Conséquence d’une superposition de facteurs, la pénurie de matière première se répercute sur l’industrie de la cybersécurité. Elle pousse constructeurs et distributeurs à se poser de nouvelles questions. Comment contourner l’écueil de la pénurie ? À l’échelle du firewall, alors que les boitiers semblent manquer, est-il possible d’assister à la fin du firewall physique ?
En d’autres termes, faut-il aller jusqu’à se passer de ces boîtiers informatiques si critiques ? Spoiler alert : non. Mais la réponse est plus complexe que ça. Au cœur du sujet, les semi-conducteurs. Dans son essai Chip War, le professeur américain Chris Miller retrace l’histoire de ce composant critique aujourd’hui au centre d’une intense bataille géopolitique. Ce contexte de tensions, accentué par la surconsommation de ces composants dans le contexte de la société du tout-connecté, se répercute au sein de l’industrie cyber. Une pénurie qui place cette industrie face à ses contradictions et soulève de nouveaux enjeux. Avec des conséquences directes notamment sur la fabrication du hardware des firewalls.
Le firewall, victime collatérale de la crise de la supply chain des semi-conducteurs
Pour arriver jusqu’aux racines de la pénurie actuelle, il faut se replonger dans l’histoire. Plus précisément dans les années 1960, une époque charnière au cours de laquelle les États-Unis décident de délocaliser la production de semi-conducteurs vers Singapour, Hong Kong, puis Taiwan à partir des années 1980, rappelle Chris Miller. Taiwan détient aujourd’hui 55% des contrats de fabrication pour tous les semi-conducteurs produits dans le monde. Surtout, la petite île située au large de la Chine s’est spécialisée dans la fabrication de puces ultra-performantes, par l’entremise de son entreprise-phare Taiwan Semiconductor Manufacturing Company (TSMC) qui a développé une technologie de pointe. Les tensions entre les États-Unis et la Chine, ravivées dernièrement par la décision du département du Commerce américain de limiter l’export de ces composants vers la Chine sur fond de tensions historiques, laissent planer la menace d’un conflit international. Et aux tensions géopolitiques s’ajoutent des phénomènes conjoncturels. Des intempéries ont affecté plusieurs grandes usines de production, un typhon a notamment frappé l’usine Renesas au Japon en juillet dernier. Quelques mois plus tôt, une sécheresse avait frappé Taiwan, ralentissant les chaînes de production et d’approvisionnement. Encore plus tôt, à l’hiver 2021, la fonderie Samsung du Texas avait été fermée à cause de phénomènes météorologiques. De plus, chaque résurgence de la pandémie de Covid-19 conduit à des crispations sur la chaîne de production de semi-conducteurs.
Ces différentes crispations impactent tout le domaine de l’informatique, et particulièrement les produits physiques. Au niveau de l’exemple d’un firewall, de nombreux éléments qui le constituent sont touchés par cette pénurie en composants informatiques (PCB, fibre optique, RAM, processeur, disque, diodes, convertisseurs de tension…). Et cette situation ne concerne pas que les États-Unis, puisque ses effets sont également très perceptibles en Europe. Où l’anticipation de ces pénuries en composants informatiques a été à géométrie variable selon les constructeurs. « Les délais pour obtenir certains composants sont maintenant couramment d’un ou deux ans, explique Alain Dupont, Directeur du Service Clientèle et Directeur Général Délégué Stormshield. Ce qui nous a poussé depuis mi-2020 à anticiper nos commandes de production de firewall plus d’un an à l’avance. » Si certains ont pu anticiper et accumuler du stock d’équipement, d’autres se retrouvent aujourd’hui en difficulté. Une version cyber de la cigale et la fourmi, mais avec une troisième figure dans l’équation : des entreprises qui stockent non pas équipements, mais des composants dans le but de faire monter les prix.
Les délais pour obtenir certains composants sont maintenant couramment d’un ou deux ans. Ce qui nous a poussé depuis mi-2020 à anticiper nos commandes de production de firewall plus d’un an à l’avance.
