RSA Conférence 2009 : une édition marquée par la crise, mais l'optimisme domine toujours

Jusqu’à récemment, Ed Maguire était directeur chez Merrill Lynch Technology Investment Banking. Il vient de fonder sa propre société de conseil en investissement dans les entreprises technologiques, MAGNet Strategies. La semaine dernière, il était à San Francisco à l’occasion de RSA Conférence 2009. Il partage ici son analyse de cette édition de la grand messe internationale de la sécurité informatique.

http://beta.lemagit.fr/wp-content/uploads/2008/10/tq6vgaywctjl7mh7v3l3gt4k2drepxyb.jpg420 scenery 0021 jpg

Malgré l’environnement économique déprimé, le bilan de la  RSA Conférence 2009 n’est pas totalement négatif. Certes, la fréquentation était en baisse (de 30 à 40 % selon une opinion largement partagée), et le trafic, sur les stands des exposants, était anémique. Mais parmi ces derniers, l’humeur allait de la prudence à l’optimisme le plus complet – aucun de ceux avec lesquels j’ai discuté ne s’est véritablement montré pessimiste.

Sur le plan pratique, accéder au réseau WiFi de la conférence avait des airs de défi. Les organisateurs avaient mis en place un système de contrôle d’accès par certificats nécessitant plusieurs étapes de préparation ainsi qu’un identifiant validé pour recevoir, finalement, un mot de passe. En fait, même si un tel niveau de complexité aurait été plus pertinent pour un système plus durable, je n’aurais pas du être surpris par de telles mesures dans le cadre d’une conférence sur la sécurité…

Une édition soporifique

Outre une audience en baisse, la RSA Conférence 2009 a été marquée par l’absence d’annonces produits significatives ou même de nouveaux concepts. Du coup, le « rien de neuf » répondait généralement au « qu’as-tu vu cette semaine ? ». Franchement, ça ne m’a pas surpris : l’industrie de la sécurité grandit et il serait déraisonnable d’attendre que se poursuive le rythme effréné d’innovation que nous avons pu observer au cours des dix dernières années.

 http://beta.lemagit.fr/wp-content/uploads/2008/10/tq6vgaywctjl7mh7v3l3gt4k2drepxyb.jpg421 keynotes coviello 0764 jpg
Art Coviello, président de RSA.
Dans son intervention, Art Coviello, président de RSA, [retrouvez cette intervention dans son intégralité, NDLR], s’est concentré sur le besoin d’interopérabilité dans un paysage d’offres morcelées. Une bonne idée difficile à mettre en œuvre. OpSec de CheckPoint et SIA de McAfee sont parmi les produits qui rencontrent le plus de succès ; il y a toujours une tension entre le désir des éditeurs de garder les clients captifs et le besoin de plus d’interopérabilité.

Les deux grands thèmes de l’édition 2009 de RSA Conference étaient la sécurité du Cloud Computing et la sécurité en mode SaaS, deux véritables opportunités dans un monde toujours plus distribué et envahi d’aplications Web. Justine Ateil d’Immunity a expliqué combien la sur-utilisation des termes « convergence » et « silos » lui donne la nausée. La sécurisation des environnements virtualisés a fait beaucoup parler, mais le marché n’en est encore qu’à ses balbutiements.

Pourquoi les budgets de sécurité des SI sont résilients

Mais l’atonie de la RSA Conférence ne doit pas masquer une réalité : la sécurité continue de mobiliser une part croissante des budgets SI ; selon Art Coviello, cette part est passée de 1 % en 2000 à 3 % en 2005 et à 5 % aujourd’hui. Le reflet de l’aspect dérivatif de la sécurité : on y investit dans un second temps, une fois que les applications métiers et les infrastructures correspondantes ont été déployées.

La sécurité est aussi une dépense que l’on fait à reculons : en dehors des secteurs financiers et gouvernementaux, la plupart des entreprises n’accordent pas aux systèmes de sécurité la priorité d’un élément central. Ce qui pousse la demande, ce sont les méchants : chaque année, le niveau et le potentiel des menaces augmentent et la capacité d’adaptation des personnes malveillantes crée un besoin continu d’innovation dans les systèmes de défense. La nature financière des menaces émergentes, associée à des environnements réglementaires de plus en plus stricts, fournit un bon terreau à la demande.

http://beta.lemagit.fr/wp-content/uploads/2008/10/tq6vgaywctjl7mh7v3l3gt4k2drepxyb.jpg420 sandbox 0275 jpgEn la matière, de nombreux éditeurs non côtés ont parlé de croissance robuste – et les performances récentes des éditeurs publics confirment l’existence de tendances bien réelles de recherche de protection. La croissance est donc toujours là, même s'il ne faut pas minimiser les réels risques de retournement – la croissance du marché de la sécurité fait suite à de précédents investissements SI ; il est logique de considérer que la relation peut aussi fonctionner en sens inverse [donc, une baisse des investissements SI peut être vue comme annonciatrice d’une baisse à venir des dépenses en matière de sécurité des SI, NDLR].

La sécurité, un marché favorable aux start-up

Certains domaines du SI sont sujets au « jeu du Gorille » (cf. Geoffrey Moore), pas la sécurité. Les décideurs en la matière, dans les grandes entreprises, sont peu enclins à s’en remettre à un unique fournisseur. Notamment en raison de la nature fragmentée du problème : il n’y a pas de recette miracle (Silver Bullet, littéralement « balle en argent ») pour la sécurité informatique ; l’approche s’opère par couches. En outre, la menace évolue rapidement et les start-ups ont tendance à être bien plus réactives.

Au final, une bonne part de la croissance du marché de la sécurité SI est distribuée sur un grand nombre de petits éditeurs – on compte nombre d’éditeurs affichant une croissance à deux chiffres avec un chiffre d’affaires compris entre 15 et 50 M$. Mais même les éditeurs plus importants – Sophos, Fortinet, Webroot, Barracuda, Kaspersky, et d’autres encore – ont fait la démonstration de leur capacité à générer une forte croissance malgré des marchés difficiles.

Des éditeurs à surveiller

Le bon côté de la conférence RSA, c’est cette opportunité de rencontrer des dizaines d’entreprises intéressantes. Parmi elles, citons notamment SecureWorks (services de sécurité administrés), Voltage (chiffrement), Symark (gestion des identités), Immunity (conformité réglementaire), CoreTrace (gestion de listes blanches), ProofPoint (sécurisation des messageries), ou encore Altor (sécurité des environnements virtualisés).

Analyse initialement publiée sur le blog d’Ed Maguire, adaptée de l’anglais avec l’autorisation de l’auteur.

Pour approfondir sur Gestion des accès (MFA, FIDO, SSO, SAML, IDaaS, CIAM)

Close