Il ne fait aucun doute que le phénomène du financement participatif (crowdfunding) a fait radicalement bouger les lignes dans l’industrie du jeu vidéo. Le crowdfunding a stimulé le marché et la création vidéoludique comme aucune autre initiative ne pouvait espérer le faire, tout en bousculant la main-mise des grands éditeurs qui verrouillaient (et parfois sclérosaient) le marché.

Les succès sont nombreux : le papa du genre, Markus Persson, a pu quitter son emploi peu de temps après avoir fait appel au financement communautaire pour développer Minecraft, le jeu auquel il rêvait de se consacrer à plein temps. Deux ans plus tard il avait amassé 23 millions d’euros et son jeu est devenu une référence mondiale. Plus récemment le jeu Star Citizen, développé par Chris Roberts, une figure mythique du jeu vidéo dans les années 90, a amassé près de 38 millions de dollars, toujours grâce au crowdfunding. A l’heure actuelle Star Citizen engrange encore en moyenne entre 3 et 7 millions de dollars supplémentaires chaque mois, toujours en financement participatif.

De tels budgets sont bien entendu exceptionnels, et pour un projet financé de la sorte l’on trouve surtout des milliers d’espoirs déçus. Mais depuis l’avénement des plateformes de financement participatif telles Kickstarter ou KissKissBankBank, la création indépendante de jeux vidéos pétille de titres, de concepts et d’idées qui sans elles n’auraient jamais franchis les portes des grands studios traditionnels. Et ce phénomène est loin d’être réservé au jeu vidéo car il touche également, bien que dans une moindre mesure, des domaines aussi variés que la création artistique, la production cinématographique ou même la création de pizzerias !

Alors évidemment face à un tel succès on ne peut s’empêcher d’imaginer l’impact que pourrait avoir une telle approche appliquée au marché de la SSI… Car finalement des budgets de 20 à 38 millions de dollars comme ceux de Minecraft ou Star Citizen suffiraient largement pour financer de la recherche de pointe hors des sentiers battus en matière, par exemple, d’Intelligence Artificielle appliquée à l’audit et à la surveillance de systèmes, non ? Et tout comme pour l’industrie du jeu vidéo, le crowdfunding pourrait offrir à des esprits brillants et non-conventionnels l’opportunité de développer leurs idées sans être à la merci des circuits de financements habituels.

En fait, cela a déjà commencé. Une rapide exploration du site de financement Kickstarter permet de découvrir une multitude de projets de sécurité. Certains ont même largement dépassé les attentes de leurs créateurs en étant financés plusieurs fois le montant initial demandé. C’est par exemple le cas de HackRF, un boîtier USB capable de transmettre et de recevoir n’importe quel signal radio sur une plage de fréquences particulièrement étendue (80 000 dollars demandés pour 600 000 reçus), de LockedUSB, un chargeur électrique USB destiné à éviter les infections via des chargeurs piégés (9 750$ demandés et 15 000 reçus), ou encore de la Password Reset Key, une petite clé USB capable de ré-initialiser le mot de passe de n’importe quelle machine Windows à laquelle elle se connecte (1000 dollars demandés pour 34 000 reçus).

Mais au delà de simples produits, il y a également quelques utilisations innovantes du financement participatif en matière de SSI : une célèbre conférence de sécurité se finance (à bas coût !) de la sorte afin de garantir son indépendance vis-à-vis des éditeurs commerciaux, un outil de chiffrement open-source s’offre un coûteux audit de code source afin de démontrer sa fiabilité et son intégrité (60 000 dollars financés à ce jour) et plus près de chez nous, le chapitre français de ISSA a utilisé ce mode de financement pour créer le premier clip de sensibilisation à la sécurité de l’information destiné au grand public. Et donc financé comme il se doit par la communauté ! (dont votre serviteur, d’ailleurs).

Pour autant nous attendons encore la « Killer App », le grand projet SSI d’entreprise financé par la communauté. Et il se peut que nous l’attendions longtemps. Car les obstacles à une disruption du marché des solutions SSI d’entreprise par le crowdfunding sont nombreux.

Tout d’abord, dans le terme « Crowdfunding », il y a le mot « Crowd ». Il doit y avoir foule pour que le projet soit financé. Or autant le jeu vidéo est un marché B2C, autant celui qui nous intéresse ici est par définition un marché B2B. Les projets de sécurité mentionnés plus haut sont tous (à l’exception de la conférence de sécurité) des outils peu onéreux destinés aux particuliers, ce que l’on peut apparenter à un modèle B2C.