Alain Dupont, Directeur du Service Clientèle et Directeur Général Délégué Stormshield
Face à cette incertitude inédite, pourtant amenée à durer, comment réagissent les principaux concernés ? Certains font le choix de se tourner vers le marché secondaire des composants informatiques, communément appelé « open market » ou « grey market ». Un choix qui n’est pas anodin et un espace « dont il est important de maîtriser les codes pour en éviter les risques, précise Julien Paffumi, Product Portfolio Manager Stormshield. Car il faut s’assurer de la qualité des composants que l’on y trouve. » Pour s’assurer de la qualité de ces derniers, « il faut a minima demander et vérifier des échantillons avant de recevoir des lots complets, explique Alain Dupont. Sans oublier de demander des certificats de vente et d’authenticité quand il est question de composants sensibles. »
Les réponses des constructeurs face à la pénurie
Ce contexte tendu sur l’approvisionnement en semi-conducteurs pousse également à repenser le lien au firewall physique et à se questionner davantage sur le choix de firewalls virtualisés. Sur le papier, les fonctionnalités sont identiques, la différence majeure se situe au niveau du déploiement (entre un équipement réseau et un serveur qui héberge des environnements virtuels). Si le firewall physique se décline le plus souvent sous la forme d’un boîtier au format 1U contenant en son verso l’ensemble des ports Ethernet permettant la connectivité, le firewall virtualisé est quant à lui déployé sous la forme d’une machine virtuelle sur un hyperviseur. Mais c’est bien cet hyperviseur qui rappelle à la réalité opérationnelle : « on ne fait ici que déplacer le problème ailleurs puisque derrière un firewall virtuel, il y a toujours du hardware, explique Alain Dupont.
On ne fait ici que déplacer le problème ailleurs puisque derrière un firewall virtuel, il y a toujours du hardware.
Alain Dupont, Directeur du Service Clientèle et Directeur Général Délégué Stormshield
Une autre option consiste à faire reposer la sécurité périmétrique sur un prestataire d’hébergement Cloud. De nombreuses offres de filtrage dans le cloud existent comme le FWaaS (firewall-as-a-service) et plus récemment le concept de SASE (secure access service edge) décrit en 2019 par le cabinet américain Gartner. Ces offres flexibles se déploient facilement mais le client se voit toutefois contraint de déléguer la gestion de la sécurité de la plateforme d’hébergement à un tiers. Du point de vue contractuel, ce dernier est également exposé à de potentielles hausses de prix.
Quelles solutions pour les utilisateurs ?
Ces deux méthodes alternatives ne sont donc pas magiques, elles ont chacune leurs limites. Déjà parce que l’une comme l’autre ne peuvent pas vraiment résoudre la question de la dépendance aux semi-conducteurs ; le Cloud nécessite une infrastructure matérielle (de data centers), qui partage pour partie les mêmes composants que les firewalls physiques. D’un point de vue financier ensuite, il n’est pas possible de résumer les solutions virtuelles à une version moins onéreuse que leurs équivalents physiques, puisque les coûts se décalent : du firewall physique de bordure de réseau au serveur contenant l’hyperviseur sur lequel est installé le firewall virtuel. Certaines (petites) entreprises sont aujourd’hui dans l’incapacité d’investir dans ces équipements coûteux en lieu et place d’un boîtier physique dédié, au tarif d’entrée de gamme.
En parallèle, la solution du firewall-as-a-service n’est pas optimale pour tous les types d’entreprises, à l’instar des opérateurs d’importance vitale (OIV) en France. Ce type de structure critique doit prioritairement recourir à des installations « on-premise ». D’autant que l’ANSSI refuse pour le moment de qualifier les versions virtuelles des firewalls, contrairement à leurs homologues physiques. Toutefois, le projet de Cloud public SecNumCloud pourrait permettre de lever cet obstacle en se rapprochant d’une qualification de type ANSSI – une situation à suivre.
Une autre option pour faire face à la pénurie des composants est celle d’étendre la durée de vie du firewall. Mais comme toutes les possibilités déjà évoquées, elle comporte elle aussi sa part de risque. Dans l’hypothèse où le constructeur ne maintient plus le boitier en question, l’absence de mises à jour peut conduire à ce que des failles de sécurité restent béantes. Et le client devra faire face tôt ou tard à une défaillance de son équipement, sans possibilité de le remplacer à ce moment-là. Cette solution n’en est donc pas vraiment une du point de vue cyber… Dans l’autre hypothèse où le constructeur maintient son boitier, il va continuer à assurer des mises à jour régulières. Mais les besoins croissants en performance ne pourront pas suivre. « Lorsqu’on renouvelle une gamme, c’est pour atteindre un niveau de performance optimal par rapport aux bandes passantes et aux besoins actuels », rappelle Julien Paffumi.
Le reconditionnement peut aussi se présenter comme une option à destination des utilisateurs. Gare toutefois à bien choisir son fournisseur. En juillet dernier, un entrepreneur américain a ainsi été arrêté pour avoir importé du matériel reconditionné. Problème, ces firewalls reconditionnés étaient frauduleux et contenaient des backdoors…
En conclusion, il paraît très difficile de déclarer la mort du firewall physique, même face à la persistance de la pénurie actuelle en semi-conducteurs. En attendant la réindustrialisation européenne initiée par la Commission européenne à l’horizon 2030, la guerre de l’approvisionnement fait rage dans l’univers de la cybersécurité.
