Bonne question : "Quel avenir pour la souveraineté française en SSI ?"

Le 10 mars 2015 se tiendra à Paris la JSSI 2015 organisée par l'OSSIR. Le thème retenu pour cette année est  "Quel avenir pour la souveraineté française en SSI ?". L'appel à communications est ouvert. Voilà un sujet passionnant en plein séisme Snowden. Reflets a abordé à plusieurs reprises la thématique stupide du "cloud souverain". Penchons-nous cette fois, à l'invitation involontaire de l'OSSIR, sur le secteur de la sécurité informatique... Vous allez voir, ce n'est pas triste non plus.

Chaque pays accuse volontiers, à mots couverts ou pas, les fabricants étrangers d'insérer des backdoors dans les solutions de sécurité informatique, dans les routeurs, dans les serveurs. L'attaque contre les méchants chinois est particulièrement prisée ces temps-ci. Mais qu'en est-il de la France ? Les fournisseurs de sécurité informatique se livrent-ils à ce type d'actions ? Pour satisfaire des demandes de services de renseignement ? Difficile à dire. En revanche, il est plus simple de répondre à la question "vaut-il mieux faire appel à un prestataire labellisé made in France ?"

Soyons pragmatiques. Si l'on se place dans une optique paranoïaque face aux révélations des documents d'Edward Snowden, oui, il est préférable d'utiliser des matériels français pour échapper à la curiosité de la NSA. Mais est-ce le seul point à prendre en compte ? Et cela suffit-il ?

La réponse est malheureusement définitivement non.

Le secteur de la sécurité informatique est le plus souvent en France composé de petites et moyennes entreprises. Avec tout ce que cela implique.

Les dirigeants, parfois fondateurs de l'entreprise, prennent un peu trop à coeur la gestion de l'entreprise. Ils s'occupent de tout, y compris de ce qu'ils devraient laisser aux autres. Leur approche est le plus souvent mercantile au mauvais sens du terme. Ils privilégient les revenus plutôt que la technique. L'effort est mis sur l'aspect commercial et marketing au détriment des développeurs, souvent très mal considérés.

Les moyens d'une PME étant ce qu'ils sont, les réponses aux appels d'offres se font parfois sans tenir compte de déficiences des produits. Si l'on ne sait pas faire pour un point ou un autre, il suffit de faire plancher les développeurs dans l'urgence pour palier le manque. Or, un développeur qui doit coder dans l'urgence, ne met pas en haut de sa liste les soucis de sécurité. Paradoxal dans le secteur de la sécurité ? Pas tant que cela.

Très rapidement, ces PME ont besoin d'argent frais et les fonds d'investissement arrivent à la rescousse. Ils apportent dans leur besace des fonds, bien entendu, mais aussi des Monsieur Excel qui vont rogner les coûts, pousser à vendre tout et n'importe quoi, n'importe comment. Ils attendent un retour sur investissement.

Le produit peut alors évoluer au gré des besoins des clients sans cohérence, sans vision long terme. Résultat ? Des produits souvent pas finis, brouillons, avec des problèmes de sécurité, dont le développement est réalisé sur les fonds apportés par une vente ou une autre. Tout le monde a en mémoire le développement de l'Eagle d'Amesys ou du module d'interception "LI" de Qosmos, développés avec les recettes des marchés Libyens et Syriens. Il en va de même, mais avec des clients moins sulfureux, pour certains produits de sécurité. Un gros marché, avec des besoins spécifiques, génère de nouvelles fonctionnalités.

Magie vaudou.

Même si toutes les PME du secteur ne commercent pas avec Kadhafi ou Assad, certaines ne voient pas le mal à aller se promener du côté de Dubaï et à prendre langue avec l'Iran ou d'autres pays franchement fâchés avec le concept des Droits de l'Homme. Tant que ça rapporte...

Par ailleurs, le complexe du petit coq français face à des mastodontes américains, par exemple, peut pousser certaines entreprises de sécurité informatique à se rapprocher dangereusement de grosses sociétés étrangères (souvent américaines, donc) et à leur ouvrir en grand l'accès à leurs petits secrets de fabrication en contrepartie de ce qu'elles perçoivent comme une opportunité financière.  On retombe à ce moment précis sur la problématique du "souverain". Que vaut alors un produit de sécurité informatique installé dans les grands établissements bancaires ou dans les ministères français si le code, en partie ou en totalité est entre les mains de société connues pour avoir des liens étroits avec la NSA ? Retour à la case départ...