Accélérer le business de la Cybersécurité [par Vincent Riou, CEIS]

Pas une semaine ne se passe sans une nouvelle révélation d’attaque informatique ou de failles majeures type Heartbleed, ShellShock ou BadUSB. Le nombre d’incident augmente d’année en année, ainsi que le coût de leur résolution pour les entreprises. Sans oublier l’impact commercial négatif généré par la mise sur le marché de produits ou services non sécurisés, lorsque cette faiblesse apparait au grand jour. Il n’est donc plus temps pour nos entreprises de se demander pourquoi elles doivent assurer la sécurité de leur système d’information et de leurs produits numériques, mais comment faire en sorte que toute la chaine de valeur soit sécurisée au juste niveau.

Cette prise de conscience naturelle, générée par la crainte d’une attaque ou d’un scandale, est le premier élément expliquant l’accélération du business de la cybersécurité. Mais celle-ci est encore bien faible devant les enjeux du monde digital et l’explosion de tous les produits connectés. Comme l’a martelé Edith Ramirez, Chairwoman de la Federal Trade Commission US, lors de son discours au dernier CES de Las Vegas, les enjeux sécuritaires liés à l’internet des objets ne sont pas encore assez pris en compte. Les industriels manquent d’implication dans la sécurisation de leurs produits en amont. Le cas des objets connectés est symptomatique, avec une quasi absence d’éléments de chiffrement des communications liées à leur usage. Les produits et services connectés intégrant des caractéristiques intrinsèques de protection de l’information qu’ils véhiculent feront la différence face à une concurrence plus légère en termes de sécurité La véritable accélération du domaine aura donc lieu lorsque les entreprises auront compris que la sécurité, au lieu d’être une contrainte, est devenue un véritable argument commercial. En faisant partie intégrante du processus qualité, la sécurité des objets et des services numériques génère de la confiance. Cette cybersécurité positive devient alors l’un des moteurs de la transformation numérique.

Cependant, et quelle que soit la taille ou l’objet social de l’entreprise, les équipes de développement des produits et services sont naturellement orientés vers les usages de ceux-ci, vers leur finalité métier. La sécurité informatique en entreprise reste encore quasi systématiquement cantonnée au sein des DSI ou autour du RSSI, et organisée selon l’ancien modèle « détection / réaction ». Les équipes sécurité, si elles existent, restent décorrélées des métiers, se cantonnant à un rôle de « pompier » lorsque l’incendie numérique survient. L’implication forte des métiers dans la sécurisation de la révolution digitale sera le prochain facteur majeur de l’accélération du business de la cybersécurité.

Très en amont, la sécurité informatique doit faire partie des cursus de toute école d’ingénieur, de commerce ou de management. Tout au long de la vie professionnelle, cette sensibilisation à la sécurité peut s’acquérir par le biais de la formation continue, adaptée au niveau de chacun, à l’image de ce que propose l’EPITA via sa formation SecureSphere présentée au dernier FIC. A un niveau plus stratégique, cela passe également par des exercices de crise informatique, comme ceux que propose CEIS, mettant en jeu les métiers, les experts sécurité, les équipes de communication et le top management de l’entreprise à travers des scénarios réalistes pour obtenir un maximum d’impact. En rendant les métiers et les décideurs de l’entreprise conscients de l’importance du sujet, ils deviendront les premiers sponsors de cette vision « positive » de la sécurité.

Cependant, les bénéfices de cette accélération du business de la cybersécurité ne se répercuteront pas pleinement sur la filière française sans une consolidation importante de nos offreurs nationaux. En effet, si nous disposons d’entreprises de taille internationale dans les services ou l’intégration de systèmes, nous ne disposons d’aucun éditeur de solutions de sécurité capable de se mesurer aux grands concurrents internationaux. Ainsi, nos grands intégrateurs français intègrent des solutions venant de l’étranger… Aucun éditeur leader du domaine, disposant d’un portefeuille de solutions complet et d’un marketing performant n’a réussi à émerger en France. Et pourtant la France innove. Notre R&D est foisonnante. Dans toutes les régions, de nombreuses start-up et PME développent des produits de grande valeur qui pourraient rencontrer leur marché. Ce constat milite pour la valorisation de structures comme le CyberLab^TM lancé par CEIS, un espace ou se rencontrent régulièrement autour de sessions de démonstration de produits tous les acteurs de la cybersécurité : start-up et PME, grands intégrateurs, clients potentiels, experts étatiques et acteurs du financement de l’innovation.

Le facteur « taille » est également important. De nombreux clients hésitent à faire confiance à des solutions émanant de structures de petite taille du fait des risques avérés ou supposés pesant sur la pérennité des produits. C’est là que nos grandes entreprises de l’IT doivent jouer un rôle important vis-à-vis des grands comptes, en servant « d’assurance » sur l’intégration de ces technologies innovantes et en valorisant la source de cette innovation. En intégrant des clauses de reprise du code en cas de problèmes financiers et en supportant la R&D et le marketing des entreprises innovantes par des participations en nature ou en cash, sans en étouffer la créativité, nos champions de l’intégration de systèmes et des services se verraient entourés d’un écosystème extrêmement dynamique et innovant.

L’Etat joue également un rôle fondamental dans l’accélération du business de la cybersécurité. L’expression publique des ministres sur le sujet lors d’évènements aussi importants que le FIC aide à la prise de conscience générale de l’importance du domaine. Dans son rôle de régulateur et de législateur, l’Etat impose des règles obligeant certains acteurs à prendre les mesures de sécurité informatique adaptées. Ainsi, l’article 22 de la loi de programmation militaire, déclinaison française de la directive européenne NIS, aura des effets directs sur le marché. Il joue également un rôle positif en s’impliquant dans le soutien aux entreprises du domaine (initiatives de la French Tech, projets d’accélérateurs de start-up, PIA, financement RAPID du ministère de la défense, actions d’Ubifrance à l’export…).

Seulement, si l’ANSSI voit son budget et ses effectifs croitre d’année en année, il n’en va pas de même, hélas, pour les budgets d’équipement en solutions et services de sécurité des différents ministères et services de l’Etat. Cette « priorité nationale » passe encore après les contraintes budgétaires… Pourtant, premier acheteur de France, c’est bien à travers l’ensemble de ses marchés publics que l’Etat doit avant tout aider la filière : obligation de prise en compte de la sécurité dès la conception, intégration de clauses favorisant directement les PME innovantes et les solutions labellisées… Quand on sait à quel point obtenir une belle référence étatique est un accélérateur de business pour une PME, la première aide de l’Etat devrait venir de ses propres marchés. Cette « confiance étatique » aura valeur d’exemple. Et il n’y a pas de meilleur accélérateur de business que la confiance de ses clients.

Vincent Riou, CEIS