Croissance du cloud

Développer une industrie française et européenne de confiance

Dossier : CybersécuritéMagazine N°711 Janvier 2016
Par Luc RENOUIL (89)

La trans­for­ma­tion numérique promet des gise­ments de crois­sance et de pro­duc­tiv­ité. Il faut y inclure la sécu­rité, pen­sée en pro­fondeur et non en sim­ple sur­couche ce qui sup­pose une coopéra­tion effi­cace entre les acteurs. La France y a un rôle par­ti­c­uli­er avec son point fort cul­turel de coopéra­tion entre pub­lic et privé.

La trans­for­ma­tion numérique promet des lende­mains qui chantent et des gise­ments de crois­sance et de productivité.

En France, la part de PIB issue du numérique est de plus de 100 mil­liards d’euros, la valeur du com­merce en ligne depuis 2007 a été mul­ti­pliée par trois, le taux d’équipement en tablettes entre 2011 et 2013 a été mul­ti­plié par quatre.

Dans notre pays, les ventes de smart­phones ont été mul­ti­pliées par six depuis 2008, la capac­ité de stock­age de don­nées a été mul­ti­pliée par douze depuis 20051, enrichissant de manière rad­i­cale l’expérience client et révo­lu­tion­nant les organisations.

REPÈRES

Récemment, la société Sony a subi un vol massif de données via Internet. Puis TV5 Monde a été victime d’un malware provoquant la discontinuité d’activité pour un groupe média moyen, vraisemblablement utilisé comme vengeance de nos engagements diplomatiques.
Les services de renseignement américains auraient eu accès aux outils de génération de secrets de la société Gemalto, pourtant un des acteurs essentiels de la sécurité informatique.
Des événements qui montrent que le risque numérique peut devenir un sérieux obstacle au progrès de la transformation numérique.

Lendemains qui chantent

Avec l’accès à Inter­net et la mobil­ité, on a démul­ti­plié la pro­duc­tiv­ité des cadres, l’accès aux don­nées de l’entreprise depuis le monde extérieur, en calquant les usages de l’entreprise sur les usages per­son­nels pour s’assurer l’adhésion des salariés.

Avec le cloud, c’est-à-dire l’informatique exter­nal­isée, l’usine à gaz infor­ma­tique interne est ratio­nal­isée par des pro­fes­sion­nels sur leur pro­pre infra­struc­ture optimisée.

Qui aurait, de nos jours, l’idée de pro­duire soi-même son élec­tric­ité ? À cha­cun son méti­er. Les dépens­es en cloud pro­gressent tou­jours sur un rythme supérieur à 15 % en cloud privé et près de 30 % en cloud pub­lic2.

Avec l’Internet des objets, c’est la promesse de con­trôler à dis­tance les états des matériels con­nec­tés qui se pro­file, sans que soient encore assurées la fia­bil­ité et la non-com­pro­mis­sion de ces objets.

Un risque qui peut devenir une chance

L’existence de men­aces per­sis­tantes sur la sécu­rité infor­ma­tique est dev­enue le cauchemar des respon­s­ables de sécu­rité infor­ma­tique et désor­mais des dirigeants.

LOI DE PROGRAMMATION MILITAIRE

L’article 22 de la loi de programmation militaire concerne les systèmes d’information. L’objectif de cet article et des décrets afférents est de définir les systèmes d’information concernés et des règles efficaces, soutenables et adaptées aux métiers et spécificités des opérateurs industriels dont la défaillance ou l’attaque pourrait porter atteinte à la sécurité de l’État, et de garantir la bonne articulation de ce nouveau dispositif avec les réglementations préexistantes.
D’où la mise en place au début de l’année 2015, pour chaque domaine d’activité (eau, énergie, finances, transports, etc.), de groupes de travail rassemblant, autour de l’ANSSI, les opérateurs d’importance vitale, les ministères coordonnateurs et les autorités sectorielles.

L’augmentation du nom­bre des attaques infor­ma­tiques est de près de 50 % par an depuis trois ans.

