Publicité en cours de chargement...

Publicité en cours de chargement...

Publicité en cours de chargement...

Quadrant magique et enfumage professionnel dans la cyber

13 fév. 2024 - 10:31,
Tribune - Cédric Cartau
J’adore quand un marketeux encravaté vient m’expliquer avec moult schémas et slides bien léchés combien ses compétiteurs sont nuls et combien, lui, il est bon. Souvent, en appui des présentations, viennent s’intercaler des schémas en 3D (dont on se demande bien d’où ils sortent) supposés présenter la vision 360° d’un sujet, des classifications des fonctionnalités (dont on se demande qui a bien pu inventer les catégories) et autres artifices dignes d’une partie de poker menteur. Vraiment j’adore. Parmi les outils d’enfumage régulièrement utilisés, il y a le fameux Magic Quadrant de Gartner, censé adouber votre interlocuteur et ses propos fumeux.

Grosso modo, le quadrant magique divise les fournisseurs selon les axes « vision » et « capacité à délivrer », divisant tout ce beau monde en quatre : acteurs de niche, visionnaires, challengers et leaders. Vous remarquerez que, fondamentalement, aucune de ces catégories n’est rédhibitoire : être un acteur de niche s’interprète aussi comme « pure player » et être un challenger signifie aussi « ne pas se reposer sur ses lauriers ». Ce serait drôle d’ailleurs d’affubler ces étiquettes sur les profils des usagers de Tinder ou d’Ashley Madison – j’dis ça, j’dis rien, hein ?

Aucune de ces catégories ne qualifie ou ne disqualifie au regard du critère de la qualité des produits délivrés. On peut ainsi se trouver dans le cas des leaders de la production de bouse de vache : il suffit de produire de la bouse de vache qui pue grave, mais avec une vision à long terme et la capacité de déposer des tonnes de bouse de vache sur les cinq continents.

Pas plus tard que jeudi dernier, nous avons eu une alerte majeure sur une vulnérabilité CVE de niveau 9,6 (pas mal, n’est-ce pas ?) de la part d’un gros constructeur de firewalls dont je tairai le nom, mais que vous trouverez en haut à droite du quadrant 2023. Les RSSI ont dû patcher en urgence un vendredi (pas bon, le vendredi) pour une faille qui rendait le module VPN SSL accessible over the world sans login ni mot de passe dans certains cas (beau score, n’est-ce pas ?).

Autant clarifier tout de suite le propos : la critique est facile, autant que de tirer sur l’ambulance, loin de moi cette idée. Les bugs et les failles sont consubstantiels à l’informatique (tout est code au final), et le prochain coup un autre fabricant sera concerné. Tous les éditeurs d’AV sans exception ont connu par le passé des erreurs dans les MÀJ des signatures conduisant à bloquer le parc de certains clients. Je passe sur le fait que le constructeur dont il est question est coutumier du fait et que ses responsables marketing se font copieusement chahuter dans certaines conférences.

La question de fond n’est pas là, en fait. Il s’agit d’un problème de vision (oui, moi aussi j’ai mon « magic quadrant »). On pourra tourner autour du pot autant que l’on voudra, mais l’introduction au sein de la production automobile de crash-tests standardisés a fortement fait progresser la sécurité routière, toutes marques confondues. Certes, il reste les belles plaquettes marketing à récupérer chez votre concessionnaire préféré ou en ligne sur son site, mais au final le centre de gravité s’est déplacé du vendeur à cheveux gominés et au parfum bon marché vers les tests de qualité.

Mais pas dans l’informatique en général ni la cyber en particulier. Essayez juste de poser la question au fournisseur en face de vous : quel protocole de crash-test avez-vous mis en place ? Dit autrement, à quel moment faites-vous tester vos produits par une autorité indépendante, de façon régulière, avec publication des résultats ? À quel moment toute l’industrie des firewalls s’est-elle organisée pour créer un équivalent d’Euro NCAP[1] ? À quel moment le fournisseur a-t-il installé une plateforme de test pour vérifier que le paramétrage du produit chez le client est optimal ? De façon automatisée, avec envoi de mails sécurisés ? Idem bien entendu pour les fournisseurs d’antivirus, d’antispams, etc. On en est encore à l’ère des vendeurs aux cheveux gominés.

Il se trouve, hasard du calendrier, qu’un test de ce genre vient d’avoir lieu, mené par une autorité totalement indépendante (et je ne peux pas en dire plus, désolé), auprès de divers clients avec à peu près tous les produits existants. Le résultat est simple, sur ce segment de marché, la plupart des fournisseurs se rejoignent dans une parfaite médiocrité.

C’est bien beau de chouiner comme des veaux contre une réglementation supposée tatillonne, mais quand des gamins font des bêtises dans la cour du collège, pas d’autre solution que de faire intervenir le surveillant. Le prochain qui me sort le quadrant magique comme argument marketing a intérêt à avoir assuré ses arrières.


[1] Organisme de crash-tests de véhicules.

Avez-vous apprécié ce contenu ?

A lire également.

Illustration Cybersécurité hospitalière : le GHT Rhône Nord Beaujolais Dombes, premier lauréat du programme CaRE

Cybersécurité hospitalière : le GHT Rhône Nord Beaujolais Dombes, premier lauréat du programme CaRE

09 mai 2025 - 16:39,

Actualité

- DSIH

Le programme CaRE franchit une étape clé. Moins d’un an après le lancement de son premier appel à financement dédié à la sécurisation des annuaires techniques et de l’exposition sur Internet, la direction du programme annonce la validation du premier dossier ayant atteint l’ensemble des objectifs fi...

Illustration Ce que nous enseigne la mégapanne électrique dans la péninsule ibérique

Ce que nous enseigne la mégapanne électrique dans la péninsule ibérique

05 mai 2025 - 23:11,

Tribune

-
Cédric Cartau

Impossible de l’avoir ratée, la mégapanne électrique chez nos amis espagnols et portugais. Cet incident est riche d’enseignements, et force est de constater qu’il n’y a pas que des mauvaises nouvelles. D’abord, selon nos informations à ce jour, il n’y a eu aucune victime : c’est une bonne nouvelle.

Illustration Un hôpital, sous-traitant, sanctionné pour ne pas avoir déclaré les sous-traitants ultérieurs

Un hôpital, sous-traitant, sanctionné pour ne pas avoir déclaré les sous-traitants ultérieurs

02 mai 2025 - 16:13,

Tribune

- Alexandre Fievee, Gaétan Dufoulon et Alice Robert de Derriennic Associés

Par décision du 10 avril 2025 [1], l’autorité de contrôle espagnole a infligé une amende de 500.000 euros à un hôpital qui avait recruté des sous-traitants ultérieurs sans en informer préalablement le responsable du traitement.

Illustration Éthicovigilance numérique : premiers signaux d’alerte dans la santé connectée

Éthicovigilance numérique : premiers signaux d’alerte dans la santé connectée

24 avril 2025 - 15:14,

Actualité

- DSIH

La Délégation au numérique en santé (DNS) publie le premier rapport d’activité de la Plateforme d’éthicovigilance du numérique en santé, un dispositif inédit lancé fin 2023 pour recueillir les signalements d’usagers et de professionnels confrontés à des enjeux éthiques liés aux technologies de santé...

Lettre d'information.

Ne manquez rien de la e-santé et des systèmes d’informations hospitaliers !

Inscrivez-vous à notre lettre d’information hebdomadaire.