Croissance du cloud

Développer une industrie française et européenne de confiance

Dossier : CybersécuritéMagazine N°711 Janvier 2016
Par Luc RENOUIL (89)

La trans­for­ma­tion numé­rique pro­met des gise­ments de crois­sance et de pro­duc­ti­vi­té. Il faut y inclure la sécu­ri­té, pen­sée en pro­fon­deur et non en simple sur­couche ce qui sup­pose une coopé­ra­tion effi­cace entre les acteurs. La France y a un rôle par­ti­cu­lier avec son point fort cultu­rel de coopé­ra­tion entre public et privé.

La trans­for­ma­tion numé­rique pro­met des len­de­mains qui chantent et des gise­ments de crois­sance et de productivité.

En France, la part de PIB issue du numé­rique est de plus de 100 mil­liards d’euros, la valeur du com­merce en ligne depuis 2007 a été mul­ti­pliée par trois, le taux d’équipement en tablettes entre 2011 et 2013 a été mul­ti­plié par quatre.

Dans notre pays, les ventes de smart­phones ont été mul­ti­pliées par six depuis 2008, la capa­ci­té de sto­ckage de don­nées a été mul­ti­pliée par douze depuis 20051, enri­chis­sant de manière radi­cale l’expérience client et révo­lu­tion­nant les organisations.

REPÈRES

Récemment, la société Sony a subi un vol massif de données via Internet. Puis TV5 Monde a été victime d’un malware provoquant la discontinuité d’activité pour un groupe média moyen, vraisemblablement utilisé comme vengeance de nos engagements diplomatiques.
Les services de renseignement américains auraient eu accès aux outils de génération de secrets de la société Gemalto, pourtant un des acteurs essentiels de la sécurité informatique.
Des événements qui montrent que le risque numérique peut devenir un sérieux obstacle au progrès de la transformation numérique.

Lendemains qui chantent

Avec l’accès à Inter­net et la mobi­li­té, on a démul­ti­plié la pro­duc­ti­vi­té des cadres, l’accès aux don­nées de l’entreprise depuis le monde exté­rieur, en cal­quant les usages de l’entreprise sur les usages per­son­nels pour s’assurer l’adhésion des salariés.

Avec le cloud, c’est-à-dire l’informatique exter­na­li­sée, l’usine à gaz infor­ma­tique interne est ratio­na­li­sée par des pro­fes­sion­nels sur leur propre infra­struc­ture optimisée.

Qui aurait, de nos jours, l’idée de pro­duire soi-même son élec­tri­ci­té ? À cha­cun son métier. Les dépenses en cloud pro­gressent tou­jours sur un rythme supé­rieur à 15 % en cloud pri­vé et près de 30 % en cloud public2.

Avec l’Internet des objets, c’est la pro­messe de contrô­ler à dis­tance les états des maté­riels connec­tés qui se pro­file, sans que soient encore assu­rées la fia­bi­li­té et la non-com­pro­mis­sion de ces objets.

Un risque qui peut devenir une chance

L’existence de menaces per­sis­tantes sur la sécu­ri­té infor­ma­tique est deve­nue le cau­che­mar des res­pon­sables de sécu­ri­té infor­ma­tique et désor­mais des dirigeants.

LOI DE PROGRAMMATION MILITAIRE

L’article 22 de la loi de programmation militaire concerne les systèmes d’information. L’objectif de cet article et des décrets afférents est de définir les systèmes d’information concernés et des règles efficaces, soutenables et adaptées aux métiers et spécificités des opérateurs industriels dont la défaillance ou l’attaque pourrait porter atteinte à la sécurité de l’État, et de garantir la bonne articulation de ce nouveau dispositif avec les réglementations préexistantes.
D’où la mise en place au début de l’année 2015, pour chaque domaine d’activité (eau, énergie, finances, transports, etc.), de groupes de travail rassemblant, autour de l’ANSSI, les opérateurs d’importance vitale, les ministères coordonnateurs et les autorités sectorielles.

L’augmentation du nombre des attaques infor­ma­tiques est de près de 50 % par an depuis trois ans.

La sécu­ri­té n’est pas un busi­ness de la peur, mais sup­pose une coopé­ra­tion effi­cace entre acteurs publics – en par­ti­cu­lier les régu­la­teurs, en tant que pri­mo-inter­ve­nants et tours de contrôle de la menace, garants du bien public de sécu­ri­té – et acteurs pri­vés, qui doivent inté­grer la sécu­ri­té dans leur modèle éco­no­mique comme un risque propre, avec ses consé­quences au plan concur­ren­tiel, au plan humain et sur la conti­nui­té d’activité.

