Philippe Courtot (Qualys) : "Nous voulons amener sécurité et conformité dans une seule application SaaS"

Pouvez-vous nous présenter Qualys et ses spécificités ?

Qualys a été créée en 1999. Son objectif était de systématiser et d'automatiser les tests de vulnérabilités. Nous avons donc bâti un service de sécurité délivré par Internet à une époque à laquelle on ne parlait pas encore de SaaS [ndlr : software as a service].

Après 7 ans d'activité, Qualys a enregistré une belle pénétration sur le marché des applications de scan de vulnérabilités. La société compte désormais plus de 3 000 clients, dont 30% des entreprises du Fortune 100. Nous sommes présents au niveau mondial avec un modèle que je pourrais comparer à celui d'Apple avec l'interaction entre sa plate-forme iTunes et l'iPhone.

Quels autres services de sécurité hébergés préparez-vous ?

Notre prochaine étape est d'amener la sécurité et la conformité dans une seule application délivrée en SaaS. Ce volet conformité sera en bêta en fin d'année, pour une disponibilité au premier trimestre 2008.

Pour délivrer ce service, nous avons étendu la capacité de nos scans pour collecter des données de conformité comme le niveau des patchs, la configuration de l'OS, etc. Ces informations sont consolidées et rapprochées des exigences réglementaires afin de définir le niveau de conformité et d'éditer des rapports. Le client peut bien entendu définir ses propres contrôles, pour établir notamment sa propre politique de conformité d'entreprise.

En 2008 également, nous proposerons un service de scan des applications Web. Toujours en ligne, il sera ainsi possible de réaliser une analyse d'une application Web afin de détecter des failles de types XSS, injection SQL, etc. Il sera également possible d'auditer le code source d'une application. D'autres prototypes sont aussi en chantiers.

Qu'apporte le mode hébergé par rapport à un logiciel traditionnel ?

Ce qu'il faut comprendre c'est que le modèle du SaaS répond à un besoin de consolidation. C'est en outre une nouvelle forme de délivrance de services et de technologies qui démarre. Le mode hébergé était pourtant initialement perçu comme inadapté pour répondre aux besoins des grands comptes.

Or on s'aperçoit désormais qu'il n'en est rien et que les principaux éditeurs de logiciel s'y mettent en urgence. Mais ils doivent préalablement apprendre un nouveau métier. Beaucoup de pratiques n'ont plus cours - freiner l'interopérabilité, augmenter les prix, etc. Il est ainsi impossible d'emprisonner un client qui peut facilement passer d'un service à un autre si les conditions ne sont plus conformes à ses attentes. L'utilisateur peut en outre demander des accords sur la qualité de service, des SLA.

Dans un passé proche, le modèle Saas était confronté à une résistance, notamment des personnes de la sécurité qui jugeaient l'externalisation comme source de risques. Le vent a tourné. Les systèmes d'information des entreprises ont dû s'ouvrir et s'interconnecter, encouragés en cela par la pression du marché.

Dans ces SI éclatés, déployer un logiciel peut s'avérer très complexe. Avec les services hébergés, l'entreprise s'affranchit des problématiques de déploiement. Elle n'a pas à mettre en place une infrastructure puisqu'elle lui est fournie par le prestataire.