L'anti-spam sera systémique ou ne sera pas ! (26.9.2005)

On entend décidément un peu tout et son contraire sur la sécurité des systèmes d'information. Récemment encore, devant un cénacle d'investisseurs en capital, un consultant en sécurité informatique très coté sur la place précisait à juste titre que si les statistiques, qu'on agite volontiers sous les yeux des DSI et des utlisateurs ces derniers temps, indiquent toujours et perpétuellement une croissance rapide du marché de la sécurité des systèmes d'information, elles incluent un grand nombre de produits qui ne devraient plus aujourd'hui être comptés dans ce marché.


Il est vrai qu'un PC sous Windows sans firewall personnel, ou un accès au réseau sans firewall devraient être des exceptions : ce sont pratiquement des produits grand public, ou bien destinés à faire partie intégrante du réseau lui-même. De même une messagerie sans anti-virus et sans logiciel anti-spam devrait faire figure de cas tout aussi exceptionnel. Aujourd'hui ce type de logiciels ne devraient plus être acquis sur des bugets "sécurité" spécifiques des entreprises mais bien faire partie des équipements d'infrastructure.


Et de conclure que si les budgets informatiques liés à la "vraie" sécurité n'étaient pas nécessairement en croissance, seule une réglementation imposée et effectivement contrôlée pourrait réellement faire croître rapidement le marché. Les marchés démarreront vraiment le jour ou la sécurité sera obligatoire.


Notons que l'on touche bien là le coeur de l'argument et du problème. Car le problème de la sécurité en général est bien de nature économique. Quel que soit l’effort technique investi à contrer les nouvelles menaces, pare-feux et filtres, surveillance des réseaux et des flux, la lutte contre leur complexité croissante est sans fin. Et plus la complexité des menaces s’accroît, plus nombreuses sont les failles de sécurité. La réponse efficace à ces menaces et à leurs effets réels est alors systémique. Elle prendra non seulement plus de temps à s’établir et, paradoxalement, se heurtera à court terme à une certaine résistance. La raison en est que le moteur de cette réponse n’est plus à chercher au laboratoire de R&D mais bien au conseil d’administration ou à la direction générale. Au stade actuel, cette solution repose en effet sur la restauration d’un régime de responsabilité : rendre l’industrie du logiciel et des réseaux comptable de la sécurité des produits qu’elle conçoit et commercialise.


La sécurité informatique, même si elle comporte une composante technique indéniable, est aussi un problème de personnes et de responsabilités. Les organisations s’attaquent à cette question comme aux autres questions de responsabilité : en termes de gestion de risque. Payer plus que le coût d’une solution pour la sécuriser ensuite n’a pas de sens économique. De même payer la compensation d’un dommage n’a pas de sens si le coût de sa prévention en est inférieur. Le secteur informatique en fait aujourd’hui le minimum (économiquement rationnel) pour équilibrer les coûts et bénéfices de ce risque sécurité. Comme le risque augmente, mais lentement, les dépenses de sécurité augmentent, mais lentement.


Par le même raisonnement, les éditeurs de logiciels dépensent aujourd’hui relativement peu pour la sécurité de leurs produits : il n’ont pas d’incitation économique à le faire. Les coûts agrégés des défaillances de sécurité du système d’exploitation Windows ne sont pas financièrement portés par Microsoft. (La mauvaise presse occasionnelle, même si elle est devenue insistante, ne compte finalement pas beaucoup dans le bilan de l’entreprise ; par contre ne peut-on dire que les effets indirects, comme le succès de l'Open Source chez certaines administrations et grosses sociétés, représentent déjà une partie de ce coût ?)


Renforcer les responsabilités constitue donc le premier axe d’une réponse efficace. Celui-ci pourrait être effectué précisément via la législation (en rendant, par exemple, les éditeurs responsables devant les cours des dommages et intérêts liés à des failles de sécurité). Autrement encore, les acheteurs et l’industrie pourraient s’organiser pour prévaloir avec, par exemple, des pénalités financières.


Dans le même temps, un tel régime doit permettre le transfert de responsabilités. Ainsi les directions générales devraient pouvoir faire appel aux compagnies d’assurance, dont c’est le métier, et transformer un risque à coût variable en dépense à montant fixe. À partir d’une certaine masse critique de contrats, le jeu naturel de la différenciation des primes d’assurances suivant le niveau de sécurité deviendrait pour ces compagnies un puissant levier d’orientation de l’industrie : incitation économique a évaluer au mieux le risque pour les acheteurs (le coût de leurs primes en dépend), incitation économique à prendre en compte le coût « plus le coût de l’assurance » dans la commercialisation pour les éditeurs (leur succès en dépend).


Enfin, ce régime encouragerait naturellement la généralisation de dispositifs de réduction de risques (pare-feux, anti-virus, anti-spam, etc.). Les éditeurs auraient une incitation réelle à employer des méthodologies de développement et de test plus fiables, et le secteur commercial à normaliser les processus de protection, de détection et de réponse. Cette généralisation entraînerait la standardisation des contrats d’assurance « sécurité » et la diminution globale des coûts pour tous.