Rencontre, au détour des innombrables halls du CeBIT de Hanovre, avec l'un des grands noms de la sécurité informatique, Eugene Kaspersky - Evgeniy Valentinovich Kasperskiy dans le texte - qui dirige l'éditeur spécialisé du même nom. Agé de 43 ans, Kaspersky a fait ses premières armes au sein de l'institut des télécommunications longtemps régi par l'armée russe et le KGB, avant de rejoindre le centre des technologies de l'information KAMI où, à partir de 1991, il travaille à l'élaboration d'un antivirus baptisé AVP, aujourd'hui renommé en Kaspersky. Rapide entretien avec ce docteur ès chiffres.
Clubic.com : Pourriez-vous dresser un rapide topo du marché de la sécurité informatique ?
E. Kaspersky : On a vu en 2007 plus de malwares et d'attaques informatiques que sur ces quinze dernières années. Les menaces sont aujourd'hui le fait de véritables cybercriminels, et l'apparition de nouvelles technologies comme la virtualisation soulève de nouveaux risques, de nouvelles formes d'attaques, contre lesquelles il convient de se prévenir. Aujourd'hui, l'industrie de la sécurité informatique tourne autour de la combinaison de toutes les techniques permettant de lutter contre ces menaces. C'est donc un marché en plein essor, qui bouillonne littéralement.
Aujourd'hui, nous sommes théoriquement numéro 4 au niveau mondial (et numéro 1 en Europe, ndlr), et nous comptons bien prendre rapidement la troisième place. Le marché est pour l'instant dominé par de grands acteurs, avec énormément de rachats et de cessions de sociétés de moyenne envergure. Enfin, si vous avez un million d'euros, et une véritable bonne idée, n'hésitez pas et investissez dans la sécurité informatique ! (rires).
La notion de sécurité même a-t-elle évolué ces dernières années ?
Sur la courte histoire de la sécurité informatique, nous pourrions distinguer trois phases. La première est celle de l'antivirus, et de la protection du poste de travail. La généralisation des réseaux signe l'essor de la deuxième, avec l'apparition de notions comme le pare-feu, etc. La troisième est celle de la cybercriminalité, avec un réseau omniprésent, des systèmes d'information complexes. Dans le même temps, la perception de la notion de sécurité informatique a évolué. Si l'on a longtemps parlé de « gestion des menaces dans l'univers des technologies de l'information », il convient maintenant de penser la sécurité comme la prévention des menaces dans l'univers IT, ce qu'on pourrait résumer par le sigle ITTP (IT Threats Prevention, ndlr).
Le téléphone est-il le prochain terrain de prédilection des pirates ?
Qu'est ce qui différencie un smartphone d'un PC ? Rien, si ce n'est que le premier est plus pratique pour téléphoner et que le second dispose généralement d'une souris. Autrement dit, le développement des services mobiles fait que les pirates vont immanquablement finir par s'y intéresser, et que nous verrons alors des menaces spécifiques apparaitre. La masse critique n'est peut-être pas encore tout à fait atteinte.
Pour l'instant, deux facteurs freinent ce développement. Premièrement, les téléphones intelligents utilisent une grande variété de systèmes d'exploitation, ce qui complique la mise au point d'attaques de grande envergure. Certains pirates sont relativement feignants, et trouvent plus simple pour le moment d'en rester à l'ordinateur. Le second point tient au fait que les services mobiles sont encore relativement peu développés dans les pays qui abritent le plus grand nombre de pirates, ce qui fait que certains n'ont encore même pas conscience du fait qu'un individu peut utiliser son mobile pour consulter son compte en banque.
Serait-il pertinent de finir par abandonner le modèle de l'abonnement dans le domaine des solutions de sécurité ?
Il serait difficile aujourd'hui de vendre un antivirus comme un produit fini, sans abonnement derrière. Une société indienne a tenté le coup, et le résultat n'est pas glorieux. L'abonnement est tout simplement indispensable pour financer tout le service qui accompagne le logiciel : les mises à jour, les nouvelles versions, sans parler du support. L'antivirus doit en fait être perçu comme un service plus que comme un produit fini. Un antivirus sans le service, c'est un peu comme une voiture sans essence : il nous manque l'essentiel.
Un petit mot de l'arrivée de Microsoft sur le marché de la sécurité : des craintes à avoir ?
Je ne suis pas persuadé que Microsoft puisse vraiment réussir sur le marché de la sécurité, en tout cas auprès du grand public. Pour eux, ce n'est pas une activité primordiale, mais une division parmi tant d'autres. Pour l'instant, OneCare ne connait d'ailleurs pas des résultats exceptionnels, sauf au Canada où il occupe la deuxième place ! Dans le domaine de l'entreprise, c'est un peu différent car Microsoft dispose d'une force de vente extrêmement efficace, qui pourrait leur permettre de prendre place. Microsoft a racheté des sociétés qui utilisent notre moteur, donc finalement nous sommes un peu partenaires (rires).
Et pour l'avenir... croissance externe ou rapprochement avec un grand groupe ?
Nous avons déjà été approchés, mais pour l'instant nous souhaitons conserver notre indépendance et à titre personnel, je ne souhaite pas du tout céder ma société, ce serait comme séparer un enfant de son jouet favori ! Plus sérieusement, nous pourrions racheter une société, ou une technologie, comme nous l'avons déjà fait pour notre filtre anti-spam. Sur les deux ou trois prochaines années, nous avons toutefois l'intention de progresser avec les moyens dont nous disposons en interne. Si l'on finit par atteindre le top 3, nous nous diversifierons sans doute un peu, mais nous essaierons de ne pas reproduire les erreurs de certains...