Art Coviello, RSA : « L’absence de véritable effort concerté laisse le champ libre aux criminels »

LeMagIT :

Lors de votre allocution

, vous avez critiqué le comportement des gouvernements face aux menaces informatiques. Qu’attendez-vous d’eux ?

Art Coviello : je pense que les gouvernements doivent travailler à la question de la sécurité en ligne de manière géopolitique. Internet dépasse les frontières. Nous vivons dans un monde interdépendant. À l’heure de la globalisation, nous comptons sur les échanges commerciaux mondiaux. Les gouvernements doivent voir que ce qui se passe en ligne et qui relève des mêmes lois que celles sur lesquelles repose le commerce international : respect de propriété intellectuelle, des contrats, etc. Il ne faut pas que ce ne soit que des mots mais des faits. Les gouvernements savent qui fait quoi à qui. Qu’ils s’assoient à une table et règlent ensemble ces questions.

LeMagIT : Il existe des organisations internationales telles que l’OMC et l’ONU. Une organisation comparable dédiée à ces questions est-elle nécessaire ?

A.C : Ciel, j’espère bien que non ! Sérieusement, je pense que cela peut se régler au sein des structures existantes, qu’il s’agisse de l’OMC ou de L’ONU. Ce sont les deux entités pertinentes. S’il y a des preuves, il faut les produire et commencer à pénaliser les personnes qui font ces choses-là. En tant que technologiste, et non politicien, j’ai du mal à peser là-dessus. En tant que citoyen, je peux avoir une opinion sur ce qu’il conviendrait de faire. Mais ce n’est pas à moi de le faire. Mon travail, c’est d’aider les entreprises à se protéger. C’est cela que je dois faire. Mais cela ne signifie pas que je n’ai pas d’opinion, ni que je ne suis pas frustré. Et je suis très frustré. Et je parle de gouvernements au pluriels. Tous ceux des nations occidentales, qui détiennent l’essentiel de la propriété intellectuelle, ont un intérêt tout particulier à discuter ensemble. L’absence de véritable effort concerté laisse le champ libre aux criminels.

LeMagIT : Dans ce contexte, que pensez-vous du récent décret de Barack Obama ? 

A.C : Il va dans le bon sens. L’an dernier, j’ai exprimé moi-même ma frustration vis-à-vis de mon entreprise, du fait qu’elle ne diffuse pas elle-même suffisamment d’informations. Mais souvenez-vous : Dirk Clark a défini une stratégie pour protéger le cyberespace... en 2003. 90 % de ce qu’il avait proposé n’a toujours pas été suivi d’action, dix ans plus tard. Ma frustration vis-à-vis de l’inaction des gouvernements est très grande. J’applaudis le décret du Président Obama. Mais continuons, avançons. Et ne me laissez pas m’en prendre qu’aux Etats-Unis. Les lois européennes de protection de la vie privée sont absurdes. Ce n’est pas que je sois contre la protection des données personnelles; les outils de RSA sont là pour ça. Mais il est absurde d’avoir des lois selon lesquelles je risque une amende si je ne protège pas bien les données privées de mes clients tandis que, pour assurer cette protection, je risque d’être puni parce que je viole la vie privée de mes salariés... Dans un contexte pareil, je ne peux pas réussir.

LeMagIT : Vous avez détaillé votre concept de système de sécurité «anti-fragiles». Selon vous, l’émergence de tels systèmes est-elle conditionnée au développement des réseaux à définition logicielle ?

A.C : Absolument ! Certains dans la salle, lors de mon allocution, s’interrogeaient : «que veut-il dire par menaces ‘inconnues inconnues’ et par menaces ‘inconnues connues’ ?» Je n’avais pas deux heures pour l’expliquer. Mais les menaces ‘inconnues connues’ sont celles que l’on peut anticiper, que l’on peut imaginer. Les menaces ‘inconnues inconnues’... eh bien, c’est assez évident. Je pense que le modèle que j’ai décrit, adaptatif et basé sur le renseignement, sur la prévision, est une voie, sinon la voie. Mais pour créer cela, nous avons besoin d’importantes quantités d’informations, internes et externes, corrélées.

LeMagIT :... et pour qu’un tel système soit capable de s’adapter, de se transformer dynamiquement, il est nécessaire qu’il s’appuie sur une architecture à définition logicielle ?

A.C : Exactement.