La sécu­rité n’est pas un busi­ness de la peur, mais sup­pose une coopéra­tion effi­cace entre acteurs publics – en par­ti­c­uli­er les régu­la­teurs, en tant que pri­mo-inter­venants et tours de con­trôle de la men­ace, garants du bien pub­lic de sécu­rité – et acteurs privés, qui doivent inté­gr­er la sécu­rité dans leur mod­èle économique comme un risque pro­pre, avec ses con­séquences au plan con­cur­ren­tiel, au plan humain et sur la con­ti­nu­ité d’activité.

Cette coopéra­tion entre pub­lic et privé est le point fort cul­turel du mod­èle économique français, quand elle est bien opérée. La loi de pro­gram­ma­tion mil­i­taire et le plan cyber­sécu­rité ont don­né à la France une impul­sion déci­sive depuis 2014.

Mais tout est à met­tre en place, et s’il y a une con­trainte à con­cili­er les dif­férentes régle­men­ta­tions nationales pour une société privée aux mul­ti­ples implan­ta­tions nationales, autant démon­tr­er que l’approche française est efficace.

Croissance forte et dominance anglo-saxonne

Selon les chiffres de dif­férents cab­i­nets d’études, le marché de la cyber­sécu­rité sera de près de 100 mil­liards de dol­lars en 2015, près de 170 mil­liards de dol­lars en 2020. Il atteint près de 3 mil­liards d’euros en France et plus de 30 mil­liards d’euros en Europe.

Les dépens­es en cloud aug­mentent de 15 à 30 % par an.
© VIPERAGP / FOTOLIA

Ce marché ne se lim­ite pas à la stricte sécu­rité infor­ma­tique mais la dépasse, puisque de nom­breux sys­tèmes infor­ma­tiques indus­triels du « cybere­space » peu­vent être défail­lants ou attaqués (auto­mo­bile, aéro­nau­tique, exploita­tion des infra­struc­tures, etc.).

Sa crois­sance selon les régions du marché est supérieure à 10 % annuelle­ment. Le marché est dom­iné par l’Amérique du Nord et l’Europe, mais l’Asie prend de l’importance.

La cyber­sécu­rité est un marché glob­ale­ment calqué sur le marché du logi­ciel et des ser­vices asso­ciés, plus que sur le marché de la sécu­rité. Dans les ser­vices, les mis­sions con­fiées à des tiers de con­fi­ance sont en très forte crois­sance. Elles cor­re­spon­dent à l’externalisation du ser­vice de super­vi­sion de la sécu­rité informatique.

Le marché des pro­duits com­prend notam­ment le marché de l’édition de logi­ciels et, dans une moin­dre mesure, des pro­duits de sécu­rité (aus­si appelés appli­ances). C’est un marché indus­triel, pour lequel les posi­tions et les cycles d’investissements sont dom­inés par les grands édi­teurs anglo-saxons.

Un recours croissant à l’externalisation

Avec l’évolution vers l’externalisation des infra­struc­tures et des ser­vices, les mod­èles économiques se rap­prochent. Les prestataires doivent pro­pos­er une exper­tise out­il­lée dif­féren­ciante au moin­dre coût.

Les marchés ver­ti­caux intro­duisent eux-mêmes une seg­men­ta­tion, car l’usage de l’informatique et ses enjeux ne sont pas les mêmes dans le domaine de l’énergie ou dans le domaine bancaire.

Finale­ment, la grande par­tic­u­lar­ité du domaine de la cyber­sécu­rité est sa forte adhérence au besoin gou­verne­men­tal. Ce besoin doit être pen­sé comme l’occasion de pro­mou­voir des offres et des fonc­tion­nal­ités qui favorisent le tis­su indus­triel domestique.

Le domaine indus­triel des ser­vices infor­ma­tiques et du logi­ciel reste dom­iné par les acteurs améri­cains, qui regroupent plus de 70 % des prin­ci­paux acteurs (IBM, Microsoft Ora­cle, tous intéressés de près ou de loin à la sécu­rité informatique).

La même dom­i­na­tion s’observe dans le domaine de la cyber­sécu­rité, puisque les cinq plus gros acteurs du secteur sont Syman­tec, IBM, Intel Secu­ri­ty, Trend Micro (Japon) et EMC. Leur activ­ité approche ou dépasse large­ment le mil­liard de dol­lars annuel.

