“La guerre ! C’est une chose trop grave pour la confier à des militaires“, s’exclamait en son temps Georges Clemenceau. La sécurité des systèmes d’information est-elle devenue si essentielle qu’il faille la sous-traiter à des sociétés externes spécialisées ? Ce thème est au c?”ur du discours sous-jacent aux offres de services de gestion déléguée de la sécurité (ou MSS, Managed security services), dont la promotion a été renforcée ces derniers mois. Pourquoi trouvent-elles une résonance accrue ?Parce que la sécurité des systèmes d’information acquiert une importance cruciale. Cette sécurité se trouve au carrefour de deux évolutions majeures. D’une part, les systèmes d’information sont devenus la mémoire de l’organisation et un outil de travail indispensable. D’autre part, en même temps que cette montée en puissance, ils ont cessé d’être des îlots isolés pour s’ouvrir à l’extérieur et mettre en ?”uvre la fameuse économie en réseau.Cette ouverture, notamment via Internet, va se poursuivre parce qu’elle permet des accroissements sensibles de productivité : transactions électroniques, intégration des chaînes logistiques, information et fidélisation de la clientèle, etc. Elle répond également à un besoin réel de flexibilité, lié aux personnels itinérants ou au télétravail.Face à ce besoin, les entreprises, au moins les plus grandes, ont massivement nommé des responsables sécurité et mis en place des politiques idoines. La mise en ?”uvre concrète, en revanche, représente le point sensible : les infrastructures de sécurité restent complexes à déployer et à configurer. Qui plus est, la sécurité est un domaine en perpétuelle évolution. Sans cesse, de nouvelles failles sont découvertes, des menaces inédites surgissent. L’administration des systèmes de sécurité nécessite une attention constante et une mise à niveau permanente des connaissances. Enfin, les experts sécurité sont rares et, par conséquent, onéreux.Ces difficultés de mise en ?”uvre des solutions de sécurité forment, en fait, le creuset des offres de gestion de la sécurité. En quoi consistent ces offres de services ? Toutes interviennent en aval de la définition d’une politique de sécurité. Cette dernière reste essentiellement l’apanage de l’entreprise, même si l’assistance d’un conseil spécialisé peut apporter une structuration et des méthodes précieuses.
Prestations ponctuelles ou externalisation totale
La première catégorie d’offres consiste en de pures prestations intellectuelles. Le prestataire met des experts à disposition, sur une base mutualisée, pour analyser les divers journaux générés par les équipements de sécurité (coupe-feu, système de détection d’intrusions, antivirus, etc.). Les équipements sont ainsi contrôlés en permanence par des personnels toujours à la page. Le prestataire peut également apporter une aide ponctuelle lorsque l’entreprise doit faire face à une attaque. La seconde catégorie concerne l’externalisation complète de certains équipements de sécurité. Dans ce cas, le prestataire prend en charge la configuration, la maintenance et l’administration des équipements.Quatre types d’acteurs poussent les feux sur ce marché. Premièrement, les opérateurs télécoms, forts de leurs services d’accès Internet ou d’accès distant, proposent de plus en plus la gestion des pare-feu. Souvent, en effet, ces équipements se trouvent juste derrière les routeurs de ce même opérateur. Alternativement, certains opérateurs disposent de fonctions pare-feu au sein même de leur infrastructure réseau. Deuxièmement, les sociétés d’infogérance informatique souhaitent naturellement étendre leur périmètre d’action, profitant de leurs relations existantes avec les entreprises. Troisièmement, certains fournisseurs de solutions de sécurité ont trouvé dans les services un nouveau créneau de croissance. Quatrièmement, des acteurs entièrement dédiés à la sécurité sont apparus, arguant que, en dehors de la spécialisation, il n’y avait point de salut.
Une occasion pour évaluer sa politique de sécurité
Pour l’entreprise qui souhaiterait tirer parti de ces offres de services, la question se résume au débat traditionnel sur l’externalisation. Les tenants de cette approche font miroiter une meilleure efficacité, des économies “sonnantes et trébuchantes “, ou la présentent tout simplement comme la solution à un recrutement impossible. De l’autre côté, les opposants insistent sur la perte de contrôle et les délais de réaction plus lents face aux demandes des usagers. Que certains traits d’une entreprise prédisposent ou non cette dernière à l’externalisation ?” globalement, plus la sécurité est essentielle, plus la société dispose de moyens élevés et souhaite conserver la sécurité en interne ?”, il n’en reste pas moins que chaque cas mérite d’être considéré individuellement.Envisager l’externalisation de tout ou partie de la sécurité peut, finalement, constituer une occasion unique d’évaluer la mise en pratique réelle des beaux principes édictés dans les politiques de sécurité, et de séparer le bon grain de l’ivraie. Les éléments stratégiques doivent rester en interne, tandis que les tâches répétitives ou consommatrices de temps gagneraient à être externalisées.L’externalisation de la sécurité n’est pas une bonne ou une mauvaise idée en soi, tout est question de mesure et de discernement. “* directeur de l’activité Sécurité et services IP de Siticom Telecoms Consulting
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