Cette coopé­ra­tion entre public et pri­vé est le point fort cultu­rel du modèle éco­no­mique fran­çais, quand elle est bien opé­rée. La loi de pro­gram­ma­tion mili­taire et le plan cyber­sé­cu­ri­té ont don­né à la France une impul­sion déci­sive depuis 2014.

Mais tout est à mettre en place, et s’il y a une contrainte à conci­lier les dif­fé­rentes régle­men­ta­tions natio­nales pour une socié­té pri­vée aux mul­tiples implan­ta­tions natio­nales, autant démon­trer que l’approche fran­çaise est efficace.

Croissance forte et dominance anglo-saxonne

Selon les chiffres de dif­fé­rents cabi­nets d’études, le mar­ché de la cyber­sé­cu­ri­té sera de près de 100 mil­liards de dol­lars en 2015, près de 170 mil­liards de dol­lars en 2020. Il atteint près de 3 mil­liards d’euros en France et plus de 30 mil­liards d’euros en Europe.

Les dépenses en cloud aug­mentent de 15 à 30 % par an.
© VIPERAGP / FOTOLIA

Ce mar­ché ne se limite pas à la stricte sécu­ri­té infor­ma­tique mais la dépasse, puisque de nom­breux sys­tèmes infor­ma­tiques indus­triels du « cybe­res­pace » peuvent être défaillants ou atta­qués (auto­mo­bile, aéro­nau­tique, exploi­ta­tion des infra­struc­tures, etc.).

Sa crois­sance selon les régions du mar­ché est supé­rieure à 10 % annuel­le­ment. Le mar­ché est domi­né par l’Amérique du Nord et l’Europe, mais l’Asie prend de l’importance.

La cyber­sé­cu­ri­té est un mar­ché glo­ba­le­ment cal­qué sur le mar­ché du logi­ciel et des ser­vices asso­ciés, plus que sur le mar­ché de la sécu­ri­té. Dans les ser­vices, les mis­sions confiées à des tiers de confiance sont en très forte crois­sance. Elles cor­res­pondent à l’externalisation du ser­vice de super­vi­sion de la sécu­ri­té informatique.

Le mar­ché des pro­duits com­prend notam­ment le mar­ché de l’édition de logi­ciels et, dans une moindre mesure, des pro­duits de sécu­ri­té (aus­si appe­lés appliances). C’est un mar­ché indus­triel, pour lequel les posi­tions et les cycles d’investissements sont domi­nés par les grands édi­teurs anglo-saxons.

Un recours croissant à l’externalisation

Avec l’évolution vers l’externalisation des infra­struc­tures et des ser­vices, les modèles éco­no­miques se rap­prochent. Les pres­ta­taires doivent pro­po­ser une exper­tise outillée dif­fé­ren­ciante au moindre coût.

Les mar­chés ver­ti­caux intro­duisent eux-mêmes une seg­men­ta­tion, car l’usage de l’informatique et ses enjeux ne sont pas les mêmes dans le domaine de l’énergie ou dans le domaine bancaire.

Fina­le­ment, la grande par­ti­cu­la­ri­té du domaine de la cyber­sé­cu­ri­té est sa forte adhé­rence au besoin gou­ver­ne­men­tal. Ce besoin doit être pen­sé comme l’occasion de pro­mou­voir des offres et des fonc­tion­na­li­tés qui favo­risent le tis­su indus­triel domestique.

Le domaine indus­triel des ser­vices infor­ma­tiques et du logi­ciel reste domi­né par les acteurs amé­ri­cains, qui regroupent plus de 70 % des prin­ci­paux acteurs (IBM, Micro­soft Oracle, tous inté­res­sés de près ou de loin à la sécu­ri­té informatique).

La même domi­na­tion s’observe dans le domaine de la cyber­sé­cu­ri­té, puisque les cinq plus gros acteurs du sec­teur sont Syman­tec, IBM, Intel Secu­ri­ty, Trend Micro (Japon) et EMC. Leur acti­vi­té approche ou dépasse lar­ge­ment le mil­liard de dol­lars annuel.

L’émergence de Trend Micro, voire de Kas­pers­ky, est peut-être le signal d’une remise en cause de cette hégémonie.

