Interview réalisée par Alain Establier - SDBR N° 86 -.securitydefensebusinessreview.com
SDBR : Qui êtes-vous monsieur Salamatian ?
KS : A la base j’ai été formé comme ingénieur électronicien, puis j’ai fait un MBA avant de commencer ma carrière comme analyste dans une salle de marchés. Comme je ne m’y plaisais pas, je suis revenu vers l’Université où j’ai fait un Master de Télécoms suivi d’un DEA d’Informatique théorique et d’une thèse. Après ma thèse, j’ai été recruté comme maitre de conférences à Paris VI et je suis aujourd’hui professeur des universités à l’université de Savoie (Annecy). Je me définirais comme un théoricien qui se soigne en faisant de la pratique… Mon activité de recherche, ces dernières années, a principalement visé à montrer que toute une série de problèmes pratiques dans le domaine réseau avait déjà été résolue dans d’autres domaines. Pour cela, je me suis fortement appuyé sur mon expérience multiple d’ingénieur et de gestionnaire de risque. J’ai donc une compétence duale.
En quoi consistent vos activités de consulting ?
J’ai une petite activité de consulting, qui se déroule hors de France pour l’essentiel. La raison en est qu’en France on n’a guère l’habitude de l’expertise technique, mais plutôt du marketing technique avec l’objectif d’amener une solution clé en mains. Mon rôle est au contraire d’évaluer la solution clé en mains proposée, donc d’aider à la choisir. Dans les pays anglo-saxons ou en Suisse, où je fais ce genre de mission, la première chose qu’on vous demande est de signer une clause de non-conflit d’intérêt, certifiant que dans les 6 derniers mois vous n’avez pas eu de relations d’affaires avec un constructeur ou un éditeur informatique. Dommage qu’en France on ne fonctionne pas de cette façon !
Sur quoi concentrez-vous vos activités de recherche ?
Mon activité de recherche se concentre sur les réseaux informatiques. Les thèmes dans lesquels j’ai publié au moins une dizaine articles : la métrologie des réseaux (mesures et observation des comportements des internautes, émergence de nouvelles applications), la détection d’attaques (domaine global de la sécurité des SI), l’analyse des réseaux sociaux et des services informatiques émergents, l’architecture des réseaux sans fil, et l’architecture des réseaux à grande échelle. A coté de ces 5 axes, je m’intéresse de plus en plus aux problématiques de cyberstratégie et de cybersécurité, et à la science de l’Internet, approche multidisciplinaire qui va prendre de plus en plus de place. Sur la plupart de ces sujets de recherche, je coopère avec des collègues étrangers (Etats-Unis, Japon et Corée du Sud). J’ai aussi une part importante d’activité en Chine, où je suis professeur invité à l’académie des sciences et où je passe environ 6 à 8 semaines par an.
Vous vous intéressez beaucoup à l’Asie, n’est-ce pas ?
En effet, je porte beaucoup d’intérêt à l’Asie car cette région du monde est comme une boule de cristal dans laquelle on peut voir notre Futur : exemple, aujourd’hui on commence à parler en France de déploiement massif de fibres optiques, les Japonais et les Coréens en sont équipés depuis des années. Concernant la Chine, ce sont eux qui sont venus me chercher car ils veulent sortir des coopérations uniquement sino-américaines. La coopération consiste en production intellectuelle (recherche et rédaction d’articles en commun), en codirection de thèses avec des étudiants chinois et en coopération avec des campus américains.
Etes-vous un entraineur de hackers chinois ?
Lorsque j’ai été contacté, je me suis vraiment posé des questions philosophiques. Je peux vous dire que jamais les limites que je me suis fixées n’ont été franchies. S’ils le voulaient, les Chinois pourraient se doter de leur propre infrastructure pour s’occuper de l’Internet mondial mais, actuellement, ils n’en ont pas l’intention, trouvant plus d’intérêt à rester dans un système ouvert. A la différence des pays européens, qui ne se sont rendu compte que récemment de la portée stratégique de l’Internet, les Chinois en ont conscience depuis 15 ans !
Et à part les Chinois ?
Un certain nombre de pays ont construit leur stratégie autour de l’Internet : exemple la Corée du Sud, qui a construit sa stratégie autour de la notion d’ingénierie culturelle et d’Internet. Au Japon, Internet pourrait être presque considéré comme un Intranet, car 80% du trafic vient du Japon et va vers le Japon ; c’est représentatif de l’insularité japonaise. Dans les pays émergents, il faut parler de la Russie. Nous reprenons conscience d’un fait qu’Internet nous avait fait oublier, à savoir que la géographie est importante…La Russie, aujourd’hui, est le moyen le plus fiable pour interconnecter l’Est et l’Ouest, en passant par un satellite. Les Russes ont une émergence très forte sur l’infrastructure de l’Internet avec, en contrepartie, la surveillance et l’espionnage.
