La sécurité suit aujourd’hui la tendance générale qui vise à externaliser de nombreuses fonctions du périmètre historique du SI (messagerie, applications métiers…).
Force est de constater que la sécurité n’est plus un frein à sa propre externalisation. Les principaux risques que craignaient les RSSI il y a encore quelques années peuvent désormais être maîtrisés. À condition bien entendu de respecter quelques règles d’or acceptées par la plupart des fournisseurs : engagement de réversibilité, clauses d’audit, mécanismes de suivi des SLA et certifications des fournisseurs …
Le RSSI n’a que l’embarras du choix : il est aujourd’hui possible d’externaliser quasiment tous les services imaginables en termes de sécurité opérationnelle. Mais alors que doit-on externaliser, et pourquoi ?
Externaliser pour rationaliser
Depuis des années, les entreprises font appel aux MSSP (Managed Security Service Providers) pour gérer leurs infrastructures sécurité : management du parc de firewalls, surveillance des consoles anti-virus et des IDS…
Ces fournisseurs, tirant partie de leurs nombreux retours d’expérience, proposent aujourd’hui des offres totalement packagées et industrialisées. La mutualisation de leurs ressources et processus permet d’optimiser les coûts, à tel point qu’aujourd’hui les business case penchent quasi-systématiquement en faveur de l’externalisation !
Et l’industrialisation pourrait encore aller plus loin… avec le marché des SecAAS (Security-as-a-Service). Ces « nouveaux entrants » ne se limitent pas à la gestion des infrastructures, mais fournissent directement des mesures de protection dans le Cloud (filtrage web, messagerie sécurisée, authentification forte…). Leurs clients peuvent ainsi bénéficier de tous les avantages hérités du Cloud (mutualisation, optimisation, flexibilité…) tout en réduisant le coût de l’exploitation de leur infrastructure.
Externaliser pour mieux se protéger
Paradoxalement, l’externalisation peut même avoir comme objectif premier d’augmenter le niveau de sécurité… en tirant partie de la vision globale, inter-clients, des MSSP.
Il s’agit de confier à un MSSP la surveillance de l’infrastructure sécurité, qui lui-même dispose d’une vue sans pareille sur l’actualité du monde de la cybercriminalité. En effet, les grandes entreprises doivent désormais connaître les nouvelles menaces en temps réel et être en capacité de réagir en cas d’attaque. Une conséquence évidente de l’évolution des attaques constatée ces dernières années.
Les MSSP leaders du marché ont compris l’importance de ce changement et ont structuré leurs offres autour de leurs connaissances du monde de la cybercriminalité (affiliation aux réseaux de CERT, présence sur les forums underground, déploiement de réseaux de sondes dans le monde…).
La surveillance des infrastructures de leurs clients ne se limite plus à l’administration d’outils SIEM (Security Information and Events Management) : les filtres de surveillance sont mis à jour au fil de l’actualité, sans se limiter aux comportements définis préalablement avec leur client. De même, les activités historiques de veille et de tests de vulnérabilités sont largement complétées : les vulnérabilités des clients sont désormais analysées en connaissance des menaces réelles et la surveillance peut être adaptée tant que la vulnérabilité n’est pas corrigée.
La valeur ajoutée sécurité est évidente : les clients bénéficient d’une mise à jour constante de leur niveau de sécurité. Bien entendu, plus le nombre de clients du MSSP est élevé, plus le service devient pertinent. Il n’est donc pas surprenant que le marché soit aujourd’hui dominé par les grands fournisseurs anglo-saxons. Mais peut-être pas pour longtemps, ces derniers étant bousculés depuis quelques temps par les groupes Indiens qui tendent aujourd’hui vers des services performants avec des prix plus compétitifs.
Externaliser pour encore plus de valeur ajoutée
Les services proposés par les MSSP tendent à s’homogénéiser… voire même à se standardiser. Il est de plus en plus complexe de négocier des SLA particuliers, ou d’exiger des ressources spécifiques ou dédiées.
Cette approche mutualisée est très efficace tant que les services portent sur la sécurité des infrastructures, cependant elle est fortement limitée lorsqu’il s’agit de protéger les besoins métiers spécifiques. Le « sur-mesure » est indispensable pour lutter contre les menaces les plus avancées et pour protéger de manière fine les applications critiques de l’entreprise.
Aujourd’hui il n’existe pas d’acteurs majeurs capables de surveiller les applications ou de détecter les fuites d’information avec une vision métier. Peut-être ce marché est-il à la portée des MSSP français qui restent assez proches de leurs clients, avec des offres encore adaptables ?
Il est donc à la fois possible d’optimiser ses coûts et d’augmenter son niveau de sécurité en externalisant la sécurité des infrastructures. En revanche, sur le terrain de la sécurité applicative… les clients devront encore attendre ! Les fournisseurs externes sont en effet encore trop loin des enjeux métiers de leurs clients.
