Cybersécurité : la revanche du on-premise
Il y a seulement quelques années, le on-premise en cybersécurité était ringardisé, au profit d'un move to cloud perçu comme inéluctable. Ironie de l'histoire, le on-premise signe actuellement son grand retour. "L'informatique, c'est des cycles. Il y a six ans, tout le monde voulait du cloud pour les solutions de cybersécurité. Puis on a assisté à une bascule il y a quatre ans, au moment du Covid-19. La tendance s'est inversée : les clients et prospects ont commencé à demander du on-premise. Donc il y a un nouveau petit cycle qui démarre. Maintenant, dans les demandes, il y a 50% de cloud et 50% de on-premise. Mon sentiment est qu'il va y avoir toujours plus de demandes de cybersécurité on-premise dans les mois qui viennent", affirme Jean-Nicolas Piotrowski, fondateur d'ITrust, un managed security service provider (MSSP) appartenant au groupe Iliad.
Moins cher et plus souverain
Le move to cloud, en matière de cybersécurité, a prospéré sur une promesse alléchante pour les clients : "Quand le pendule a basculé vers le cloud, il régnait l'idée que le cloud permettait de bénéficier de solutions de cybersécurité moins chères et plus performantes que les autres", se rappelle Anouck Teiller, adjointe au directeur général d'HarfangLab, jeune pépite française de cybersécurité. Or, actuellement, cette promesse est totalement réfutée. Désormais, ce sont les solutions on-premise qui séduisent en raison de leurs tarifs.
Le stockage dans le cloud coûte en effet de plus en plus cher, ce qui augmente mécaniquement le prix des solutions de cybersécurité qui y sont déployées. "Aujourd'hui, il y a des services de cybersécurité online dont le tarif a triplé en deux ans. En fait, les fournisseurs augmentent les tarifs quand leurs clients ont les mains et pieds liés. Tout cycle informatique fait que les prix augmentent au fur et à mesure que les contrats s'exécutent", ajoute Jean-Nicolas Piotrowski. Selon lui, cette hausse des prix explique la raison pour laquelle de nombreuses organisations souhaitent rapatrier leur cybersécurité entre leurs propres murs.
Le directeur d'OpenText France et Belux, Christophe Gaultier, partage le même avis tout en se frottant les mains tant cela arrange ses affaires : "Il y a quatre ans, tout le monde demandait des solutions de gestion des identités et des accès dans le cloud. Malgré cela, nous avons fait le choix de conserver notre modèle on-premise pour ces solutions. Et aujourd'hui, de plus en plus de clients demandent ces solutions en mode on-premise, ce qui nous convient parfaitement !"
"Autre chose : il y a quelques années, un client a fait le choix de mettre la gestion de ses logs dans le cloud, en utilisant une solution américaine très connue. Mais, à cause de l'explosion des coûts de stockage, il a acheté notre solution de security information and event management en mode on-premise. Celle-ci lui permet de ne faire remonter que les logs pertinents dans la solution américaine. C'est-à-dire que ce client achète notre solution on-premise pour faire diminuer le coût d'une autre solution dans le cloud ! C'est du grand n'importe quoi ! En procédant ainsi, ce client a réalisé des millions de dollars d'économie. Il y a du cost killing à faire sur le cloud".
En plus de son attractivité tarifaire, le on-premise est de plus en plus choisi pour des raisons liées à la maîtrise des données, que celles-ci soient sensibles ou non. "Le critère de la souveraineté entre souvent en compte chez les clients qui demandent du on-premise. Ce choix offre effectivement une réponse très adaptée à la recherche d'autonomie stratégique d'une entité", estime Anouck Teiller. Et pour cause, les données échappent alors à la menace du Cloud act ou du Foreign intelligence surveillance act, quand elles sont traitées par des solutions hébergées chez des hyperscalers américains, ce qui est souvent le cas.
