Qualys

Security CommunityLa communauté des experts sécuritéen savoir plus

SecurityVibesQualys Community

Left content

Assises 2013 : avis de balkanisation sur la SSI

auteur de l'article Jerome Saiz , dans la rubrique Marché

Commentaires Commentaires fermés sur Assises 2013 : avis de balkanisation sur la SSI

ck2

C’est le petit jeu favori des commentateurs à l’occasion du rendez-vous annuel de la SSI : trouver LA tendance, le fil rouge qui serpente entre les stands et permet d’éclairer le marché. C’est un peu comme si l’événement monégasque était le prolongement de la Fashion Week de Paris qui cette année, par un hasard du calendrier, s’achevait justement le jour du démarrage des Assises.

Cette fois-ci pourtant, point de fil rouge. Autant lors de l’édition précédente la domination du BYOD était évidente, autant cette fois-ci il était difficile de trouver une telle cohérence dans les offres et les conférences.

SCADA pas fort

Bien entendu, l’on pourrait parler des systèmes de contrôle industriels. Après tout, c’était le sujet de l’intervention d’ouverture par Patrick Pailloux, sur laquelle nos confrères sont déjà abondemment revenus. Le sujet est effectivement d’actualité (même si les inquiétudes en la matière ne datent pas d’hier !). Mais contrairement à l’année dernière où l’introduction du patron de l’ANSSI sur le BYOD était confirmée par un foisonnement d’offres commerciales et de conférences, le thème des SCADA était somme toute plutôt discret une fois le discours d’ouverture conclu. Peu de tables rondes y étaient consacrées (si l’on excepte celle modérée par votre serviteur, avec les témoignages de Vallourec, Groupe Bouygues, l’ANSSI et Schneider Electric), et même les offres commerciales se faisaient discrètes, à l’exception notable de l’annonce du partenariat entre Thales et Schneider Electric et bien sûr la présence de sociétés d’audit capables d’intervenir aussi sur des SCADA (l’on notera ici en particulier l’expertise de Beijaflore).

Pas d’info, c’est aussi de l’info

Ainsi donc, si la sécurité des systèmes de contrôle industriels semblait bien le thème de cette treizième édition des Assises de la Sécurité, celui-ci restait peu visible chez les exposants et il était difficile d’identifier une vraie tendance de fond côté marché. Mais c’est finalement peut-être ça, la tendance de cette année : l’absence d’une tendance.

A explorer les allées de stands, le sentiment d’un foisonnement d’offres hétéroclites était évident. Après la cohérence du (presque) tout-BYOD de l’an dernier, l’on pourrait être tenté d’y voir une balkanisation de la SSI.

Celle-ci s’explique probablement en partie par le cycle habituel des marchés. Après de belles promesses, quelques emballements et des besoins parfois montés en épingle (BYOD, Cloud, DLP, etc…) suivis de l’apparition inévitable d’offres adaptées, le marché subit souvent un plateau. Les analystes de Gartner ont un autre nom pour ça, mais ici on l’appellera le « plateau de la digestion » . Il faut en effet du temps pour que la vase retombe, que le marché digère ces tendances et que les entreprises déploient les solutions qu’elles viennent d’acquérir (ou acceptent l’idée qu’elles n’en feront rien…). Pendant cette période, donc, peu de tendances fortes émergent et tout le monde semble reprendre son souffle en attendant la prochaine frénésie (Le Big Data en UTM ? La cyber-défense pour tous ? Les paris sont ouverts…)

Un autre facteur, on l’a vu, est celui propre à la sécurité des SCADA : ce marché ne concerne pas tout le monde et les éditeurs majeurs – bien que parfaitement au courant de la tendance – ont peut être sous-estimé l’effet d’annonce. L’année prochaine verra alors peut-être beaucoup plus d’offres consacrées à la sécurité des systèmes de contrôle industriels. A moins qu’ils n’en réservent la primeur au FIC de Lille en janvier prochain, dont l’orientation institutionnelle semble plus adaptée à ce type de solutions.

Ouvrir, oui mais…

Mais cette balkanisation des offres peut aussi s’expliquer par l’impératif d’ouverture du Système d’Information et la difficulté à appréhender la question. « On nous dit depuis des années qu’il faut ouvrir le SI mais l’on se rend compte maintenant que c’est beaucoup plus complexe qu’anticipé » , nous faisait observer un RSSI présent.

Et en effet, a bien y regarder beaucoup des offres présentées, ainsi que de nombreux ateliers, traitaient d’une manière ou d’une autre de la problématique de l’ouverture contrôlée (raisonnée ?) du SI. C’était par exemple le cas de Cisco ( « Vers un nouveau modèle de sécurité ? » ) ou d’OpenMinded (retour d’expérience d’Air Liquide sur l’authentification fédérée), en passant par Evidian ( « Comment gérer les accès aux applications Web externalisées » ) ou encore Titus ( « Identifier et protéger les informations critiques et prévenir les fuites de données » ).

Et bien entendu, qui dit ouverture maîtrisée du SI dit offres multi-facette, allant du contrôle de l’information (nous reviendrons d’ailleurs plus longuement sur docTrackr, lauréat du Prix de l’Innovation 2013) à celui de l’identité ou des accès distants…

Bref, sous la balkanisation apparente de cette treizième édition des Assises de la Sécurité l’on peut encore trouver un socle commun : l’ouverture des SI concerne tout le monde et la question apparaît très loin d’être réglée. Mais finalement, en l’absence d’une tendance forte – la nature ayant horreur du vide – il n’est pas très étonnant que ce soit un problème de fond qui prenne la relève.

Pour le reste, le marché semble bien en friche de tendances… jusqu’à l’année prochaine !


Vous avez aimé cet article?

Cliquez sur le bouton J'AIME ou partagez le avec vos amis!

Notez L'article

Participez ou lancez la discussion!

Les commentaires sont fermés.

Outils gratuits

SSL Labs

SSL Labs

Testez votre implémentation de SSL.

Freescan

FreeScan

Scannez votre réseau pour détecter les vulnérabilités et les malwares.

BrowserCheck

BrowserCheck Business Edition

Evaluez la sécurité des navigateurs au sein de votre entreprise.

Malware Detection

Malware Detection

Scannez vos sites web pour détecter les malwares et les menaces web

Archives

Ce site est une archive des messages à SecurityVibes de Septembre 2000 à Juillet 2014. S'il vous plaît visitez le Qualys Community pour les dernières nouvelles.