C'était en mars dernier: "Curador", un jeune Gallois de 18 ans avait volé au moins 26.000 numéros de cartes de crédit, en trafiquant différents sites d'Internet européens et américains. Quelques mois plus tard, le virus "I Love You" a paralysé en quelques jours des milliers de serveurs. A plusieurs reprises Amazom.com a été victime d'attaques de chevaux de Troie et de parasites informatiques. 

Après le "millenium bug", l'année 2000 est celle des attaques contre la sécurité de l'Internet, mais aussi de la prise de conscience que l'e-business sera sécurisé  ou ne sera pas du tout. L'élaboration d'un projet de loi sur le commerce électronique par le gouvernement luxembourgeois, présenté en été (voir paperjam 10/2000), qui est surtout axé autour du problème de la signature électronique, montre une prise de conscience croissante de l'opinion publique sur le principal défi de la nouvelle économie: c'est que le développement du commerce électronique est étroitement lié au degré de confiance que l'on peut accorder aux infrastructures ainsi qu'à la protection des données personnelles et du patrimoine.

Le nombre d'incidents de sécurité attendus pour l'année en cours est estimé à 13.000, représentant des dommages à hauteur de 300 millions de $. Le besoin en infrastructures et systèmes de sécurité croît donc rapidement: le marché de la sécurité d'information connaîtra un essor formidable dans les prochaines années, pour atteindre en 2003 un volume de 8 milliards de $ .Ceci inclut tout d'abord les dépenses en consulting pour des spécialistes externes, mais surtout les dépenses liées directement à la sécurité des systèmes de sécurité vers l'extérieur comme l'antivirus ou le firewall, ainsi que des systèmes internes, donc liés à l'Intranet. Une étude récente, réalisée par l'institut américain de la sécurité de l'ordinateur CSI (www.gocsi.com) en collaboration avec le FBI (www.fbi.gov), donne des résultats intéressants en matière de cyber crimes et autres contraventions dans le domaine de la sécurité d'information: 90% des entreprises ont déjà été victimes d'attaques dommageables. Le catalogue des infractions est très diversifié en allant de la simple attaque de virus à fraude financière, la pénétration de tiers dans des systèmes internes, les actes de sabotage, le vol d'informations confidentielles, jusqu'au vol d'ordinateurs portables. Trois sur quatre entreprises américaines ont déjà dû subir des pertes financières réelles.

L'image que l'on se fait des malfaiteurs informatiques est tout à fait erronée: oubliez celle des jeunes freaks cachés dans leur chambre d'enfant et entourés de cartons d'emballage de pizza service et de boîtes de cola: 71% des infractions dans le domaine de l'information sont commises par des initiés: quatre sur cinq entreprises ont reporté un abus d'accès Internet par leurs employés (par exemple le téléchargement de matériel pornographique ou de programmes pirates) sur leur poste d'ordinateur.

Le marché de la sécurité d'information propose différentes solutions techniques, souvent complémentaires.

Une première approche dans la mise en place d'un système de sécurité est celle de la confidentialité et de la discrétion: il s'agit d'interdire la publication d'un certain type d'informations: ces dates secrètes sont protégées lors du stockage ou de la transmission sur un réseau. Une telle approche présuppose la mise en place d'un système de cryptage et l'utilité d'un tel système dépend directement de la confidentialité des clés de cryptage utilisées.

Le principe de l'intégrité constitue une deuxième approche: ici, le système vérifie si les dates ne sont pas modifiées lors de leur transmission. Les applications les plus populaires dans ce domaine sont les logiciels anti-virus.

L'identification consiste à vérifier l'identité d'un utilisateur ou d'une application. Pour cela, le système doit permettre l'échange d'informations secrètes mais connu par les utilisateurs, comme, dans le cas le plus simple, un mot de passe. Cette solution connaîtra une croissance formidable dans les mois et années à venir: elle couvre le domaine de la signature électronique, système le plus souvent adopté dans le domaine du commerce électronique, y inclus au Luxembourg.

Une dernière solution possible est celle de la non-répudiation. Ce type de système garantit qu'un certain nombre d'informations ne peuvent pas être volées, afin d'éviter que l'expéditeur puisse nier l'envoi de ces dates.

S'il existe donc un certain nombre de solutions bien différentes au problème de la sécurité des réseaux, il n'est pas moins vrai que le nombre d'acteurs actifs sur le marché mondial reste très limité.

Au niveau des logiciels anti-virus, 2 sociétés, à savoir Network Associates (www. nai.com) et Symantec (www.symantec.com)  contrôlent plus de deux tiers du marché mondial.

Remarque comparable pour le marché des logiciels de firewall: le leader mondial, Checkpoint Inc. (www.checkpoint.com) contrôle à lui seul un tiers du marché mondial, même si ce marché reste plus fragmenté.

Pour les autres systèmes de sécurité et notamment en ce qui concerne le cryptage, le marché est par contre caractérisé par un nombre élevé d'acteurs, souvent très spécialisés et utilisant des technologies différentes.

Tous ces systèmes demandent un savoir-faire très pointu qui ne cesse de se développer. L'histoire contemporaine de l'informatique nous montre cependant qu'il y aura toujours des malfaiteurs capables de contourner tout système de sécurité, même le plus sophistiqué. Croire dans l'infaillibilité serait trompeur et dangereux.

1) Estimation: Deutsche Bank Research pour 2003