Le second souffle des services infogérés de sécurité Les critères de choix
En promettant aux entreprises une gestion clé en main et entièrement externalisée 24h/24 et 7j/7 de la sécurité de leur SI , les fournisseurs de services infogérés de sécurité - également appelés Managed Security Service Provider - ont fait un pari des plus risqués. Car la délégation d'une activité aussi stratégique ne va pas sans susciter des craintes.
Pourtant, depuis 2000, ils sont parvenus (en parti) à remporter leur pari.
De quelle façon ? En diversifiant notamment la couverture fonctionnelle et technique de leur offre : "les fournisseurs de services se renforcent au fur et à mesure aussi bien dans l'administration à la demande des équipements de sécurité que dans la surveillance des comportements anormaux ou les tests de vulnérabilité", fait savoir Yann Fareau, responsable de l'activité sécurité chez Devoteam.
| Source : JDN Solutions | |
| 1 | Sécurité des infrastructures systèmes/réseaux et des postes de travail |
| 2 | Services sur-mesure avec transfert de responsabilité |
| 3 | Respect des normes ISO 27001 et SAS 70 Type II |
Jusqu'à récemment orientées autour de la protection des infrastructures systèmes/réseaux (DMZ, serveur proxy, filtrage d'URL...), les MSSP ne manquent plus de sécuriser les postes de travail et le parc applicatif de l'entreprise (antivirus, antispam, gestion des identités et des accès...).
"Les MSSP se distinguent non seulement en fonction de la granularité des services proposés en termes de prévention, de surveillance réseau et d'administration de la sécurité, mais également des niveaux de services fournis et de leur couverture technique", annonce Laurent Perruche consultant sécurité chez Solucom. Pour faire la différence, certains n'hésiteront plus à proposer par exemple un service d'externalisation sur-mesure aboutissant à un important transfert de responsabilités au niveau organisationnel de l'entreprise vers son prestataire. Avec, pour corollaire au niveau de confiance élevé accordée, une capacité de ce dernier à tenir ses engagements.
Même s'ils ne peuvent à eux-seuls garantir la conformité et réussite de la prestation fournie, le respect des normes ISO 27001 et SAS 70 Type II peut donc constituer un précieux indicateur de l'engagement qualité du prestataire. "En France les MSSP ne sont pas tenus de proposer des services infogérés reposant sur la norme ISO 27001 qui représente pourtant aux yeux d'un certain nombre d'entreprises et surtout des grands comptes un gage supplémentaire de crédibilité", souligne Yann Fareau.