Art Coviello (RSA) : «je prends toujours les chiffres de la cybercriminalité avec prudence»
Art Coviello, président exécutif de RSA, est à Londres cette semaine pour l’édition européenne de RSA Conference qui s’y déroule jusqu’à ce jeudi 11 octobre. Pour LeMagIT, il revient sur les perspectives de l’analytique «Big Data» en matière de sécurité des systèmes d’information et sur la question des chiffres de la cybercriminalité. Entre autres.
Art Coviello souligne les quatre défis à relever pour améliorer la sécurité des systèmes d'information.
LeMagIT : Comme en février dernier, vous avez largement évoqué le potentiel de l’analytique «Big Data» pour la sécurité des systèmes d’information. Observez-vous des convergences entre sécurité et décisionnel ?
Art Coviello : EMC dispose de sa propre entité spécialisée dans l'analytique Big Data, Greenplum. Mais les passerelles sont limitées. Les modèles de données utilisés dans la sécurité sont très différents de ceux du décisionnel classique. Le décisionnel, c'est un peu comme un ragout : vous prenez les données, vous les malaxez, vous en retirez des choses nouvelles à chaque fois, en prenant votre temps. En sécurité, l'analytique vise surtout à produire des informations temps réel immédiatement exploitables.
Je ne dis pas qu'il n'y a pas d'analogie. Mais les différences n'en sont pas moins profondes. Surtout au niveau des modèles de données. Nous ferons des annonces majeures, autour de l'analytique pour la sécurité, début 2013, avec notamment des intégrations entre nos technologies de supervision réseau et notre SIEM - au-delà de NetWitness for Logs. Et au-dessus de cette base, nous avons des développements pour pousser les données dans Hadoop.
LeMagIT : Et en matière de compétences, chassez-vous des data scientists sur les terres du décisionnel ?
Art Coviello : Certains profils qualifiés, oui. Nous allons principalement chercher nos ressources dans les administrations publiques et dans le secteur des services financiers. Les états ont commencé à voler de la propriété intellectuelle. Nous avons donc besoin de personnes qualifiées pour l'analyse dans ce domaine. Et nous avons besoin de personnes qualifiées dans la lutte contre la fraude - qui viennent du monde bancaire.
LeMagIT : Dans votre allocution en ouverture de cette édition de RSA Conference, vous avez fait référence à un «PR Gap», un décalage entre la réalité de la cybercriminalité et la médiatisation dont elle fait l’objet. Quel regard portez-vous sur des chiffres liés à la cybercriminalité généralement issus de fournisseurs du secteur ?
Art Coviello : Il y a effectivement un problème, là. Je prends toujours les chiffres de la cybercriminalité avec beaucoup de prudence. Dites-moi que la cybercriminalité coûte tant de centaines de millions de dollars... je n'ai aucune idée de ce que cela veut dire. Mais quand une banque me dit que la fréquence des incidents de fraude est passé de 500 fois par mois à 2000 fois par mois, c'est une chose que je peux comprendre. La différence entre vous [la presse, NDLR] et moi, c'est que vous ne pouvez parler que des informations que vous obtenez. Tandis que moi, je peux choisir d'ignorer les informations que je veux, alors que j'obtiens des données complètes et que c'est en me basant sur elles que j'agis. Le problème que me posent certains chiffres, c'est qu'ils sont extrapolés à partir d'un échantillon. Et que l'on ne m'indique jamais la règle d'extrapolation. Ça, ça me pose problème.
Un jour, Gartner a dit que seulement 1 cybercriminel sur 700 se fait prendre. J'ai utilisé ce chiffre une fois. Mais j'ai réfléchi ultérieurement : "comment ont-ils fait pour retrouver les 699 autres ?" Dès lors, j'ai arrêté d'utiliser ce chiffre et j'ai commencé à ironiser dessus. Comment peuvent-ils savoir ça ?! Je ne prétends pas avoir de solution à ce décalage entre médiatisation et réalité. Mais je pense que le problème mérite d'être posé. Peut-être une agence gouvernementale pourrait-elle mettre en place un système de déclaration anonyme pour les entreprises, leur évitant l'humiliation publique, afin que le gouvernement puisse fournir des données fiables...
LeMagIT : Mais n'y a-t-il pas non plus un défaut de définition des missions des agences de sécurité IT publiques ? Dans l’approche coopérative de gestion de la menace que vous défendez, ne pourraient-elles pas se positionner en tiers de confiance ? Pour toutes les entreprises et pas uniquement les opérateurs d'infrastructures critiques...
Art Coviello : Cette équation a de nombreuses variables. En tant qu'entreprise, si je partage de l'information avec le gouvernement, sera-t-elle en sécurité ? Est-ce que je suis en train violer quelque législation sur la vie privée de mes salariés ? Ou sur la concurrence ? Trois choses doivent survenir pour avancer. Les lois doivent être adaptées à l'âge du numérique. Les entreprises doivent être sûres qu'elles ne seront pas poursuivies pour avoir partagé ainsi de l'information; et que leur confidentialité sera garantie.
Enfin, il est nécessaire d'établir une méthodologie pour partager ces informations aussi rapidement que possible. Aux US, il y a déjà le FSISac [Financial Services Information Sharing and Analysis Center, NDLR], un consortium d’organismes financiers pour le partage d'informations de sécurité. Ils ont établi une méthodologie de partage de l'information. Et le partage se fait désormais assez rapidement - pas à la vitesse de la lumière, mais déjà assez vite. Et c'est un bon début.
Mais ne serait-il pas possible de transposer cela au gouvernement qui se chargerait de partager l'information plus largement, voire avec le monde entier ? Et pourquoi pas un conseil de ce type pour l'industrie pharmaceutique ? Pour l'industrie High-Tech ? Pas un système centralisé, mais système en réseau où l'information circule assez rapidement... Je ne crois pas à une telle construction imposée par le haut, mais plutôt émergeant par la base, à la manière des réseaux sociaux. Je l'anticipe mais je ne sais pas dire quand et comment cela prendra forme.
Quant à partager des informations à partir de données produites et remontées par nos clients, après anonymisation, pourquoi pas. Mais à condition que les autres acteurs partagent également, parce que ces données et leur volume sont la clé de la qualité du fonctionnement de nos solutions.
LeMagIT : Etendu au grand public, un tel concept peut faire penser à une forme de Neighbourhood Watch, comme on le trouve dans certains quartiers aux Etats-Unis. Est-ce vers cela que nous nous orientons ?
Art Coviello : Candidement, je vous réponds non. Les consommateurs n'ont pas les outils pour produire des informations utilisables. Ils doivent être protégés par les FAI, les portails en ligne qui s'adressent à eux. Le consommateur a besoin d'organisations qui lui expliquent du mieux possible ce qu'elles font pour protéger ses données personnelles, ses transactions, etc. Mais j'ai du mal à imaginer que les consommateurs agissent à partir de données comme celles que nous collectons.
LeMagIT : Vous ne semblez pas accorder une grande confiance au consommateur, en matière de sécurité informatique. Mais il n'est qu'une facette d'une même personne et dont une autre facette est votre employé... Sa sensibilisation se ferait donc en pure perte ?
Art Coviello : La différence entre un employé et un consommateur, c'est que l'on a plus de contrôle sur les premiers que sur les seconds. On peut les former, définir des règles, etc. C'est une grosse différence. Mais... on donne des instructions à nos employés en permanence, cela n'empêche pas les bêtises de se produire. Cela doit avoir l'air horrible de dire ça. Mais j'en ai trop vu chez l'individu pour nourrir de grandes attentes. C'est un problème difficile...