L’émergence de Trend Micro, voire de Kasper­sky, est peut-être le sig­nal d’une remise en cause de cette hégémonie.

Un plan de travail complet à mettre en œuvre

En France, la cyber­sécu­rité, en pre­mière approche, c’est 700 entre­pris­es dont 100 se spé­cialisent réelle­ment sur des pro­duits et ser­vices de haute tech­nolo­gie. Une ving­taine tout au plus expor­tent. Il faut être cham­pi­on sur son ter­ri­toire pour pou­voir aller à l’international.

Des tablettes et des smertphones en quantité
En France, le nom­bre de tablettes a été mul­ti­plié par 4
entre 2011 et 2013. © GEORGEJMCLITTLE / FOTOLIA

Au sein de Hexa­trust, clus­ter de vingt-cinq édi­teurs de cyber­sécu­rité français créé en 20143, rassem­blant plus de 1 500 employés, nous générons une crois­sance annuelle de 25 % à 30 %.

Dans le con­texte de dia­logue pub­lic-privé évo­qué préal­able­ment, nous pré­con­isons qu’une image glob­ale de la sit­u­a­tion du tis­su indus­triel soit élaborée et partagée par l’ensemble des acteurs du secteur.

L’écosystème européen de la cyber­sécu­rité se lim­ite encore à quelques actions com­munes de recherche et développe­ment. Il faut une volon­té indus­trielle et nor­ma­tive forte, comme ce fut le cas avec Air­bus, pour dégager des capac­ités d’investissement européen à la hau­teur de l’enjeu industriel.

Les ini­tia­tives d’investissement qui pour­raient être pris­es en France et en Europe, visant à don­ner aux meilleures inno­va­tions les moyens de pass­er à l’échelle indus­trielle glob­ale, seront bienvenues.

Construire un marché européen de la cybersécurité

Le prob­lème n’est pas tant la nation­al­ité des entre­pris­es que la richesse de l’écosystème qui doit être con­stru­it. Il faut ren­dre la cyber­sécu­rité attrac­tive pour y attir­er des investis­seurs. Cela exige crois­sance et rentabilité.

La pre­mière exige d’ouvrir les hori­zons de marché : le marché européen de la cyber­sécu­rité doit devenir une réalité.

Si la sec­onde tarde à se con­cré­tis­er, cela frag­ilis­era l’ensemble du dis­posi­tif, sauf présence d’acteurs capa­bles de con­solid­er l’ensemble. Les ini­tia­tives doivent venir du monde industriel.

Le rachat par Thales de Vor­met­ric (déjà précédé de celui de Sys­go par le même Thales) doit être suivi d’autres opéra­tions avec d’autres acteurs au plan européen pour don­ner crédit à la démarche.

Les annonces d’investissements impor­tants de Cis­co et Microsoft en France doivent être suiv­ies. La rentabil­ité des acteurs de la fil­ière doit pou­voir être améliorée, pour faciliter leur solid­ité et leur capac­ité d’investissement autonome.

Agir sans délai

UN ÉCOSYSTÈME EN ÉBULLITION

Dans le domaine des fusions acquisitions et des opérations en Bourse, nous avons assisté en France à une opération emblématique en octobre 2015 : le rachat de l’éditeur américain Vormetric par Thales pour près de 400 millions de dollars.
Mais cela n’atteint pas les sommets de l’écosystème anglo-saxon. L’éditeur Sophos a été coté à Londres et valorisé pour 1,6 milliard de dollars, Microsoft a racheté la société israélienne Adallom, spécialisée dans la sécurité du cloud pour 320 millions de dollars, tandis que Cisco a acquis Open DNS pour 635 millions de dollars.
Ce sont des dizaines d’opérations de plusieurs dizaines de millions de dollars qui ont eu lieu à un rythme s’accélérant au cours des douze derniers mois. Pour ce qui est du capital investissement, près de 2 milliards de dollars ont été investis dans des start-ups cyber aux USA l’an dernier et plus de 1 milliard de dollars au premier semestre 2015.
Signalons que plusieurs levées de fonds aux USA ont concerné des montants de plusieurs dizaines de millions de dollars, Google Capital ayant investi 100 millions de dollars sur Crowdstrike.