Un plan de travail complet à mettre en œuvre

En France, la cyber­sé­cu­ri­té, en pre­mière approche, c’est 700 entre­prises dont 100 se spé­cia­lisent réel­le­ment sur des pro­duits et ser­vices de haute tech­no­lo­gie. Une ving­taine tout au plus exportent. Il faut être cham­pion sur son ter­ri­toire pour pou­voir aller à l’international.

Des tablettes et des smertphones en quantité
En France, le nombre de tablettes a été mul­ti­plié par 4
entre 2011 et 2013. © GEORGEJMCLITTLE / FOTOLIA

Au sein de Hexa­trust, clus­ter de vingt-cinq édi­teurs de cyber­sé­cu­ri­té fran­çais créé en 20143, ras­sem­blant plus de 1 500 employés, nous géné­rons une crois­sance annuelle de 25 % à 30 %.

Dans le contexte de dia­logue public-pri­vé évo­qué préa­la­ble­ment, nous pré­co­ni­sons qu’une image glo­bale de la situa­tion du tis­su indus­triel soit éla­bo­rée et par­ta­gée par l’ensemble des acteurs du secteur.

L’écosystème euro­péen de la cyber­sé­cu­ri­té se limite encore à quelques actions com­munes de recherche et déve­lop­pe­ment. Il faut une volon­té indus­trielle et nor­ma­tive forte, comme ce fut le cas avec Air­bus, pour déga­ger des capa­ci­tés d’investissement euro­péen à la hau­teur de l’enjeu industriel.

Les ini­tia­tives d’investissement qui pour­raient être prises en France et en Europe, visant à don­ner aux meilleures inno­va­tions les moyens de pas­ser à l’échelle indus­trielle glo­bale, seront bienvenues.

Construire un marché européen de la cybersécurité

Le pro­blème n’est pas tant la natio­na­li­té des entre­prises que la richesse de l’écosystème qui doit être construit. Il faut rendre la cyber­sé­cu­ri­té attrac­tive pour y atti­rer des inves­tis­seurs. Cela exige crois­sance et rentabilité.

La pre­mière exige d’ouvrir les hori­zons de mar­ché : le mar­ché euro­péen de la cyber­sé­cu­ri­té doit deve­nir une réalité.

Si la seconde tarde à se concré­ti­ser, cela fra­gi­li­se­ra l’ensemble du dis­po­si­tif, sauf pré­sence d’acteurs capables de conso­li­der l’ensemble. Les ini­tia­tives doivent venir du monde industriel.

Le rachat par Thales de Vor­me­tric (déjà pré­cé­dé de celui de Sys­go par le même Thales) doit être sui­vi d’autres opé­ra­tions avec d’autres acteurs au plan euro­péen pour don­ner cré­dit à la démarche.

Les annonces d’investissements impor­tants de Cis­co et Micro­soft en France doivent être sui­vies. La ren­ta­bi­li­té des acteurs de la filière doit pou­voir être amé­lio­rée, pour faci­li­ter leur soli­di­té et leur capa­ci­té d’investissement autonome.

Agir sans délai

UN ÉCOSYSTÈME EN ÉBULLITION

Dans le domaine des fusions acquisitions et des opérations en Bourse, nous avons assisté en France à une opération emblématique en octobre 2015 : le rachat de l’éditeur américain Vormetric par Thales pour près de 400 millions de dollars.
Mais cela n’atteint pas les sommets de l’écosystème anglo-saxon. L’éditeur Sophos a été coté à Londres et valorisé pour 1,6 milliard de dollars, Microsoft a racheté la société israélienne Adallom, spécialisée dans la sécurité du cloud pour 320 millions de dollars, tandis que Cisco a acquis Open DNS pour 635 millions de dollars.
Ce sont des dizaines d’opérations de plusieurs dizaines de millions de dollars qui ont eu lieu à un rythme s’accélérant au cours des douze derniers mois. Pour ce qui est du capital investissement, près de 2 milliards de dollars ont été investis dans des start-ups cyber aux USA l’an dernier et plus de 1 milliard de dollars au premier semestre 2015.
Signalons que plusieurs levées de fonds aux USA ont concerné des montants de plusieurs dizaines de millions de dollars, Google Capital ayant investi 100 millions de dollars sur Crowdstrike.

