Malgré la crise, la sécurité informatique a fait l’objet d’investissements continus. Plus que ce signe de bonne santé, il faut noter l’appétence de plus en plus grande des leaders de l’industrie pour le secteur. Ils se renforcent par des rachats significatifs comme celui de McAfee par Intel, mais ce n’est pas le seul. Ces fournisseurs d’infrastructure ou d’une « stack » complète allant parfois du centre de données au poste de travail se trouvent confrontés à de nouvelles attaques qui visent le cœur même des systèmes d’information les plus sensibles. La médiatisation de l’attaque Stuxnet en est l’un des exemples les plus marquants de l’année. Les entreprises doivent de plus suivre une réglementation de plus en plus tatillonne les obligeant à s’équiper sur plusieurs domaines comme la protection des données ou la gestion des accès. Mais si les acteurs du marché leur proposent un outillage complet, qu’en est-il de la réalité du terrain ? En raison du périmètre étendu de l’entreprise, le poste de travail devient à la fois la première et la dernière ligne de défense de l’entreprise. Comment les services ont-ils intégré cette nouvelle réalité ?
TENDANCES MARCHÉ
À l’heure du Cloud, le SI renforce son blindage
La sécurité séduit désormais les grands acteurs du marché qui, à coups de rachats, se construisent des offres s’intégrant à leurs infrastructures. Ceux-ci annexent peu à peu le secteur pour lever un des freins majeurs à leur offre d’informatique dans les nuages. Ce point est d’ailleurs décisif car les industriels du secteur n’ont pas de plan B.
Après une mauvaise année 2009, qui avait enregistré une croissance de 7 % alors que la plupart des secteurs de l’informatique reculaient fortement, 2010 doit se révéler un bon cru pour les acteurs du marché de la sécurité. Gartner estime le marché global à 16,5 milliards de dollars en progression de 11,3 % par rapport à l’année dernière. Plusieurs facteurs expliquent ce comportement atypique du secteur : un renforcement des réglementations, une industrialisation du cybercrime demandant un renforcement des mesures de sécurité, un intérêt de plus en plus marqué des grands acteurs du marché sur le secteur.
Une réglementation renforcée
Si le travail de renforcement des réglementations dans le secteur financier n’avait pas attendu la crise, cette dernière a cependant accéléré la mise en oeuvre de nouvelles normes dans les secteurs des banques et des assurances en imposant par exemple de nouveaux ratios de solvabilité ou de contraintes d’audit sur les données et l’accès. L’impact n’est pas nul, à la fois sur les systèmes d’information et la sécurité associée. Cette tendance a particulièrement poussé les offres sur la traçabilité et l’audit de l’accès au SI par les comptes « privilégiés », comme les comptes Root ou super- utilisateurs…
 |
Un vue de l'outil CA qui provient d'Arcot sur les allocations de comptes à privilège. |
Une industrialisation des menaces
Tous les rapports des spécialistes de l’industrie le soulignent, les réseaux de « vilains du Net »deviennent de plus en plus structurés et les attaques montent en technicité et en puissance. C’est sans compter sur l’extension du périmètre à défendre par l’entreprise. La mobilité, les nouveaux usages d’Internet comme les réseaux sociaux, l’émergence de nouveaux terminaux avec une faible sécurisation démultiplient les surfaces d’attaques possibles. Cette nouvelle donne est cependant prise en compte. Juniper Networks vient d’ailleurs d’étendre son portefeuille de solutions vers les environnements mobiles avec sa solution Junos Pulse Mobile Security Suite à destination à la fois des environnements d’entreprises et du grand public.
Ces deux environnements ont d’ailleurs tendance à se confondre. Les appareils mobiles deviennent un vecteur privilégié de connexion au système d’information de l’entreprise. En face de ces risques nouveaux, les attaques se font de plus en plus virulentes. Éric Michonnet, directeur Europe du sud de Arbor Networks, nous a signalé une attaque de déni de service qui avait atteint le débit record de 85 Go/s. « Il y a quelques années, nous rappelle-t-il, des attaques de 800 Mo/s passaient pour de fortes attaques. Avec 85 Go/s, vous imaginez ! Les attaques augmentent en puissance et en fréquence. En moyenne, elles devraient être trois fois plus nombreuses cette année par rapport à l’année dernière. »…
Tous les rapports des spécialistes de l’industrie le soulignent, les réseaux de « vilains du Net »deviennent de plus en plus structurés et les attaques montent en technicité et en puissance. C’est sans compter sur l’extension du périmètre à défendre par l’entreprise. La mobilité, les nouveaux usages d’Internet comme les réseaux sociaux, l’émergence de nouveaux terminaux avec une faible sécurisation démultiplient les surfaces d’attaques possibles. Cette nouvelle donne est cependant prise en compte. Juniper Networks vient d’ailleurs d’étendre son portefeuille de solutions vers les environnements mobiles avec sa solution Junos Pulse Mobile Security Suite à destination à la fois des environnements d’entreprises et du grand public.
