(Africa Diligence) L’un des associés de la société de capital-risque KPC&B délivre quelques prévisions sur le futur marché de la sécurité. Un discours sans langue de bois qui tranche avec le filet d’eau tiède qui coule habituellement.
Ted Schlein n’est pas franchement un débutant. 26 ans d’expérience dans le domaine de la sécurité des systèmes d’informations avec notamment des responsabilités de vice-président de Symantec avant de rejoindre en 1996 la société Kleiner Perkins, Caufiels & Byers. KPC&B n’est pas non plus une boutique de quartier mais tout simplement l’une des plus importantes sociétés de capital-risque des Etats-Unis avec des prises de participation dans des sociétés comme Amazon, Facebook, Google et quelques centaines d’autres de moindre calibre mais qui demeurent de sacrées références. Dans le domaine de la sécurité, les participations comprennent Bit9, Mandiant, Good Technologies et quelques dizaines d’autres. M. Schleier est également à l’origine de prises de participations dans Fortify ou ArcSight, deux entreprises rachetées par HP. Très récemment, le fonds s’est également attaqué au marché chinois en investissant dans des entreprises comme Venus Tech qui est le fournisseur du système de défense de l’Internet de l’empire du milieu.
A la RSA Conference, M. Schlein s’est exprimé sur ce que devait être, selon lui, l’avenir de la sécurité. En premier lieu, il met en garde des sociétés comme Symantec ou McAfee qui doivent rapidement revoir leurs stratégies sous peine de cruelles désillusions puisqu’il considère que le business de l’anti-virus n’en est plus un et que ces outils sont notoirement inefficaces face aux nouvelles menaces. Il affirme également que la manière dont les entreprises se protègent doit radicalement changer. «Je crois que la sécurité doit être effectuée de l’intérieur vers l’extérieur et non pas l’inverse qui consiste à empêcher les intrusions. Les modèles de sécurité actuels seront morts dans une dizaine d’années, tout au plus ». Le cas de Symantec est plus criant car la société est indépendante, alors que McAfee appartient maintenant à Intel. « Le problème de Symantec et d’autres est que ce sont des sociétés cotées. Elles doivent donc rendre des comptes en permanence aux actionnaires et dans ces conditions ce n’est pas facile de transformer radicalement son activité ». Ce faisant, on comprend la décision de Dell qui souhaite s’écarter de ces contraintes boursières pour opérer une transformation profonde de l’entreprise.
Botwall et ADoS
« Nous n’avons jamais investi dans les firewalls. A tort, je l’admets car beaucoup d’entreprises sont très rentables, mais je pense que ce n’est plus la priorité. Le problème n’est pas d’empêcher les malwares de rentrer mais de protéger ses données sensibles et donc ne pas permettre l’exécution de ces malwares. Nous cherchons celui qui va développer le Botwall, c’est-à-dire l’outil qui pourra empêcher ces attaques automatisées qui sont les plus dangereuses et les plus difficiles à contrer. Le « botwall » devra être capable d’anticiper ces attaques ». De même, il précise que les attaques de type DDOS (Distributed Denial of Service) vont être remplacées par des ADOS (Application Denial of Service) , c’est-à-dire une attaque visant à détruire une application installée sur un grand nombre de postes.
Concernant la mobilité, le véritable enjeu est l’authentification sur le réseau de l’entreprise d’un mobile. Le reste est accessoire estime-t-il. Ce faisant il rejoint l’opinion de plusieurs autres spécialistes dont le Chief Security Officer de RSA, Eddie Schwartz, qui affirme que ce sont les données qui sont importantes et pas l’appareil. Investisseur dans le système de paiement Square, Ted Schlein affirme que cette dernière prend la sécurité très au sérieux. « Un mobile va devenir une carte de paiement, donc si vous ne prenez pas la sécurité au sérieux vous êtes mort».
M. Schlein ironise sur le marché de la sécurité au sein duquel « la plupart des produits ne marchent pas ». Il donne un satisfecit à Mandiant (dont ils sont investisseurs) pour être parmi les premiers à le reconnaître. Il s’insurge avec humour sur le système des patches. « Aucune industrie n’accepte cela. Vous payez pour un produit qui ne fonctionne pas ou mal et vous devez payer encore pour qu’ils le corrigent ». Enfin, sur l’origine des attaques, il a une vision plutôt radicale. « Les entreprises se moquent de savoir qui est à l’origine, que ce soit les Chinois, les Russes ou quiconque. Cela préoccupe les médias ou les gouvernements mais pas les entreprises. Eux voient l’argent perdu, les failles à corriger mais leur problème n’est pas de savoir qui a commis l’acte ».
(Avec Mag Secure)