La sécurité migre vers le SaaS

Filtrage antivirus et antispam de la messagerie, archivage, récupération après sinistre, audit de vulnérabilité, conformité : les services de sécurité hébergés se développent. Une opportunité d'accroître la sécurité à moindre coût.

Les éditeurs de solutions de sécurité ne partagent pas - tous - l'opinion du patron d'Oracle à l'égard du Cloud Computing. Ils se montrent en tout cas déjà de plus en plus intéressés par la fourniture de leurs produits sous la forme de services externalisés. Les spécialistes des services hébergés ont d'ailleurs déjà fait l'objet d'acquisitions par les ogres du secteur de la sécurité.

Dernier en date : MessageLabs, spécialisé dans la protection externalisée de la messagerie, et racheté le 8 octobre par Symantec pour 695 millions de dollars. Le même jour, le géant américain s'exprimait à La Haye, lors de sa conférence Vision + ManageFusion, sur sa stratégie SaaS. Symantec propose déjà aux Etats-Unis du SaaS dans les domaines de la sauvegarde et de la récupération après sinistre.

Pour cela, les données sont exportées, de manière incrémentale, dans des centres de données de Symantec. Sauvegarde et archivage seront dès mars 2009 étendus au reste du monde. Mais l'éditeur ne compte pas s'arrêter là et envisage de décliner ses solutions à la fois sous forme applicative classique (internalisées) et hébergées (cloud computing). A terme, la prévention des fuites de données (DLP ? Data Leak Prevention) sera elle aussi concernée.

Ces déclarations de Symantec pourraient bien présager de l'orientation des prochaines acquisitions des grands acteurs, généralistes, de la sécurité. Ces stratégies ont d'ailleurs déjà commencé, dès 2007, à se mettre en branle, dans une optique de diversification des offres. Symantec n'est en effet pas un précurseur et d'autres acteurs du marché ont plus tôt saisi l'opportunité de commercialiser des services en mode SaaS, notamment à destination des PME.

La messagerie, domaine le plus externalisé en sécurité

Secure Computing, MailInBlack, Webroot, MessageLabs, Postini, SurfControl, ISS proposent depuis plusieurs années de la sécurité sous forme de services hébergés. Ils ont quasiment tous été rachetés. Postini par Google (625 millions de dollars) en juillet 2007, SurfControl en avril la même année par Websense (400 millions de dollars en numéraire), et ISS par IBM en août 2006 (1,3 milliard de dollars).

La protection de la messagerie et la sauvegarde sont les niches où la concentration est la plus visible. L'externalisation de ce volet du système d'information est à la fois aisée à mettre en œuvre et source d'économies (en administration et en bande passante). Les mails sont ainsi traités par les serveurs de l'éditeur via une analyse antispam et antivirus avant d'être acheminés vers les serveurs de messagerie de l'entreprise.

Le filtrage antispam et antivirus externalisé peut d'ailleurs constituer un produit d'appel auquel s'ajouteront d'autres services, dont le chiffrement des emails et l'archivage, notamment dans un cadre légal. La conformité réglementaire est en effet de plus en plus un aspect de la sécurité avec lequel doivent composer les entreprises.

Google a d'ailleurs étendu son service d'archivage d'email à 10 ans. Pour 25 dollars par an (45 dollars pour jusqu'à 10 ans) et par utilisateur, le service Google Message Discovery (supportant Exchange et Lotus Domino) combine donc à la fois l'archivage et la sécurité de Postini. Le coût d'une telle solution si elle était gérée en interne reviendrait à 200 dollars par an et par utilisateur, selon Google.

Archivage des emails, antivirus et antispam : un service à 25 dollars par an et utilisateur

La réduction des coûts et la contrainte réglementaire sont certainement deux moteurs de développement pour la sécurité en mode SaaS. En matière de conformité (compliance), Qualys a d'ailleurs progressivement étendu son service d'audit des vulnérabilités pour prendre en compte ce dernier volet, incontournable pour les grands comptes. Les offres SaaS Policy Compliance et PCI Compliance sont des réponses à cet accroissement de la pression réglementaire.

La crainte pour les grands comptes, et les entreprises des secteurs sensibles, de voir des données sensibles (sur leurs vulnérabilités notamment) être exposées s'est peu à peu étiolée. Les éditeurs apportent en effet de plus en plus de garanties, tout comme a pu le faire Salesforce.com dans le CRM face aux appréhensions initiales.

Outre les habituels SLA, des prestataires comme Qualys ont implanté des datacenters en Europe et non plus exclusivement aux Etats-Unis afin que les données soient moins exposées (espionnage américain par exemple). Pour la messagerie, par laquelle peuvent circuler des informations sensibles, les emails ne seront pas stockés en mode externalisé. Pour la gestion des quarantaines des procédures de sécurité seront définies. Impératifs de sécurité et de confidentialité du monde de la santé sont ainsi respectés par Postini (distribué en France par Integralis), choisi par l'Institut de cancérologie Gustave-Roussy.

Les services Web sont enfin pour les éditeurs (qui deviennent alors des prestataires) l'opportunité de toucher de nouvelles cibles de marché, parmi lesquelles les PME. Les architectures mutualisées que représentent SaaS et Cloud Computing permettent en effet de commercialiser des solutions de sécurité à des entreprises pour qui elles seraient à la fois trop complexes et hors de prix en mode internalisé.

Mais si cette nouvelle forme de délivrance de la sécurité représente une nouvelle corde à l'arc des éditeurs, ces derniers doivent aussi se préparer à cette évolution de leur métier. Vendre des logiciels installés chez un client, et délivrer puis manager un service à distance, tout en administrant des centres de données (avec des impératifs de qualité et de disponibilité), sont a priori deux métiers distincts, qu'il leur faut alors maîtriser désormais à égal niveau.