Bruce Schneier a publié un billet intéressant à propos de l'industrie de la sécurité informatique. Il suit une interview qu'il a donné et qui a provoqué quelques remous, nécessitant donc quelques compléments d'explication.

Je ne vais pas détailler le contenu du billet[1] mais juste en faire une petite citation :

The primary reason the IT security industry exists is because IT products and services aren't naturally secure. If computers were already secure against viruses, there wouldn't be any need for antivirus products. If bad network traffic couldn't be used to attack computers, no one would bother buying a firewall. If there were no more buffer overflows, no one would have to buy products to protect against their effects. If the IT products we purchased were secure out of the box, we wouldn't have to spend billions every year making them secure.

dont une traduction approximative serait

La raison principale de l'existence de l'industrie de la sécurité informatique est que les produits et services informatiques ne sont pas naturellement sûrs. Si les ordinateurs étaient protégés des virus, il n'y aurait pas besoin de produits antivirus. Si le mauvais trafic réseau ne pouvait être utilisé pour attaquer les ordinateurs, personne ne s'inquièterait d'acheter un pare-feu. Si il n'y avait plus de débordement de tampon, personne n'aurait besoin d'acheter des produits pour se protéger contre leurs effets. Si les produits informatiques que nous achetons étaient sûrs par défaut, nous n'aurions pas besoin de dépenser des milliards chaque année pour les rendre plus sûrs.

C'est marrant parce que c'est exactement la théorie que je défend avec les utilisateurs de Windows quand ils me parlent d'antivirus, d'antispyware, de parefeu, etc. et qu'ils me soutiennent qu'ils sont absolument nécessaires...
Bien entendu, je leur dit qu'ils n'ont qu'à passer sous Linux ;-)

Notes

[1] je vous laisse le lire, ça vous permet de réviser votre anglais en plus... ;-)