Spécial sécurité : vive la crise
Régulièrement, nous ouvrons nos colonnes à CNIS Mag, magazine spécialisé dans la sécurité des systèmes d'information. Aujourd'hui, nos confrères s'intéressent aux joies de la crise... pour le segment de la sécurité informatique.
Sommaire
- 1 - McAfee : vive la crise, vive l’externalisation, vecteurs d’insécurité
- 2 - Salaires informatiques en baisse, la sécurité en hausse
- 3 - Insomni’Hack 2009 : White hats et nuit blanche
McAfee : vive la crise, vive l’externalisation, vecteurs d’insécurité
Cynisme ou lucidité ? McAfee –qui ne cesse de publier rapport sur rapport en ce début d’année- sort une étude essentiellement consacrée aux risques liés à l’éparpillement en général et à l’externalisation en particulier du traitement des données. Un travail commandé à l’Université de Purdue et au Center for Education and Research in Information Assurance and Security (CERIAS).
Le Unsecured Economy Report (exceptionnellement disponible en Français dit en substance que les données « expédiées à l’étranger », sous quelque prétexte ou forme que ce soit, sont de plus en plus en danger. Et lorsque les analystes de l’Avert parlent de données expatriées, ils désignent aussi bien les informations expédiées dans des centres de sous-traitance que celles communiquées à des partenaires via un intranet, ou à des clients pour des raisons diverses. En visant une diminution drastique des coûts de fonctionnement, les grands patrons ont probablement tressé la corde qui les pendra.
L’étude porte sur un échantillonnage de 800 responsables TIC, lesquels estiment une valeur de 12 millions de dollars en données « sensibles » expatriées. Ces mêmes entreprises auraient déclaré l’an passé près de 4,8 millions de dollars de pertes de propriété intellectuelle. En extrapolant ces chiffres, le Ceria estime que le montant global des pertes de propriété intellectuelle a frisé les mille milliards de dollars durant l’année écoulée.
Un bilan qui peut paraître alarmiste, mais que peu de gens perçoivent ou redoutent. Les avantages masquent parfois bien des aspects négatifs : les données sont « dans le nuage », accessibles toujours, partout, immédiatement, d’un bout à l’autre de la chaîne, « pour nous et pour nos clients et fournisseurs » se félicite un responsable de « supply chain management ».
Aux patrons informatiques du monde occidental – US et Britannique - les enquêteurs du Ceria ont ajouté des DSI du Japon, de Chine, d’Inde, du Brésil et du Moyen Orient. Et c’est avec surprise qu’ils ont constaté que les pays en voie de développement technologique, notamment la Chine, l’Inde, le Brésil, déclaraient des dépenses en infrastructures de sécurité considérablement supérieures aux budgets généralement consacrés en occident. En Inde, l’enveloppe « sécu » peut atteindre 35 % du budget TIC, à comparer aux quelques 4% dépensés en moyenne en Grande Bretagne. Un écart qui s’explique notamment par le fait que ce sont ces mêmes pays qui jouent le rôle de sous-traitant. La majorité des DSI de Chine ou d’Inde estiment que leurs investissements en sécurité est précisément celui qui leur permettra de décrocher des contrats, de convaincre et d’attirer des clients. En Europe et aux Etats-Unis, en revanche, la sécurité est une « obligation » dictée par les impératifs de conformité aux normes et aux lois.
La situation risque fort de s’aggraver dans les mois à venir, nous promet le rapport McAfee. Car avec la situation économique globale, l’on est pratiquement certains que les vols et les destructions de données vont se multiplier. Soit par esprit de vengeance, après une brimade ou un licenciement, soit par « précaution »… un vol de fichier peut servir de véritable parachute doré pour un employé pouvant partir « à la concurrence ». Un vol qui n’est pas nécessairement commis par un employé, sous-traitants, consultants, fournisseurs, revendeurs… de plus en plus de personnes peuvent accéder à toute ou partie des données d’une entreprise.
Des vols de données vis-à-vis desquels les autorités des pays en voie de développement « ferment les yeux » avec d’autant plus de complicité que cette récupération d’information « évaporée » est un vecteur non négligeable de développement. Les espions Chinois ? Les fondamentalistes Pakistanais, les truands de la mafia Russe ? Tout le monde connaît. Pourtant, 26 % des responsables interrogés admettent stocker leurs données en Chine, 27% au Pakistan, 19 % dans les pays de l’ex-URSS.
Après la lecture attentive de ces 28 pages de rapport, plus personne ne signera un contrat de sous-traitance de la même façon…
Salaires informatiques en baisse, la sécurité en hausse
Les « certifiés » sécurité se portent bien, et feraient partie des rares professionnels à voir leurs salaires progresser. Et ce malgré une forte dégringolade de la moyenne des salaires des professions de l’informatique aux Etats-Unis. C’est ce qu’il ressort d’une analyse de Foote Partners, dont les chiffres principaux sont publiés dans un communiqué de presse très détaillé. Remarque liminaire importante, d’autres qualifications, notamment dans les mondes SAP, Oracle et réseaux sans fil, bénéficient également d’une embellie, alors que des diplômes de compétence dans des domaines de pure « infrastructure » -Exchange, MySQL, Linux, gestion des payes, Websphere, Domino…- plongent parfois de 25%. Tout semble confirmer la volonté des entreprises d’Outre Atlantique de concentrer les investissements humains dans les secteurs permettant d’atténuer les effets de la crise économique actuelle : efforts d’optimisation de gestion, protection et préservation de la propriété intellectuelle des sociétés, sécurisation des données.
Au hit parade des qualifications les plus recherchées, l’on trouve :
Les GIAC « SE », les MSCA « Messagerie », les SAS Certified Advanced programmers, les CIA Citrix, les IT-CA, les CSP Cisco, les ISSAP, les CISSM et les CISSP.
Mais le mot « sécurité » n’est pas un sésame systématique. Sans formation qualifiante, les employés du secteur perdent en moyenne 0,5% de leur salaire ou voient leurs émoluments stagner. Les « diplômés », en revanche, sont parfois recherchés.
Et plus particulièrement les GIAC Security Essentials Certification (GSEC, ou Security Experts), dont les salaires ont subi une inflation 25% au cours du dernier semestre et de 36% sur l’année &e acute;coulée. Les Certified Ethical Hacker (CEH) s’achètent, sur le dernier trimestre, 40 % plus cher qu’au Q3 2008. Les Certified Information Security Manager (CISM) sont à +7% (+27% l’an). Des 42 certifications TIC les plus payées, 18 (43%) concernaient le milieu de la sécurité.
Les employés ne possédant pas de formations certifiantes mais travaillant dans la sécurité ont vu leur salaire stagner au cours du dernier trimestre 2008, après avoir toutefois connu une nette réévaluation tout au long de l’année : +6,7% sur le dernier semestre 2008, +14,3% sur les 12 derniers mois.
Insomni’Hack 2009 : White hats et nuit blanche
Blanche comme le sommet du Salève en cette saison : Insomni’hack, concours de sécurité informatique organisé par la société Genevois SCRT. Cette manifestation se déroulera le vendredi 6 février prochain, dès 18 heure et jusqu’à 1 heure du matin, dans les locaux de l’école d’ingénieurs HES SO, ruelle de la Prairie 4, CH-1202 Genève (perpendiculaire de la Rue Voltaire).
Renseignements et inscription en expédiant un courriel à l’adresse [email protected], et en précisant dans le sujet « insomnihack09 ».