L’achat public doit, comme aux États- Unis, être uti­li­sé en France comme un accé­lé­ra­teur de crois­sance pour les acteurs indus­triels natio­naux. Les inté­rêts essen­tiels de sécu­ri­té per­mettent de jus­ti­fier cette approche.

À court terme, des solu­tions hybri­dant inté­gra­teur fran­çais et édi­teurs étran­gers per­mettent de pré­ser­ver nos inté­rêts et de déve­lop­per la filière sans hypo­thé­quer l’avenir. Ain­si, la mise en place de la notion de ser­vice sou­ve­rain pour garan­tir une solu­tion sur la base de com­po­sants étran­gers est l’approche choi­sie par Orange en France (comme par IBM en Chine).

L’analyse de code doit être autant que pos­sible pri­vi­lé­giée. Les don­nées doivent être sto­ckées en France. Il faut assu­rer un juste report des contraintes opé­ra­tion­nelles dans les contrats des don­neurs d’ordre vers les fournisseurs.

Enfin, comme tout domaine indus­triel, la cyber­sé­cu­ri­té devra inté­grer des modèles d’externalisation du risque vers les assu­reurs, ce qui per­met­tra peu à peu au risque cyber de se finan­cia­ri­ser et, par là, de péné­trer trans­ver­sa­le­ment l’entreprise.

Il n’y a de richesse que d’hommes

Les pré­vi­sions font état d’un besoin de plu­sieurs cen­taines de mil­liers de spé­cia­listes par an dans les pro­chaines années en Europe4. Les filières de for­ma­tion en France dans le déve­lop­pe­ment infor­ma­tique sont encore trop peu déve­lop­pées et n’incluent pas suf­fi­sam­ment la sécu­ri­té informatique.

La cyber­sé­cu­ri­té appelle des trans­ferts de com­pé­tences, notam­ment des spé­cia­listes d’autres domaines en retour­ne­ment comme les sys­tèmes embar­qués et les réseaux.

Tech­ni­que­ment, la sécu­ri­té n’est pas que péri­phé­rique, mais doit être pen­sée en pro­fon­deur. Le contrôle d’exécution et la sécu­ri­té des pla­te­formes sont des domaines tech­niques à réinvestir.

Bienvenue chez Thalès
Thales a ache­té Vor­me­tric pour près de 400 mil­lions de dollars.
© BERNARD ROUSSEAU / THALES

La cryp­to­lo­gie a de beaux jours devant elle, car elle reste un ultime rem­part impor­tant, et porte ses propres inno­va­tions comme la cryp­to­lo­gie dite homo­morphe, qui per­met de confier les cal­culs à un tiers sans que celui-ci ne connaisse ni les don­nées ni les résultats.

En termes d’innovation, l’analyse com­por­te­men­tale dans le flot de don­nées va faire la dif­fé­rence à l’avenir. Déve­lop­per de telles solu­tions requiert des pro­fils de très haut niveau, capables de faire le pont entre sta­tis­tiques et com­por­te­ment des acteurs.

En termes d’ingénierie, le prin­ci­pal défi sera de pas­ser à une concep­tion pro­duit inté­grant plus for­te­ment la sécu­ri­té et les usages.

Une mau­vaise qua­li­té de déve­lop­pe­ment logi­ciel est la pire menace infor­ma­tique qui existe. Nous devons déve­lop­per les métiers indus­triels du logi­ciel : pro­gram­ma­tion et déve­lop­pe­ment pro­duit, test et vali­da­tion, incluant les méthodes et outils for­mels géné­ra­teurs de pro­duc­ti­vi­té dans une logique de cer­ti­fi­ca­tion et de qua­li­té produit.

Enfin, il faut adap­ter les dépenses en mar­ke­ting, ges­tion du pro­duit, com­mer­cial et juri­dique à une vision ambi­tieuse de conquête.

Un cycle de vie du pro­duit dyna­mique et une adap­ta­tion native à l’environnement du client doivent être le stan­dard et non l’exception pour nos produits.

_____________________________________
1. Mc Kin­sey, Accé­lé­rer la muta­tion numé­rique des entre­prises : un gise­ment de crois­sance et de com­pé­ti­ti­vi­té pour la France.
2. Source IDC 2015.
3. Dont Ber­tin Tech­no­lo­gies est une des fondatrices.
4. Le besoin aux États-Unis est éva­lué à 1 mil­lion de per­sonnes à for­mer annuellement.

Poster un commentaire