Spécial sécurité : la sécurité, c'est aussi un business... qui va bien
Régulièrement, nous ouvrons nos colonnes à CNIS Mag, magazine spécialisé dans la sécurité des systèmes d'information. Aujourd'hui, nos confrères dressent un bilan des résultats de l'industrie de la sécurité, un business florissant en 2008 et qui devrait surnager assez aisément en 2009. Avant de s'inquiéter des conséquences des restrictions budgétaires chez les donneurs d'ordre sur les plans de reprise d'activité.
1 - Le business de la sécurité dans une forme éblouissante
2 - PRA : plus de crash, moins de cash
3 - Adresses IP : tuez les tous, Dieu reconnaîtra les siens
4 - Virtual Box : avec USB et OpenGL
1) Le business de la sécurité dans une forme éblouissante
Alors que les restrictions budgétaires vont bon train dans les principales entreprises œuvrant sur le secteur de la sécurité des SI, le Gartner publie une étude affirmant que l’année 2008 a été plus que prospère pour les éditeurs de logiciels de sécurité. Les ventes mondiales auraient atteint 13,5 milliards de dollars, en progression de 18,6 % par rapport à l’année 2007. Une demande poussée notamment par l’envolée des appliances de protection email et Web.
Parmi les principaux gagnants, c’est Symantec qui arrive en tête. L'éditeur détiendrait « encore » 22 % du gâteau mondial, et malgré une légère diminution de son emprise, puisque le groupe pesait 24 % du marché deux ans auparavant.
Cette légère baisse de forme pourrait être attribuée à une brusque montée en puissance de McAfee, dont la progression en termes de ventes aurait frisé les 20,5 % en 2008. Cette « bonne santé » affichée masquerait, si l’on en croit des rumeurs insistantes, des opérations d’allègement d’effectifs importantes dans les équipes marketing et l’on parlerait même d’un éventuel rachat de l’entreprise par un Dell ou un HP-Compaq.
Si le secteur des appliances se porte comme un charme, certaines de ces passerelles se comportent encore mieux, notamment sur les créneaux des SIEM (Security Information and Event Management, +50 %), du filtrage de messagerie (+37,7 %) et de la protection Web (29,9 %). Les segments les moins profitables ont été, contre toute attente, ceux de la protection du « endpoint » (postes de travail, appareils mobiles etc) et de la gestion des accès Web. Ce furent pourtant ceux qui firent le plus couler d’encre du côté des attachées de presse et des journalistes de la presse spécialisée.
Sous un angle géographique, sans grande surprise, ce sont les pays de l’Europe de l’Est qui ont été les investisseurs les plus actifs. Croissance principalement provoquée par la nécessité d’acquérir et d’assembler des infrastructures de défense qui n’existaient pas jusqu’à présent. Ces pays bénéficient également d’un euro fort par rapport au dollar. Les parts des marchés intérieurs de l’Amérique du Nord et de l’Europe de l’Ouest demeurent toutefois prédominantes ; ils pèsent respectivement 46,4 et 29,9 % du marché mondial.
L’année en cours, prévoit le Gartner, sera bien plus morose, et la croissance du secteur devrait plafonner aux environs de 9 %. Une progression très nettement supérieure à celle que connaîtront les autres secteurs d’activité. A titre de comparaison, l’actuel taux de croissance de la Chine (au niveau national) est estimé à près de 7 %, et passe pour l’un des plus rapides de la planète.
2) PRA : plus de crash, moins de cash
Bien que le nombre d’opérations de récupération soit en forte augmentation, les budgets attribués au poste « récupération après accident » connaîtront une croissance nulle dans les années à venir, nous apprend une étude de Symantec intitulée « Disaster Recovery Research 2009 Results: North America ». Ces statistiques Nord Américaines ont hélas peu de chances d’être à l’opposé de ce que l’on pourrait mesurer en Europe, alors que les principales lignes de crédits attribuées au secteur des TIC sont également soit gelées, soit en diminution sensible.
L’étude de Symantec, qui portait sur les avis d’un peu plus de 1 500 responsables sécurité d’entreprises US de plus de 5 000 employés, fait également apparaître qu’au cours des tests et simulation de PRA, 1 opération sur 4 se soldait par un échec… du soit à une perte des données sauvegardées, soit à une non reprise pure et simple du SI.. Cette situation va en s’empirant, puisque près de 35 % des personnes interrogées avouent n’effectuer qu’un seul test par an de leur PRA, voire moins. Les raisons invoquées sont principalement liées à des restrictions budgétaires qui impactent trop lourdement le travail des employés ou les services auprès des clients.