Développer une solution d’entreprise serait en revanche une autre affaire… Il s’agirait en effet de lever plusieurs centaines de milliers d’euros pour financer un développement s’étendant sur une période de plusieurs années, et livrer en fin de compte un produit inutilisable par le quidam (du SIEM grand public ? La gestion des logs pour tous ?). Difficile de faire rêver dans ces conditions !

Si l’on observe ce qui se passe sur le marché du jeu vidéo, l’on s’aperçoit que seuls deux types de projets sont financés à des montants similaires à ceux qui seraient nécessaires pour développer une vraie solution SSI d’entreprise :

• Les idées de génie présentées par des inconnus : ce sont alors des concepts réellement originaux ou disruptifs pour lesquels il y a avant tout un prototype abouti à montrer. C’est par exemple le cas de Ouya, une console de jeu qui a reçu plus de 8 millions de dollars de financement pour moins d’un million demandé
• Les grands noms de l’industrie, qu’il s’agisse de franchises historiques ou de légendes personnelles du jeu vidéo (à l’image de David Braben, qui a levé presque deux millions d’euros sur Kickstarter afin de mettre en chantier la suite de Elite, un jeu mythique qu’il avait co-développé en 1984)

Si l’on tente d’appliquer ces profils à la SSI, qu’est-ce qui pourrait fonctionner ? Pas grand chose hélas : nous n’avons pas encore vu de concept vraiment disruptif, et il y a peu de grands noms capables de mobiliser sur leur propre légende personnelle. Même si John McAfee, qui a annoncé vouloir créer des boîtiers de communication sécurisée pour moins de 100$, se décidait à les financer via Kickstarter, cela resterait du matériel grand public et non une solution d’entreprise.

La réalité c’est qu’il n’y a pas de légende de la SSI capable d’enflammer le marché sur la base d’une idée B2B, et les idées de génie accompagnées d’un prototype fonctionnel sont rares.

Enfin, il y a la notion de risque : si les investisseurs traditionnels sont relativement frileux face à des projets (trop) innovants, c’est aussi parce qu’ils en analysent les risques de manière plus conservatrice que les particuliers. Ces derniers sont en effet souvent prêts à débourser quelques dizaines d’euros pour un projet qui, même s’il n’aboutit pas forcément à ce qu’ils attendaient, les aura passionné le temps de son développement (car le crowdfunding introduit également la notion de développement participatif). Mais cela est-il valable pour une solution d’entreprise, qui devra être nécessairement financée par des entreprises à des niveaux largement plus élevés ? Ne seront-elles finalement pas aussi prudentes dans leurs financements que les investisseurs traditionnels ?

Dans ces conditions il semble ambitieux, voire naïf, d’imaginer que le crowdfunding puisse donner naissance à court terme à des solutions d’entreprise révolutionnaires pesant plusieurs millions d’euros.

En revanche le modèle demeure intéressant car il permet aux RSSI et à leurs entreprises d’être en contact direct avec des créateurs innovants, d’influencer le design de petites solutions proches de leurs besoins – y compris en hardware – et de les soutenir. Plusieurs entreprises ont par exemple participé au financement du spot de l’ISSA France, et – bien que ce ne soit pas du crowdfunding en soit – la SNCF a tenu à soutenir la jeune startup docTrackr à ses débuts en devenant client pilote sur un volume de licences significatif.

Il ne faut donc pas écarter trop vite, au sein des entreprises, une volonté de découvrir et soutenir de nouveaux talents, surtout lorsque ceux-ci répondent à des besoins que le marché ne couvre pas encore. L’entreprise peut contribuer à les rendre viables et trouver son intérêt à les financer (comme l’a fait la SNCF avec docTrackr par exemple)

Ainsi les sites de crowdfunding devraient être des ressources essentielles à tout bon service de veille de l’entreprise, qui les utiliserait afin de détecter l’innovation et suivre les tendances (plus c’est financé, plus ça répond à un besoin fondamental), mais également pour faire du sourcing de solutions à accompagner pour ses propres besoins.

Et accessoirement si votre service de veille suivait les projets ITsec proposés sur les plateformes de financement participatif, il aurait pu alerter votre équipe SSI de l’existence de la Password Reset Key…

(Note : si l’image qui illustre cet article ne vous dit rien, sachez qu’il s’agit d’un meme Internet populaire dans le monde du crowdfunding. Lorsque les clients potentiels se montrent particulièrement excités à l’idée d’un projet, ils expriment un enthousiasme débordant à travers cet extrait détourné tiré du dessin animé Futurama. Le message aux créateurs du projet est littéralement « Tais-toi et prends mon argent ». Difficile de faire plus clair !)