Cybersécurité : ReSecurity jette une ombre sur la valeur des récompenses affichées par les éditeurs
L’industrie de la sécurité informatique aime les distinctions à afficher en première page d’un site Web. Si les services marketing américains semblent y croire, la valeur réelle des « awards » apparaît plus que questionnable. L’inconnu ReSecurity jette une ombre déplaisante sur le domaine.
Il y a deux semaines, Citrix se déclarait victime d’une intrusion dans son système d’information. Aussitôt, une entreprise largement inconnue assurait disposer de détails sur l’affaire : ReSecurity. Mais la suspicion s’est imposée, notamment du fait des importants efforts fournis par Andrew (Andrei) Komarov, ancien d’InfoArmor et du groupe IB, pour cacher son rôle au sein de cette entreprise.
Aujourd’hui, l’entreprise assure que son président est un certain Charles ‘Chuck’ Yoo. Chez Forbes, Kate O’Flaherty fait état d’échanges avec lui, par écrit et téléphone. Mais pas de quoi confirmer de manière définitive l’identité de son interlocuteur. Nous avons pu discuter avec une personne qui assure avoir pu dialoguer de vive voix au sujet de ReSecurity avec Andrew Komarov. Mais cette source nous a précisé n’avoir jamais eu d’échange autre qu’écrit avec Charles Yoo.
Des distinctions comme gages de crédibilité
Selon nos informations, ReSecurity devait utiliser RSA Conference comme tremplin pour son lancement. Ce qui n’a pas eu lieu. La mystérieuse jeune pousse était sponsor d’un événement fermé à la presse, la semaine dernière, à Londres, et consacré au renseignement sur les menaces, le CTI Symposium du First. Selon nos informations, il ne fallait pas s’attendre à y voir qui que ce soit de ReSecurity – et nous n’avons pas eu de témoignages faisant état d’une présence de l’entreprise. En revanche, une équipe devrait être présente à la conférence annuelle du First, en juin, à Édimbourg. Peut-être, d’ailleurs, avec un porte-parole européen qui pourrait éviter à Andrew Komarov et au mystérieux Charles Yoo une apparition publique : une source nous a confié avoir été approchée à l’automne dernier par un chasseur de têtes, pour le compte de la jeune pousse.
En attendant, ReSecurity revendique des Golden Bridge Awards cuvée 2017, des Cyber Defense Magazine InfoSec Awards millésime 2018, et même un Cyber Security Excellence Award édition 2019. De quoi inspirer confiance ? Pas tant que cela, à compter que l’on gratte un peu le vernis.
Il y a d’abord une question de chronologie. Certes, l’entreprise a été légalement créée en juin 2015, avec une immatriculation dans l’état américain du Delaware. Et quelques marques pour d’éventuels produits ont été déposées – par une autre entité, Manx Capital Group, Inc. également enregistrée dans l’état du Delaware, le même jour que ReSecurity International, Inc. Mais à ce jour, l’entreprise ne montre en fait rien, aucun produit. De quoi laisser perplexe et interroger sur quelle base les distinctions ont bien pu être décernées. Et ce n’est pas tout.
Emis par des organismes au renom variable
Le site Web des Golden Bridge Awards ne laisse guère place à la moindre confiance. La page « juges » est vide ; de même que la page des sponsors, et d’autres encore. Certes, il est bien possible de soumettre une candidature, de consulter la liste des heureux élus, ou encore d’aller à la boutique en ligne acheter des trophées. Les tarifs de participation sont également affichés et se chiffrent en quelques centaines de dollars.
Les Cyber Security Excellence Awards ne prêtent guère plus à confiance. Il y a là un mécanisme de vote du public. Mais son poids dans la décision finale est bien maigre : les finalistes sont sélectionnés sur la base des votes, mais avant tout sur « la force de la nomination (leadership manifesté, excellence et résultats en cybersécurité, selon la catégorie spécifique et les informations fournies) ». Pour les gagnants, le vote du public n’est pris en compte que pour départager deux finalistes.
Les distinctions du Cyber Defense Magazine (CDM) apparaissent-elles plus sérieuses ? Comme pour les autres, afin de participer, il faut d’abord payer. Et l’on imagine mal des services marketing alléger les finances de leur entreprise de quelques centaines de dollars, voire plus, pour simplement jouer à la loterie sans la moindre garantie de retour sur investissement.
