Tribunes

Est-il possible de gagner la cyber-guerre ?

Est-il possible de gagner la cyber-guerre ?

Sur le sujet de la cybersécurité, les colloques succèdent aux symposiums et autres caucus. Beaucoup laissent pourtant un sentiment d'inachevé. Le NoSuchCon tente de combler ce vide.

PublicitéCyber. Qu'est-ce qui ne l'est pas aujourd'hui ? Son système d'information, sa montre, son électricité, son jihad, et que sais-je encore. Il n'a probablement jamais été dépensé autant de manière grise pour assurer la "cybersécurité", pardon la "cyberdéfense" (puisque quelques lignes de code sont devenues aujourd'hui des armes de guerre soumises à l'arrangement de Wassenaar).

Les colloques succèdent aux symposiums et autres caucus, et laissent pourtant un sentiment d'inachevé. Car au-delà des discours, qu'est-ce qui s'est amélioré dans le paysage de la sécurité informatique ces dernières années ? Probablement ceux qui parlent le moins: les attaquants.

La réalité c'est que le système d'information de l'entreprise n'a jamais été aussi peu sous contrôle. "Shadow IT", recours anarchique aux services en ligne (modernement appelés "Cloud"), explosion de la (sous-)sous-traitance dans tous les domaines, complexité exponentielle des technologies: bien malin celui qui peut encore faire croire qu'il est maitre chez lui, même s'il organise des "hackathons" ou collabore avec des "startups innovantes". Quant à la sécurité de l'ensemble, elle serait plus efficacement assurée par des sorciers vaudous que par les incantations technologiques modernes.

Quelles sont les causes de cette perte de maitrise ? Elles sont probablement nombreuses, mais je voudrais mettre l'accent sur un mépris très français pour la technique. Une brillante carrière dans l'informatique consiste à s'abstraire rapidement de la programmation et autres tâches "dégradantes", pour rejoindre le nirvana de la gestion de projet, voire de la "chefitude" (management en anglais). Les transitions PowerPoint importent plus que l'assembleur pour survivre dans un service informatique moderne.

Le recours massif à la sous-traitance permet-il de pallier à l'absence de qualités techniques chez les donneurs d'ordres ? Cela me laisse perplexe. Lorsque la qualité d'un acheteur se mesure à "l'épaisseur du sang [des fournisseurs] qu'il laisse sur les murs" (Jean-Claude Volot), vous pouvez imaginer l'ambiance qui règne sur les plateaux informatiques. La plupart des sous-traitants passent plus de temps à mettre à jour leur profil Linkedin qu'à se former sur les MOOC.

Il s'agit malheureusement d'une déformation purement française (dénoncée dans le rapport de Tariq Krim) ; les stars de la Silicon Valley sont des développeurs (et parfois des hommes d'affaires) avertis. Et d'un travers récent - sans vouloir remonter jusqu'au SICOB, je me rappelle quand même avoir lu des magazines informatiques dans les années 1990 qui proposaient des pages et des pages de listings BASIC ou Assembleur à leurs lecteurs. Ils ont tous disparus.

Il existe une preuve tangible de cet état de fait : la conférence NoSuchCon, qui réunit chaque année à Paris les meilleurs experts en sécurité informatique mondiaux. Cette conférence, fondée par des passionnés du domaine, est née sous les auspices de la technique. L'un d'entre eux fait d'ailleurs partie des 100 meilleurs développeurs français (selon le rapport ministériel "les développeurs : un atout pour la France")... et pourtant, que s'est-il passé ensuite ? Après avoir vainement cherché à travailler dans la "cyberdéfense française", découragés par l'entrisme du diplôme et l'absence de réelle implémentation technique des discours, ils sont aujourd'hui tous dans la Silicon Valley - qui chez VMWare, qui chez SalesForce.

PublicitéD'année en année, la proportion d'étrangers dans les participants à NoSuchCon ne cesse d'augmenter. Certains viennent de Corée du Sud pour y assister, tandis que les fleurons de la cyber-défense française et les Entreprises de Sécurité Numérique (ex. SSII) rechignent à y envoyer leurs consultants: "trop technique, pas assez business".

Alors que la France creuse son retard dans tous les domaines technologiques (composants électroniques, équipements réseaux, smartphones, systèmes d'exploitation, développement logiciel, services en ligne, etc.) il serait peut-être temps de réaliser que la cyber-guerre est une guerre comme les autres: elle se gagne par la maitrise des fondamentaux.

Alors, vive la ré-internalisation des compétences informatiques, le développement logiciel, le reverse engineering, les coopérations techniques, les filières d'expertise ... et NoSuchCon...

Partager cet article

Commentaire

Avatar
Envoyer
Ecrire un commentaire...

INFORMATION

Vous devez être connecté à votre compte CIO pour poster un commentaire.

Cliquez ici pour vous connecter
Pas encore inscrit ? s'inscrire

    Publicité

    Abonnez-vous à la newsletter CIO

    Recevez notre newsletter tous les lundis et jeudis