Nées avec le « bug de l’an 2000 » – l’une des peurs les plus fantasmées des systèmes d’information, les Assises de Monaco ont fêté leur dixième anniversaire. La sécurité des SI, qui était un sujet de spécialiste, est devenue une extension naturelle des DSI, un réflexe. Dix ans qui ont vu, témoignent les participants, la naissance du « software lifecycle » qui, espère-t-on, fera progressivement disparaître les « bugs de naissance », la montée d’une « industrie » des malwares et la disparition du « virus d’amateur », la presque dématérialisation des serveurs dédiés (avec l’arrivée des hyperviseurs et des machines virtuelles), la poussée progressive d’une informatique distante et diffusée « dans le nuage », la démultiplication des nouvelles formes de communication (mobiles, réseaux sociaux). Durant cette même période, nous avons tous été témoins de la discrète mais bien réelle militarisation de l’informatique accompagnée par les toutes premières opérations de « cyberguerre », sans oublier la très récente menace contre les infrastructures Scada qu’a représenté le rootkit Stuxnet. Durant ces dix ans, également, l’on a vu progressivement apparaître et croître de nouveaux chantiers d’Etat, avec notamment celui du DMP (dossier médical personnalisé) corolaire d’une informatisation se voulant « surprotégée » des établissements hospitaliers, celui aussi d’une police et d’une gendarmerie spécialisée, disposant de moyens d’investigation techniques modernes et adaptés. Une décennie enfin, marquée par une prise en compte progressive de la sécurité dans les textes de loi (LCEN, Lopsi, Loppsi, Hadopi…), les directives communautaires et les normalisations nécessaires (Bâle2, ISO27xx etc).
Aujourd’hui, alors qu’une crise économique qui ne veut pas dire son nom tend à restreindre les budgets informatiques en général et ceux de la sécurité en particulier (dépenses en baisse de 5 à 6% en moyenne par rapport à l’an passé), le volume des menaces, de son côté, ne fait que croître. Tout comme la cyberdélinquance, laquelle suit la croissance générale du marché informatique. En France, cette montée de la menace n’incite que 35 % des entreprises à maintenir ou augmenter leur budget sécurité cette année, contre 63 % dans le reste du monde. De plus en plus fréquemment, les contrats d’externalisation sont perçus comme une manière pratique d’effectuer des économies à court terme, particulièrement dans la tranche « petites et moyennes entreprises » -les grandes structures optant généralement pour des Cloud internes ou ne jugeant pas assez rentables cette nouvelle forme d’informatique « as a service ».
Qu’en sera-t-il dans dix ans ? Si l’on se réfère aux progrès réalisés durant cette même période, l’on se rend bien compte que cet exercice de divination est risqué. Les conférences données durant les Assises donnent quelques idées. A court terme, le Cloud et la multiplication des offres d’opérateurs dans ce domaine. Offre touchant à la fois le grand public et les entreprises… les particuliers constituant, une fois n’est pas coutume, un vecteur économique déclenchant dont profiteront à termes les industriels. Pour Michel Riguidel, professeur à l’ENST, il se pourrait bien que nous puissions assister à l’avènement d’une « ère du quantique », avec des calculateurs plus puissants, plus rapides, et des réseaux sécurisés, chiffrés avec des clefs pratiquement inviolables.
Ces 10 prochaines années pourraient aussi nous réserver des surprises moins agréables, avec une militarisation plus fréquentes des attaques sur Internet, au fur et à mesure que se constitueront les moyens de cyberdéfense et de riposte des grandes nations numérisées (USA, Chine, ex-URSS…). Un durcissement de l’usage qui, dans la vie civile, devra se traduire par un renforcement des instances de régulation et de protection de l’entreprise numérique et des gens qui y travaillent