Une cybersécurité on-premise qui se modernise
Toutefois, les fournisseurs qui proposent de la cybersécurité on-premise doivent encore lever des obstacles pour convaincre les entreprises. Parmi eux, demeure celui d'une cybersécurité on-premise perçue comme complexe à mettre en œuvre, regrette Jean-Nicolas Piotrowski : "Je ne comprends pas pourquoi cela pose des difficultés aux entreprises de choisir le on-premise pour leur cybersécurité. Nous, quand on installe des solutions de cybersécurité on-premise, on a seulement besoin d'une machine virtuelle, parfois d'un virtual private network, on installe le tout à distance, et c'est fini !".
Le fondateur d'ITrust considère que la réputation du on-premise comme modèle complexe à mettre en œuvre est savamment entretenue par les grands fournisseurs qui ont déployé toutes leurs solutions dans le cloud. "Il existe désormais un tas de fournisseurs qui n'ont pas du tout intérêt à ce que le on-premise soit valorisé, car leurs technologies ne pourraient pas suivre ce mouvement."
Le on-premise souffre aussi de la réputation de ne pas pouvoir intégrer les nouvelles technologies qui apparaissent sur le marché de la cybersécurité. "Mais le on-premise has been avec des installations dans un sous-sol d'une entreprise n'est plus la réalité", estime Anouck Teiller. "Pendant très longtemps, la technologie utilisée dans le on-premise était surtout du hardware. Mais nous assistons actuellement à une sorte de virtualisation du on-premise. Etant donné que le on-premise est clairement destiné à rester, il se modernise. Des technologies utilisées dans le cloud, dans des machines virtuelles ou des cluster Kubernetes, sont en train d'être déployées dans des instances on-premise. Souvent, des clients et prospects nous demandent s'ils pourront bénéficier des futures technologies s'ils choisissent du on-premise. C'est pourquoi nous investissons dans la portabilité on-premise des dernières innovations pour nous assurer de rester à des niveaux de performance équivalents aux solutions déployées dans le cloud".
En outre, une transition vers le on-premise est souvent imaginée comme un retour intégral sur site des solutions de cybersécurité. Cependant, elle peut parfaitement s'inscrire dans une approche hybride mêlant on-premise et cloud. "Il ne faut pas voir les choses de façon binaire en la matière en se disant qu'il faut acheter des solutions soit on-premise, soit dans le cloud. Il existe des adaptations techniques et il est tout à fait possible de mixer les deux. Aujourd'hui, nous avons des clients qui ont une partie de leur environnement dans du cloud, et une autre partie, avec des processus métiers sensibles, dans du on-premise."
Vers une cybersécurité on-premise pour PME ?
Cependant, ce retour du on-premise concerne essentiellement les grandes entreprises et certaines de taille intermédiaire, affirme Jean-Nicolas Piotrowski. "Une entreprise qui réalise 50 millions de chiffre d'affaires, qui a au minimum une petite équipe informatique, tend désormais à internaliser sa cybersécurité. Par contre, si l'entreprise n'a pas d'équipe pour gérer sa cybersécurité, elle ne veut pas de on-premise."
Selon lui, la tendance pourrait toutefois évoluer. Jusqu'alors, le on-premise demeurait hors de portée de nombreuses petites et moyennes entreprises (PME), faute de talents cyber disponibles à des coûts raisonnables. Mais la montée en puissance des compétences dans le secteur, accompagnée d'une baisse mécanique des salaires, pourrait encourager certaines PME à recruter des analystes capables de gérer leur cybersécurité on-premise.
En outre, certains MSSP proposent à leurs clients d'installer un centre des opérations de sécurité on-premise géré par leurs propres analystes. "Pour cela, il est possible d'activer un lien d'accès à distance sécurisé jusqu'au client permettant au MSSP d'agir à distance sur le stack cyber." Aussi, de plus en plus de partenaires de MSSP installent leur propre SOC on-premise qu'ils mutualisent pour plusieurs clients, afin de les faire bénéficier de leurs propres analystes. "C'est un phénomène que l'on observe de plus en plus". Grâce à ces offres, de plus en plus de PME pourraient donc choisir de tourner le dos définitivement à la cybersécurité gérée dans le cloud.