|
En
savoir plus |
|
Dossier
Virus |
Elément essentiel de l'informatique d'entreprise, la sécurité
du système d'information est aujourd'hui présente pour la quasi-totalité
des sociétés, de la TPE au grand compte. Ainsi, selon les chiffres
de l'étude CSI / FBI, plus de 90% des entreprises dans le monde
disposent d'antivirus et de pare-feu.
Si la problématique est bien comprise par les dirigeants d'entreprise,
la sécurité informatique pose parfois quelques problèmes lors
de sa mise en uvre (moyens ou compétences insuffisants, complexité
de l'architecture, lourdeur à l'utilisation
). C'est à ces problèmes
que tentent aujourd'hui de répondre les offres de services en
matière de sécurité.
Première
cible de ces services, les PME / PMI où les besoins en sécurité
se révèlent similaires à ceux d'un grand compte. "Souvent, le
recours à l'externalisation s'effectue pour des questions de
coût. Cela permet à l'entreprise de se protéger contre les
menaces informatiques sans recourir à une équipe interne nécessitant
un bon niveau technique. L'entreprise peut alors se recentrer
sur son cur de métier", déclare Laurent Dupuy, consultant en
sécurité systèmes et réseaux pour Free Security.
Pour ce type d'acteurs, la sécurité en mode services hébergés
facilite également la gestion au quotidien des licences, des
mises à jour de sécurité et du paramétrage des produits. Les
PME / PMI disposent d'une visibilité plus claire sur leur ligne
budgétaire en sécurité informatique qu'elles peuvent moduler
selon l'activité de l'entreprise. C'est aussi un moyen simple
de tester de nouvelles fonctionnalités comme le VPN ou les systèmes
de détections d'intrusions.
Les
entreprises multi-sites s'y intéressent pour leurs
liens WAN |
"Il y a une autre typologie de clients intéressée par ces offres
: les entreprises multi-sites qui souhaitent confier à un opérateur
télécoms leur réseau étendu WAN et la sécurité à un prestataire
de services tiers. Les clients sont alors à la recherche de
souplesse et de fonctionnalités étendues que ne fournissent
pas les opérateurs dont ce n'est pas le métier", ajoute Jean-Noël
de Galzain, directeur associé pour Wallix, partenaire avec Amalix
d'une offre de sécurité hébergée.
Les grands comptes s'y penchent également pour d'autres raisons.
Dans les services de sécurité hébergées sont nées des solutions
d'audits réseaux ou de tests de vulnérabilité en continu. Les
sociétés peuvent ainsi être alertées dans un laps de temps très
court des risques potentiels affectant leurs réseaux et réagir
instantanément. "Des sociétés comme Thalès, Easynet ou France
Télécom se positionne aujourd'hui sur ces créneaux là", commente
Laurent Dupuy.
En tant que services Web, les solutions proposent même de nouvelles
possibilités aux administrateurs systèmes. "Il y a six mois,
nous sommes passés sur l'antivirus McAfee de MonDSI.com pour
me libérer de mes préoccupations. Le gros avantage vient de
la simplicité de ce système. Sur une seule page Web accessible
de n'importe où, je peux savoir quelle machine est à jour ou
contaminée sans avoir besoin de prendre le contrôle du poste
à distance", raconte Thierry Souksavanh, gestionnaire du parc
informatique de l'Institut Politique de Lyon et client du service
MonDSI.com.
Reste à justifier le recours aux services auprès de la direction
informatique ou de la direction générale, car la sécurité est
souvent liée aux fonctions critiques du système d'information.
L'enjeu se montre d'autant plus important qu'il laisse une ouverture
à un tiers sur le système d'informations de l'entreprise tandis
que les informations transitent vers une boîte noire.
La
négociation du contrat de service s'avère
déterminante |
"La clé de voûte se situe dans la négociation du contrat. Il
faut penser qu'un jour, il peut se passer quelque chose qui
conduira l'entreprise à réintégrer sa sécurité ou à la confier
à un autre prestataire. Ce cas doit être prévu contractuellement.
Il est essentiel pour le client de pouvoir contrôler aussi bien
le travail effectué par le prestataire que les budgets confiés",
souligne le consultant de Free Security.
Une crainte que les éditeurs et sociétés de services ont bien
compris et cherchent à apaiser. "Tous nos employés signent un
contrat de confidentialité. Nous nous engageons par ailleurs
sur la qualité du service, le rétablissement en cas de problème
et la transparence des opérations. Enfin, dans le cas d'une
défaillance, le client peut avoir accès au code source de la
solution. Ce code est stocké chez un tiers de confiance", assure
Jean-Noël de Galzain.
Du coté des clients, si l'enthousiasme est là, la bascule vers
un système de sécurité totalement externalisé n'est jamais envisagé
à court terme, mais plutôt par migration de briques successives.
"MonDSI m'a laissé testé quelques licences antivirus pendant
un mois environ. Dernièrement, je viens de tester la fonction
firewall avec 50 licences. A terme, l'école envisage de s'équiper
en portables. Les options VPN pourraient alors avoir un sens",
témoigne Thierry Souksavanh.
Les
services Web autorisent un paramétrage plus fin
des applications |
Pour les clients les plus exigeants, les fournisseurs vont jusqu'à
proposer des contrats à engagement de résultats assortis de
pénalités en cas de non respect des clauses. Mais tout ne peut
pas non plus sortir du cadre de l'entreprise. "Malgré tout,
sur des aspects très sensibles, les entreprises restent réticentes
à confier leurs données à des pare-feu qui peuvent être mutualisés",
note Laurent Dupuy.
Il convient donc de définir le champ d'applications possible
des services en sécurité et d'en étudier l'opportunité quand
il y a eu lieu. "En tant que gestionnaire, l'outil présente
beaucoup d'intérêts, reste à le paramétrer efficacement. Dans
le public par exemple, nos machines changent souvent de propriétaire.
Avec le système actuel, le produit crée des doublons pour une
même adresse IP ce qui rend la surveillance plus compliquée", affirme
Thierry Souksavanh.
|
En
savoir plus |
|
Dossier
Virus |
L'enjeu est en effet purement administratif car à condition
d'y mettre le prix, les services en sécurité s'avèrent tout
aussi complets et performants que les solutions logicielles
du marché. Il convient donc de bien étudier le rapport niveau
de services / prix, pour ne pas tomber dans le piège d'une
sécurité au rabais.
|