Ces deux environnements ont d’ailleurs tendance à se confondre. Les appareils mobiles deviennent un vecteur privilégié de connexion au système d’information de l’entreprise. En face de ces risques nouveaux, les attaques se font de plus en plus virulentes. Éric Michonnet, directeur Europe du sud de Arbor Networks, nous a signalé une attaque de déni de service qui avait atteint le débit record de 85 Go/s. « Il y a quelques années, nous rappelle-t-il, des attaques de 800 Mo/s passaient pour de fortes attaques. Avec 85 Go/s, vous imaginez ! Les attaques augmentent en puissance et en fréquence. En moyenne, elles devraient être trois fois plus nombreuses cette année par rapport à l’année dernière. »…
Une banalisation de la sécurité ?
Ces différents éléments font que les fournisseurs d’infrastructure ne peuvent plus se permettre d’expliquer à leurs clients que leurs produits n’intègrent pas cette brique de sécurité. Cette prise de conscience n’est pas nouvelle. Dès 2006, IBM rachetait ISS pour se doter d’éléments de sécurité et fournir à sa branche services une réponse à la montée en puissance des risques sur Internet et sur les activités des entreprises. EMC avait suivi rapidement avec la reprise de RSA. Le dernier rachat en date de McAfee par Intel a relancé les spéculations sur l’indépendance de certains acteurs de la sécurité informatique. Cette tendance s’accélère aujourd’hui. Éric Domage, chez IDC, y voit, dans une interview donnée aux Échos que « cette opération démontre que la sécurité informatique n'est plus seulement l’affaire de spécialistes, L’industrie est en train de se banaliser, ce qui n’est pas forcément une mauvaise nouvelle. C’est une thématique de plus en plus considérée comme stratégique par les grands acteurs technologiques. »
Ces différents éléments font que les fournisseurs d’infrastructure ne peuvent plus se permettre d’expliquer à leurs clients que leurs produits n’intègrent pas cette brique de sécurité. Cette prise de conscience n’est pas nouvelle. Dès 2006, IBM rachetait ISS pour se doter d’éléments de sécurité et fournir à sa branche services une réponse à la montée en puissance des risques sur Internet et sur les activités des entreprises. EMC avait suivi rapidement avec la reprise de RSA. Le dernier rachat en date de McAfee par Intel a relancé les spéculations sur l’indépendance de certains acteurs de la sécurité informatique. Cette tendance s’accélère aujourd’hui. Éric Domage, chez IDC, y voit, dans une interview donnée aux Échos que « cette opération démontre que la sécurité informatique n'est plus seulement l’affaire de spécialistes, L’industrie est en train de se banaliser, ce qui n’est pas forcément une mauvaise nouvelle. C’est une thématique de plus en plus considérée comme stratégique par les grands acteurs technologiques. »
Une véritable prise de conscience
Gaël Barrez chez Fortify, racheté récemment par HP et spécialiste du développement d’applications sécurisées, s’il refuse de s’exprimer sur le cas précis de son entreprise, y voit « une prise de conscience ».
Pour lui, les grands faiseurs de l’IT sont constamment « interrogés sur le domaine et doivent démontrer qu’ils apportent une sécurisation dans les règles de l’art. La sécurité fait partie de la vie quotidienne ». Ce mouvement des grands du secteur n’est pas non plus totalement innocent. Le domaine connaît des taux de marges bénéficiaires bien supérieures à d’autres, comme celui les serveurs. Ainsi, la marge estimée de Symantec, considérée comme figurant désormais dans le collimateur de HP selon les observateurs du marché, est estimée entre 25 et 30 %. Et la croissance est appelée à exploser avec la mobilité…
 |
Un vue de l'outil CA qui provient d'Arcot sur les allocations de comptes à privilège. |
Des investissements soutenus
Le contexte est donc favorable pour l’industrie et les entreprises continuent leurs investissements dans la sécurité. Une étude récente menée par le Cabinet Deloitte sur la sécurité dans l’industrie des TMT (Technologies, Medias et Télécommunications) démontre un rebond des investissements. Ce secteur est assez emblématique du fait de l’importance stratégique que peuvent avoir ces questions sur la bonne marche de leurs affaires. 10 % des entreprises de ce secteur ont augmenté leurs investissements et leurs budgets de plus de 10 % ; 36 % ont augmenté leurs budgets entre 1 et 10 %. Seules 23 % des entreprises ont connu une baisse des dépenses dans la sécurité. En dépit de cet effort conséquent, les répondants voient encore les contraintes budgétaires comme les principaux freins à une sécurité optimale. 46 % des entreprises interrogées le pensent. Arnaud Gallut le confirme : « Même si la sécurité résiste, le secteur est cependant sous la pression de la rationalisation des coûts dans les entreprises à l’instar des autres investissements de l’entreprise. Les entreprises deviennent de plus en plus pointilleuses. »