L’efficacité des procédures, en revanche, a fait un pas de géant. Il faut en moyenne moins de 3 heures à une entreprise pour reconstituer les fonctions vitales d’un SI après sinistre, et 4 heures pour qu’il redevienne opérationnel. En 2008, la remise en fonctionnement des opérations de base nécessitait près de 12 heures dans la majorité des cas, et près d’un tiers des sondés pensaient que cela leur prendrait près d’un jour entier.
Depuis, bien des choses ont changé, dans les SI modernes. Et notamment l’arrivée de la virtualisation, qui remet en cause pas mal de pré-requis en matière de plan de reprise. 64 % des personnes interrogées dans le monde entier sont convaincues que l’avènement des VM nécessite sinon une refonte, du moins une modernisation de leurs équipements et procédures de PRA…. Mais pour l’instant, rien n’est fait, et la virtualisation n’est pas testée dans les simulations actuelles. Les raisons de cette inertie ? Toujours les mêmes : manque de personnel, de crédits, d’espace de stockage, excuses citées dans plus de la moitié des cas. 53 % même invoquent l’absence d’outils de gestion de stockage. Encore plus révélateur, il semblerait que 33 % des sondés n’effectuent aucune sauvegarde des machines virtuelles.
3) Adresses IP : tuez les tous, Dieu reconnaîtra les siens
Cadeau empoisonné que les adresses IP réattribuées à divers hébergeurs après la fermeture du très mafieux « Russian Business Network » et de McColo. Pierre Caron du Cert Lexsi nous apprend qu’une adresse située dans ces « blocs IP » frappés d’infamie a très peu de chances de retrouver sa blancheur virginale, même après avoir changé de main. Les listes de bannissement sont promptes à être dressées, mais la procédure consistant à effacer le casier judiciaire d’une IP peut prendre des années. Avec, pour première conséquence, un anathème systématique jeté sur toute personne ayant la malchance d’hériter de l’adresse d’un ancien seigneur du spam ou d’un roi du malware. Comme le champ d’adresses IP v4 a tendance à singulièrement se restreindre, et que le passage à v6 semble encore, en 2010, aussi irréaliste qu’un scénario de science-fiction signé Van Vogt, les victimes de la « malédiction McColo » ou de la « vengeance RBN » ne sont pas prêts de disparaître. La faute à la lenteur de réaction de certains ISP, la faute surtout à de nombreux éditeurs de logiciels de sécurité dont les fichiers de paramétrage par défaut contiennent encore des listes noires ayant largement dépassé la date fraîcheur.
L’ennui, c’est que cette mésaventure que l’on pensait exceptionnelle aurait plutôt tendance à vouloir se répéter. Car en se professionnalisant, en s’internationalisant, l’industrie du malware et du spam – et par là même des hosteurs et des registrars marrons - a fait s’intensifier les contre-mesures de la FTC ou de l’Icann. Le dernier en date, trucidé par la FTC, avait pour nom 3FN. L’on ne ressent aujourd’hui qu’un certain soulagement à la seule vue de la baisse du volume de spam qu’a occasionné sa fermeture, ainsi qu’en témoigne la toute dernière analyse de Google Enterprise sur le volume mondial du spam. Qui sera le prochain ? Et surtout qui acceptera de recycler ces adresses aussi nauséabondes que des « junk bonds » glissés dans un paquet de subprimes ?
4) Virtual Box : avec USB et OpenGL
Virtual Box, la VM « poste client » de Sun/IBM, vient de voir publier sa troisième édition. Cette version se distingue notamment par la gestion des ports USB rapides, le support du client Terminal Server (RDP), la prise en compte d’OpenGL 2.0 pour Linux, Windows et bien sûr Solaris, et de Direct3D 8 et 9 sous Windows. Les administrateurs de fermes de clients déportés (précisément via RDP par exemple) doivent savoir que Virtual Box 3.0 est désormais compatible avec les mécanismes de gestion SMP comptant jusqu’à 32 processeurs par machine d’hébergement. Comme toujours, ce programme est fourni gratuitement aux utilisateurs hors entreprise. Cette VM existe en version pour hôte sous Linux, Windows, Solaris et Macintosh sous OS/X