Externalisation
de la sécurité : la tentation des seules
PME ?
S'en remettre à un prestataire externe en matière, notamment, d'applications de correctifs, possède de nombreux atouts mais peut aussi créer de la dépendance. Des pistes pour arbitrer. (Mardi 16 septembre 2003)
Face à la déferlante
des vers et virus qu'il faut contrer et des failles auxquelles
il faut régulièrement apporter une rustine,
la tentation est grande de s'en remettre à un professionel
spécialisé ou, du moins, de choisir une
solution la plus automatisée possible, avec mise
à jour distante.
Flexibilité, maîtrise des coûts et simplicité sont les
principaux atouts de ce genre de choix. Mais les décideurs
informatique n'en doivent pas moins rester vigilants quant
à la dépendance qui peut s'instaurer vis-à-vis
du prestataire choisi et à la potentielle perte
du savoir-faire en interne.
Transfert
de compétence Laurent
Muller, responsable informatique & télécom chez Alban
Muller - société française de 160
personnes qui possède trois serveurs audités
par Qualys - nous l'expliquait récemment : "je
ne suis pas certain qu'en effectuant la surveillance moi-même,
j'aurais vu [ces vulnérabilités]".
Le choix d'un prestataire à qui l'on délègue
la veille relative aux patches disponibles au jour le
jour permet de se décharger des contraintes liées
à ce genre de suivi et de maximiser la fiabilité
de son système.
C'est particulièrement
vrai pour les petites et moyennes entreprises où
les compétences et ressources ne sont que très
rarement au rendez-vous pour assurer ce genre de tâche.
Chez Lorans S.A., grossiste rennais en robinetterie qui
compte lui aussi 160 personnes, le choix s'est porté
sur Sodifrance
pour protéger l'intranet maison de toute mésaventure
pouvant intervenir via la porte d'entrée
ADSL.
"On n'aurait pas pu le faire en interne, on n'aurait
pas été capable de supporter la charge de
la sécurité et surtout pas son suivi. On n'a pas les compétences.
Personne n'a la 'casquette' sécurité ici", explique
Olivier Person, administrateur réseau et développeur chez
Lorans. Pour un forfait mensuel de 1 000 euros, Sodifrance
assure la maintenance matérielle, logicielle et les services
relatifs à la sécurité.
Et les grands comptes ? Mais l'externalisation
de la sécurité ne semble pas être
l'apanage des PME-PMI. Chez Marimba, éditeur de
solutions de télédistribution logicielle, et notamment
de gestion des patchs, on intervient en général
à partir de 1 000 postes, dont une partie est nomade.
"S'il s'agit de 1 000 postes que vous voyez, que
vous avez en face de vous, vous pouvez gérer. Mais
dès qu'un certain nombre d'entre eux est distant,
vous commencez à éprouver des difficultés",
précise Jean-Pierre Ullmo, Country Manager chez
Marimba.
Et le responsable d'ajouter : "Le ver Blaster a été
un vrai cauchemar. Quand vous possédez
10 000 postes, il faut environ un mois pour réparer toutes
les machines ! Le pire est que les problèmes surgissent
actuellement, car les postes itinérants sont récemment
revenus au bureau, alors que leurs utilisateurs s'étaient
connectés depuis leur lieu de vacances et n'avaient pas
été patchés à distance...".
Solutions
anti-virales : la parade des mises à jour automatiques
? Chez Century 21,
réseau d'agences immobilières
franchisées, le choix de la solution anti-virale
100% automatique ASaP de McAfee a été fait
pour protéger 2 400 postes et 650 serveurs dispersés
dans toute la France au sein des agences.
"Les agences sont toutes
interconnectées par un annuaire mail commun. En
cas d'infection, c'est le serveur de mail qui chute !",
note Jérôme Courtiade, directeur support
et qualité de Naxos, prestataire de service du
réseau Century 21 (Naxos gère la solution
ASaP pour le compte de Century 21, il se fournit pour
cela auprès du distributeur monDSI.com).
Dans le cas du réseau
Century 21, ce genre de solution convient parfaitement,
les utilisateurs ayant le plus souvent une connaissance
assez réduite des procédures et mécanismes
de sécurité. Mais il faut garder à
l'esprit qu'une dépendance - voire une perte totale de
contrôle - peut s'opérer lors du choix d'externalisation
de l'activité sécurité de l'entreprise.