Pour sa cuvée 2019, le magazine proposait des packages Gold, Silver et Bronze. Pour le premier, le tarif présenté comme nominal est de 16 250 $ - contre 2250 $ apparemment demandés en définitive. Pour ce prix-là, à quoi a-t-on droit ? Tout d’abord, à trois candidatures dans des catégories différentes, mais également à l’affichage de bandeaux publicitaires, et à un « article électronique d’une à trois pages publié sur notre page d’accueil », pendant un maximum de 5 jours ouvrés, en rotation avec d’autres. A cela s’ajoutent des publications sur les réseaux sociaux et des droits de propriété intellectuelle sur une interview diffusée sur Cyber Defense TV. La mécanique se veut commercialement efficace : pour acheter un package, il suffit de cliquer sur le bouton correspondant pour être redirigé immédiatement sur Paypal.
Et selon des processus peu transparents
Dans une note d’information relative à la fournée 2018 de ses récompenses, CDM revendiquait toutefois que ses « juges vont décider si vous serez finaliste voire potentiellement vainqueur dans votre catégorie », avec cinq distinctions possibles par catégorie. Selon cette note, « les juges sont CISSP, FMDHS, CEH, des professionnels de la sécurité certifiés ». Ils sont censés s’exprimer sur la base d’un examen indépendant « des contenus de l’entreprise [candidate] sur le site web de chaque candidature » et notamment, « mais pas uniquement », les « fiches techniques, livres blancs, littérature produits, et autres variables de marché ».
Voilà qui, à défaut de test produit, peut paraître déjà plus sérieux. Même si l’on peut regretter que la liste des juges ne soit pas présentée. Mais la note précise toutefois toutefois que CDM « a une philosophie flexible pour trouver des acteurs plus innovants avec des dirigeants remarquables, des technologies nouvelles et uniques, et autres que ceux qui ont le plus de clients ou d’argent en banque ». Et ce n’est pas tout. Le service marketing de la publication précise, à l’intention des candidats que « si vous pensez déjà que votre produit mérite l’une des récompenses dans votre catégorie, notez-le simplement dans votre communication avec notre équipe ». Après tout, on n’est jamais aussi bien servi que par soi-même.
Les distinctions de CDM apparaissent toutefois particulièrement prisées. De nombreux acteurs très sérieux du monde de la cybersécurité les exhibent fièrement sur leur site Web, à l’instar par exemple de Carbon Black, Cofense, Cybereason, Darktrace, Fortanix, Lastline, LogRhythm, Securonix, Threat Quotient, Vectra, ou encore Zimperium et des français comme Tehtris, iTrust et Vade Secure.
De quoi générer un certain embarras
Nous avons interrogé plusieurs titulaires de ces distinctions. Un premier nous a paru embarrassé par nos questions, nous éconduisant poliment, tandis qu’un second a choisi de les ignorer. Après échange avec son service marketing, un troisième assure cependant y avoir trouvé un certain sérieux, estimant que les récompenses de CDM ne sont pas « du type "école des Fans" », même si « beaucoup le sont ». Et d’expliquer que son entreprise a postulé pour « plusieurs use cases », mais n’a pas été retenue pour tous. Alors pour lui, « il y a eu un réel processus de sélection dont je n’ai pas le détail ».
A écouter un quatrième, on comprend que son service marketing a surtout fait confiance à des labels bien établis et apparemment peu remis en cause : « on n’aurait pas dépensé des sous pour quelque chose qui ne vaut rien », explique-t-on là en substance. Mais nos échanges ont semé le doute : « les noms des juges ne sont publiés nulle part » et le service marketing n’a pas eu accès à la moindre liste permettant de jauger de la qualité du panel chargé d’examiner les candidatures.
Un dernier distingué porte un regard quelque peu différent. Pour lui, « le réseau », le « relationnel », joue beaucoup : « est-ce qu’il y a une entière neutralité ? Non ». De manière plus globale, « les marques cherchent ces distinctions parce que c’est une forme de plus-value ; ça fait joli ». Mais « on sait parfaitement qu’elles ne sont pas forcément liées à la valeur du produit. Je le sais depuis que je suis dans le marketing […] Si on met le budget sur la table ; on obtient la distinction ».