L’achat pub­lic doit, comme aux États- Unis, être util­isé en France comme un accéléra­teur de crois­sance pour les acteurs indus­triels nationaux. Les intérêts essen­tiels de sécu­rité per­me­t­tent de jus­ti­fi­er cette approche.

À court terme, des solu­tions hybri­dant inté­gra­teur français et édi­teurs étrangers per­me­t­tent de préserv­er nos intérêts et de dévelop­per la fil­ière sans hypothé­quer l’avenir. Ain­si, la mise en place de la notion de ser­vice sou­verain pour garan­tir une solu­tion sur la base de com­posants étrangers est l’approche choisie par Orange en France (comme par IBM en Chine).

L’analyse de code doit être autant que pos­si­ble priv­ilégiée. Les don­nées doivent être stock­ées en France. Il faut assur­er un juste report des con­traintes opéra­tionnelles dans les con­trats des don­neurs d’ordre vers les fournisseurs.

Enfin, comme tout domaine indus­triel, la cyber­sécu­rité devra inté­gr­er des mod­èles d’externalisation du risque vers les assureurs, ce qui per­me­t­tra peu à peu au risque cyber de se finan­cia­ris­er et, par là, de pénétr­er trans­ver­sale­ment l’entreprise.

Il n’y a de richesse que d’hommes

Les prévi­sions font état d’un besoin de plusieurs cen­taines de mil­liers de spé­cial­istes par an dans les prochaines années en Europe4. Les fil­ières de for­ma­tion en France dans le développe­ment infor­ma­tique sont encore trop peu dévelop­pées et n’incluent pas suff­isam­ment la sécu­rité informatique.

La cyber­sécu­rité appelle des trans­ferts de com­pé­tences, notam­ment des spé­cial­istes d’autres domaines en retourne­ment comme les sys­tèmes embar­qués et les réseaux.

Tech­nique­ment, la sécu­rité n’est pas que périphérique, mais doit être pen­sée en pro­fondeur. Le con­trôle d’exécution et la sécu­rité des plate­formes sont des domaines tech­niques à réinvestir.

Bienvenue chez Thalès
Thales a acheté Vor­met­ric pour près de 400 mil­lions de dollars.
© BERNARD ROUSSEAU / THALES

La cryp­tolo­gie a de beaux jours devant elle, car elle reste un ultime rem­part impor­tant, et porte ses pro­pres inno­va­tions comme la cryp­tolo­gie dite homo­mor­phe, qui per­met de con­fi­er les cal­culs à un tiers sans que celui-ci ne con­naisse ni les don­nées ni les résultats.

En ter­mes d’innovation, l’analyse com­porte­men­tale dans le flot de don­nées va faire la dif­férence à l’avenir. Dévelop­per de telles solu­tions requiert des pro­fils de très haut niveau, capa­bles de faire le pont entre sta­tis­tiques et com­porte­ment des acteurs.

En ter­mes d’ingénierie, le prin­ci­pal défi sera de pass­er à une con­cep­tion pro­duit inté­grant plus forte­ment la sécu­rité et les usages.

Une mau­vaise qual­ité de développe­ment logi­ciel est la pire men­ace infor­ma­tique qui existe. Nous devons dévelop­per les métiers indus­triels du logi­ciel : pro­gram­ma­tion et développe­ment pro­duit, test et val­i­da­tion, inclu­ant les méth­odes et out­ils formels généra­teurs de pro­duc­tiv­ité dans une logique de cer­ti­fi­ca­tion et de qual­ité produit.

Enfin, il faut adapter les dépens­es en mar­ket­ing, ges­tion du pro­duit, com­mer­cial et juridique à une vision ambitieuse de conquête.

Un cycle de vie du pro­duit dynamique et une adap­ta­tion native à l’environnement du client doivent être le stan­dard et non l’exception pour nos produits.

_____________________________________
1. Mc Kin­sey, Accélér­er la muta­tion numérique des entre­pris­es : un gise­ment de crois­sance et de com­péti­tiv­ité pour la France.
2. Source IDC 2015.
3. Dont Bertin Tech­nolo­gies est une des fondatrices.
4. Le besoin aux États-Unis est éval­ué à 1 mil­lion de per­son­nes à for­mer annuellement.

Poster un commentaire