Et l’Europe ?
L’Europe d’aujourd’hui a aussi un problème avec Internet et les racines de ce problème sont à rechercher dans l’opposition, entre approche fédéraliste et visions nationalistes, qui est aussi observée dans d’autres domaines. Le numérique en Europe ne pourrait se mettre à niveau que par un plan de relance européen, mais nous continuons à développer des activités pays par pays…
Ne jetez-vous pas là un pavé contre le « numérique à la française » ?
Le numérique à la française n’aura pas grande perspective s’il ne se conçoit pas dans le contexte européen. En France, ainsi que dans d’autres pays européens, la filière informatique ne provoque pas l’enthousiasme des jeunes, et nous ne sommes pas pour autant un acteur moteur sur le sujet. Par exemple, dans mon université, le nombre d’étudiants formés en informatique (pour qui le salaire de sortie d’école est supérieur de 10% aux autres diplômés avec un temps d’attente négatif !) est 6 fois moindre aujourd’hui que le nombre de demandes d’entrée en filière d’ingénieurs du bâtiment ! Alors qu’en Chine, les ingénieurs rêvent de faire des études en informatique et en sont fiers quand ils réussissent ! Le problème en France vient du fait que l’Informatique a mauvaise presse, à cause des SSII qui ont entaché son image, et mauvaise réputation sociale (incompréhension de la population sur les métiers couverts par le terme générique Informatique, etc.). Aujourd’hui aussi, l’innovation technologique n’est observée qu’au travers des prismes Google et Facebook ! Nous avons une vision très utilitaire de l’Informatique et c’est particulièrement vrai dans la culture des entreprises, où ce n’est pas considéré comme une activité noble. Dans une entreprise ou une administration, on sera capable de vous dire avec précision d’où vient et où va le moindre billet de 100 euros mais on sera incapable de vous donner spontanément des précisions sur les 100kbits/seconde qui sortent de l’entreprise. Pourtant, 100kbits/s de trafic non contrôlés peuvent faire couler l’entreprise ! Et, dans la même organisation, vous aurez moins de difficultés à convaincre du recrutement d’un aide-comptable que d’un ingénieur chargé de monitorer le trafic sur le réseau du SI, or le risque informatique est aujourd’hui bien plus élevé que le risque comptable. Les organisations ne traitent pas l’Informatique comme leur cœur de métier, c’est incroyable ! Les Allemands, qui se sont rendu compte de ce phénomène, ont recruté des milliers d’ingénieurs indiens pour pallier à leur problème.
Quelle est votre avis sur la sécurité du hardware ?
Le problème n’est pas que l’ordinateur HP que vous utilisez soit fabriqué en Chine ou ailleurs, le problème est, je pense, que plus rien ne soit français dans votre ordinateur. Aujourd’hui, la cybersécurité et la cyberstratégie sont devenus une tarte à la crème. Tout le monde parle avec un ton alarmiste et grave de la menace imminente informatique. Or, la stratégie consiste à avoir une attitude positive pour s’adapter à toute situation et non à se replier sur soi. La bonne cyberstratégie est de se mettre dans une situation où vous n’avez pas à vous protéger plus que de nécessaire. Si je reviens sur le numérique à la française, nous avons aujourd’hui un manque de réflexion stratégique et de recherches d’opportunités. Si le crédit d’impôt-recherche était réaliste en France, au lieu de subventionner des entreprises pour ne pas qu’elles déposent le bilan, on s’intéresserait à des start-up qui font preuve d’innovation et d’opportunisme.
Quel est votre sentiment sur l’agitation actuelle en matière de Cyberdéfense ?
Le Cyberespace est un domaine émergent qui mérite d’être cartographié, avant de réagir de façon émotionnelle et sur l’instant. On parle aussi de cyber-guerre, or la guerre est un concept brutal qui tue. A l’heure où nous parlons, nous n’avons aucun phénomène informatique clair et net qui aurait tué des gens. Si on pense aux Scada, c’est bien parce qu’on a confié un outil industriel à un robot défaillant que l’on pourrait observer un accident industriel. La problématique d’une éventuelle cyber-guerre est, de mon avis, plutôt un phénomène de guerre modérée mais de longue durée, donc de la cyber-guérilla, qui ne se résout pas avec la force brute mais avec la réflexion politique. La différence, c’est l’aspect multidisciplinaire qui devrait être mis en œuvre pour cette réflexion. En France, le problème est qu’on organise des chaires de recherche autour de personnalités sur lesquelles on verse des fonds, alors qu’il faudrait, comme aux Etats-Unis, construire des Think Tank multidisciplinaires qui travailleraient et publieraient en groupe, et financer des opportunités de coopération à plein temps sur des périodes de 6 mois ou d’un an...
*Kavé Salamatian, Professeur à l’Université de Savoie : http://kave.salamatian.org
commenter cet article …