Quadrant magique et enfumage professionnel dans la cyber

Grosso modo, le quadrant magique divise les fournisseurs selon les axes « vision » et « capacité à délivrer », divisant tout ce beau monde en quatre : acteurs de niche, visionnaires, challengers et leaders. Vous remarquerez que, fondamentalement, aucune de ces catégories n’est rédhibitoire : être un acteur de niche s’interprète aussi comme « pure player » et être un challenger signifie aussi « ne pas se reposer sur ses lauriers ». Ce serait drôle d’ailleurs d’affubler ces étiquettes sur les profils des usagers de Tinder ou d’Ashley Madison – j’dis ça, j’dis rien, hein ?

Aucune de ces catégories ne qualifie ou ne disqualifie au regard du critère de la qualité des produits délivrés. On peut ainsi se trouver dans le cas des leaders de la production de bouse de vache : il suffit de produire de la bouse de vache qui pue grave, mais avec une vision à long terme et la capacité de déposer des tonnes de bouse de vache sur les cinq continents.

Pas plus tard que jeudi dernier, nous avons eu une alerte majeure sur une vulnérabilité CVE de niveau 9,6 (pas mal, n’est-ce pas ?) de la part d’un gros constructeur de firewalls dont je tairai le nom, mais que vous trouverez en haut à droite du quadrant 2023. Les RSSI ont dû patcher en urgence un vendredi (pas bon, le vendredi) pour une faille qui rendait le module VPN SSL accessible over the world sans login ni mot de passe dans certains cas (beau score, n’est-ce pas ?).

Autant clarifier tout de suite le propos : la critique est facile, autant que de tirer sur l’ambulance, loin de moi cette idée. Les bugs et les failles sont consubstantiels à l’informatique (tout est code au final), et le prochain coup un autre fabricant sera concerné. Tous les éditeurs d’AV sans exception ont connu par le passé des erreurs dans les MÀJ des signatures conduisant à bloquer le parc de certains clients. Je passe sur le fait que le constructeur dont il est question est coutumier du fait et que ses responsables marketing se font copieusement chahuter dans certaines conférences.

La question de fond n’est pas là, en fait. Il s’agit d’un problème de vision (oui, moi aussi j’ai mon « magic quadrant »). On pourra tourner autour du pot autant que l’on voudra, mais l’introduction au sein de la production automobile de crash-tests standardisés a fortement fait progresser la sécurité routière, toutes marques confondues. Certes, il reste les belles plaquettes marketing à récupérer chez votre concessionnaire préféré ou en ligne sur son site, mais au final le centre de gravité s’est déplacé du vendeur à cheveux gominés et au parfum bon marché vers les tests de qualité.

Mais pas dans l’informatique en général ni la cyber en particulier. Essayez juste de poser la question au fournisseur en face de vous : quel protocole de crash-test avez-vous mis en place ? Dit autrement, à quel moment faites-vous tester vos produits par une autorité indépendante, de façon régulière, avec publication des résultats ? À quel moment toute l’industrie des firewalls s’est-elle organisée pour créer un équivalent d’Euro NCAP[1] ? À quel moment le fournisseur a-t-il installé une plateforme de test pour vérifier que le paramétrage du produit chez le client est optimal ? De façon automatisée, avec envoi de mails sécurisés ? Idem bien entendu pour les fournisseurs d’antivirus, d’antispams, etc. On en est encore à l’ère des vendeurs aux cheveux gominés.

Il se trouve, hasard du calendrier, qu’un test de ce genre vient d’avoir lieu, mené par une autorité totalement indépendante (et je ne peux pas en dire plus, désolé), auprès de divers clients avec à peu près tous les produits existants. Le résultat est simple, sur ce segment de marché, la plupart des fournisseurs se rejoignent dans une parfaite médiocrité.

C’est bien beau de chouiner comme des veaux contre une réglementation supposée tatillonne, mais quand des gamins font des bêtises dans la cour du collège, pas d’autre solution que de faire intervenir le surveillant. Le prochain qui me sort le quadrant magique comme argument marketing a intérêt à avoir assuré ses arrières.

[1] Organisme de crash-tests de véhicules.