Hervé Guillou (*) : «Les attaquants bénéficient d’une impunité quasi totale puisqu’il n’y a pas de lois, ou très peu, sur le web qui est le nouvel espace économique mondial » (*)Président de Cassidian CyberSecurity

Publié le 06/06/2012 par aerodefensenews

AeroDefenseNews : Quelle analyse faites-vous de la menace en matière de cyber-sécurité 

Hervé Guillou : Aujourd’hui, on peut citer deux chiffres en 2011 : 26 millions, le nombre de nouveaux codes malveillants créés et mis en circulation; et 290 milliards d’euros, le coût financier global du cyber-crime. Ces chiffres sont au moins dix fois supérieurs à ce qu’ils étaient cinq ans auparavant. On est complètement sorti de l’action individuelle, « Don Quichotesque », de l’adolescent geek (même si ça existe encore bien sûr); on est face à des attaques très bien organisées et très sophistiquées comme cela était le cas au Moyen-Age avec les attaques des pirates et des corsaires. Aujourd’hui, il s’agit soit d’organisations criminelles, soit d’organisations plus ou moins parrainées par des gouvernements. Et ces dernières sont capables, aujourd’hui, de passer au travers de l’essentiel des barrières mises en place.

Et non seulement cette menace explose en quantité et en qualité, mais on pense qu’elle est durable car la dissymétrie est extrêmement forte entre les attaquants et les défenseurs. Un attaquant dans le domaine de la cyber-attaque a peu de contraintes économiques puisque cela  coûte assez peu cher soit de développer des softwares malveillants, soit de louer des serveurs pour faire ces attaques : cela va de quelques milliers à quelques centaines de milliers de dollars. L’attaquant bénéficie par ailleurs d’un don d’ubiquité quasiment total puisque l’attaque peut être perpétrée, de manière simultanée, des quatre coins de la planète. En outre, il bénéficie d’une impunité quasi totale puisqu’il n’y a pas de lois, ou très peu, sur le web qui est le nouvel espace économique mondial.

Les défenseurs, quant à eux, sont riches de leurs propriétés intellectuelles, de leurs parts de marché, de leurs activités et de leurs investissements. Ils sont statiques et donc vulnérables. De plus, ils sont poreux et de plus en plus ouverts sur l’extérieur. Cette dissymétrie entre des attaquants très ciblés face à des défenseurs visibles, riches et statiques rend la menace extrêmement durable.

 

ADN : Que représente le marché de la cyber-sécurité ?

H.G. : Ce marché est aujourd’hui encore en construction. Il est bien identifié aux Etats-Unis où l’on estime qu’il représente 23  milliards de  dollars sur les 50 milliards du  marché mondial. Il commence à exister en France, en Allemagne et en Grande-Bretagne pour 3 milliards chacun, et le reste est encore très fragmenté à la fois du point de vue de la demande (gouvernements, entreprises critiques, PME, etc.) et du point de vue de l’offre avec des entreprises qui proposent des services informatiques, des firewalls, des anti-virus, etc. Certes, tout cela n’est pas encore très structuré, mais, incontestablement c’est un marché naissant et en croissance de l’ordre de 10% par an.

 

ADN : La menace est-elle sous-estimée par les entreprises ?

H.G. : Oui elle est sous-estimée mais pas uniquement par les entreprises. Les agences nationales et les gouvernements multiplient les publications pour améliorer la prise de conscience des dirigeants sur cette menace qui, je le répète, n’est pas uniquement un problème d’informaticien, loin s’en faut. C’est un problème de gouvernance des entreprises, de la puissance publique avant d’être un problème d’informaticien. Cela concerne les accès, les process, l’organisation de la sécurité… L’informatique n’est qu’un moyen. Aujourd’hui, cette menace est vraiment sous-estimée.

Le PDG de Symantec a coutume de dire que 70% des grandes entreprises et des grands services gouvernementaux ont été attaqués en 2011 et que les 30% restants l’ont aussi été, mais ils ne le savent pas encore !

Quel est le changement de valeur d’une société en bourse lorsqu’elle découvre qu’elle a des intrus dans son système d’information depuis trois ans et que ses droits de propriété intellectuelle ont été pillés ? Aujourd’hui, la mesure du défaut n’est pas encore bien intégrée dans les portes-feuilles de risques des entreprises, des assurances et des gouvernements parce que la mesure économique de cette menace ne fait pas encore partie des mœurs. Ce sujet a longtemps été considéré comme « une maladie honteuse » dont on n’osait pas parler parce que cela crée des problèmes d’image, des vulnérabilités juridiques vis-à-vis des clients, des fournisseurs, du personnel et pendant longtemps il y a eu une sorte de complicité du silence autour de la réalité de ce type d’attaques.

Lire la suite de cette interview dans AeroDefenseNews, tél : 01 76 71 07 16

Publicité

A propos aerodefensenews

Bruno Lancesseur est rédacteur en chef la lettre AeroDefenseNews.net Pour nous contacter envoyez votre adresse mail à aerodefensenews@gmail.com
Cet article a été publié dans Non classé. Ajoutez ce permalien à vos favoris.