par Snowden, instaurant une collaboration entre les agences de renseignements des Etats-Unis et notamment le Royaume Uni).
C’est fort de ce constat et pour proposer aux entreprises des offres alternatives, que 12 PME françaises viennent de se regrouper pour créer le club HexaTrust (cf. note1) axé sur l'innovation autour de la cybersécurité et de la confiance numérique.
Cassidian Cybersecurity, la branche cyber sécurité du groupe EADS a, elle aussi, déjà intégré les sociétés françaises Arkoon et Netasq pour renforcer son poids sur le marché européen.
Et la société FireEye a annoncé son souhait de se rapprocher de Cassidian, ce dernier étant appelé à servir de proxy à l’éditeur pour l’Europe, afin de gagner la confiance des entreprises européennes.
Autre paramètre structurant : le poids des investissements dans ce secteur. En France 75 millions € ont été investis en 2011 en matière de cyber sécurité à comparer aux 600 millions € anglais, et aux 10 milliards des Etats-Unis. Quant aux budgets investis par la Commission européenne, ils sont passés de 350 millions € pour la période 2007 – 2013 à 400 millions € pour la période 2014 – 2020, soit à peine 50 millions € de plus, pour un budget global relativement faible compte tenu des enjeux. Enfin, d’un point de vue plus organisationnel et managérial, les enjeux stratégiques résultant des révélations Snowden conduisent à réfléchir sur le rôle des DSI et RSSI dans la stratégie d’entreprise aujourd’hui : combien siègent dans les Comex et sont associés aux prises de décision stratégiques des sociétés ? Très peu.
La sécurité informatique reste le parent pauvre des DSI : les mesures sont couteuses et sont souvent mal comprises par les directions générales. Si les dernières révélations de Snowden sur le hack de l’Elysée ou les écoutes de la chancelière allemande, ne changeront pas, sur le fond, la réalité de la guerre de l’information et les pratiques des états (à ce titre, l’accord européen de non espionnage souhaité par Angela Merkel est un vœu pieux), elles vont accélérer la réflexion sur nos politiques françaises et européennes en matière de sécurité IT.
Notes :
1) FireEye « World War C: Understanding Nation-State Motives Behind Today’s Advanced Cyber Attacks » - 2013.
2) Liste des entreprises présentes au sein d’HexaTrust : Wallix (contrôle et la traçabilité des utilisateurs à privilèges en entreprise), Keynectis-Opentrust (logiciels et de services de confiance dans le cloud), Deny All (pare-feux applicatifs), Ilex (Identity et Access Management ou IAM), Netheos (logiciels mobiles et sécurisés de banque), Sistech (sécurité télécoms), inWebo (solutions d’authentification forte), Olfeo (filtrage), Brainwave (Identity Compliance Management) , Vade Retro Technology (sécurité e-mail), Arismore (confiance numerique) et Bertin Technologies (sécurité numérique).
3) Etude PwC « Cyber Security M&A» - 2011.