Les infrastructures sont mieux protégées

23/02/2001 à 00h00

La sécurité de l'ensemble de l'infrastructure FAH reste l'une des préoccupations majeures des utilisateurs.

La sécurité est le point sensible des applications hébergées, reconnaît Jean Collet, coordinateur du groupe de travail marketing et communication de la branche française de l'Aspic (ASP Industrie Consortium). Raison pour laquelle la plupart des prestataires ont déployé des infrastructures matérielles, logicielles et humaines que peu d'entreprises ont les moyens de financer. "Point d'autant plus critique que, comme le souligne Marie Labeyrie, PDG d'Ornis, société qui pratique la location d'applications depuis près de trois ans, " les attaques sont rarement aveugles : les pirates ciblent une entreprise et essayent d'utiliser l'accès aux applications comme moyen pour pénétrer leur système interne ". Pour rassurer les entreprises et leur donner les moyens de vérifier la fiabilité de leur infrastructure, les fournisseurs ont élaboré un document contractuel, dans lequel ils regroupent les indicateurs de mesure de la sécurité physique et logique des applications.Baptisé SLA (Service Level Agreement ou engagement de qualité de service), il inclut également des critères relatifs aux temps de réponse et à la disponibilité des applications.Parce que la sécurité n'est pas une affaire de confiance, tous les points critiques - outils, mise à jour des systèmes et ressources humaines - doivent être inclus dans le SLA et vérifiés - avant et pendant la durée du contrat - par une personne compétente. Qu'il s'agisse d'un spécialiste de la sécurité de l'entreprise cliente ou d'un audit pratiqué par une société tierce, il devra s'assurer de la présence d'outils de protection contre les attaques externes : coupe-feu et systèmes de détection d'intrusions.

La protection antivirus est impérative

Le fournisseur doit également disposer d'une protection antivirus afin d'éviter non seulement le blocage de sa propre infrastructure, mais aussi la propagation à l'intérieur des entreprises. Côté contrôle d'accès, la plupart des prestataires sont dotés de serveurs d'authentification forte, combinés à des serveurs d'annuaires. Peu utilisés en contrôle d'accès en raison de la complexité de déploiement des certificats, les systèmes de chiffrement PKI (Public Key Infrastructure) sont, en revanche, déployés pour la protection des données pendant leur transfert sur le réseau.Enfin, les outils n'étant efficaces que si des hommes sont là pour les surveiller et les mettre à jour, il est impératif de s'assurer que le fournisseur dispose d'une équipe de veille et de procédures écrites pour réagir rapidement en cas d'attaque. Et ce vingt-quatre heures sur vingt-quatre, sept jours sur sept.

Apogée Communications: la sécurité, une garantie fondamentale

La sécurité ne devrait pas être un critère fondamental de choix d'un fournisseur d'applications hébergées. Tout simplement parce qu'elle constitue un prérequis obligatoire. " Pour s'en assurer, on peut miser sur les critères à la fois techniques et contractuels ", souligne Olivier Caleff, directeur technique d'Apogée Communications. Une visite du site permet d'évaluer et de vérifier les moyens techniques et organisationnels mis en ?"uvre. Toutefois, les clauses contractuelles sont parfois les seules garanties que l'entreprise cliente peut obtenir : le contrat de location des applications doit donc être soigneusement élaboré et incorporer des clauses adressant spécifiquement les besoins de chaque entreprise cliente.

Marie Varandat