Les critères motivant l'externalisation de services de sécurité ne diffèrent guère de ceux prévalant dans d'autres domaines, tel que le réseau. Il s'agit ainsi principalement des carences en temps - la supervision et l'administration imposent un certain nombre de tâches quotidiennes - et en expertise (connaissance et maîtrise des outils, etc.).
Le coût total de possession d'une infrastructure de sécurité peut par conséquent s'avérer élevé et d'un montant justifiant que cette dernière soit confiée à un tiers.
Des obligations juridiques comme l'archivage légal peuvent aussi légitimer le recours à l'outsourcing. Moyen et grands comptes peuvent quant à eux, par ce biais, séparer exploitation et projet, afin de se focaliser sur la seconde partie, pour ne pas être en permanence bousculé par des incidents ou la nécessité de changer des règles.
Hébergeurs, fournisseurs de services en ASP, MSSP (Managed Security Services Provider) ou opérateurs de télécommunications peuvent ainsi prendre en charge l'infogérance de la sécurité. Après un départ laborieux, les MSSP connaissent actuellement un essor évident.
Un regain d'intérêt de la part des entreprises, et notamment des TPE-PME, qu'Alain Kagan, directeur général adjoint de Risc Group, impute en grande partie "au perfectionnement des débits et au développement du haut débit qui ont établi les conditions nécessaires à la livraison de ce type de services".
|
Quelques MSSP du marché français
|
|
Fournisseur de services
|
Prestations
|
|
Risc Group
|
Sauvegarde, UTM, antivirus, antispam, pare-feu, messagerie sécurisée.
|
|
Telindus
|
Antivirus, relais de messagerie, proxy, SSL, VPN sur firewall, ...
|
|
VeriSign
|
Firewall, IDS, détection de vulnérabilité, VPN, Incident Response & Forensics,
Phishing Response.
|
|
Securalis
|
Firewall, VPN, antivirus, Proxy, IDS, authentification, relais de messagerie, filtrage de contenu.
|
|
ISS
|
Protection poste de travail (firewall, IPS, antivirus compliance, virus prevention), gestion des vulnérabilités, gestion des logs, firewall, IDS/IPS.
|
|
kerberos
|
Antivirus, proxy, pare-feu, détection d'intrusion, VPN-SSL, SSO, authentification forte, LDAP.
|
|
Ubizen
|
firewalls, serveurs VPN servers, routers et antivirus gateways, IDS, sécurité du poste de travail (pare-feu personnel et host intrusion detection agents).
|
|
Security Keepers
|
Firewall Stateful, détection d'intrusion, proxy securisé, Contrôle matériel, VPN, Load-balancing, haute disponibilité. |
|
Thales Secure Solutions
|
IDS, antivirus, PKI, pare-feu, proxy, ...
|
Les MSSP ont également étoffé leurs offres. Le responsable des services managés de Telindus France, Ludovic Petit, relève ainsi "une tendance forte depuis un à un an et demi : l'analyse de logs en temps réel. Cette évolution a été permise par la maturité des outils d'acquisition et de stockage des logs. Nous allons ainsi analyser l'infrastructure sécurité de nos clients et créer des règles de corrélation qui seront 'tunnées' pendant les premières semaines, puis les deux mois suivants pour identifier 2 à 5 alarmes par jour correspondant à des comportements anormaux."
"A dispositif équivalent, ces services sont d'un coût moindre que si l'entreprise les exploitait"
(A. Kagan - Risc Group)
|
Les infogéreurs peuvent ainsi prendre en charge le déploiement matériel et applicatif, la supervision (des équipements de sécurité et des flux) et/ou l'administration à distance, voire parfois aussi l'audit de vulnérabilité. Supervision et administration (gestion des configurations, des changements, des évolutions, et réalisation) sont en effet, selon le prestataire, des services distincts.
Les MSSP n'assurent en revanche que rarement l'hébergement des équipements, toujours implantés sur site, ou éventuellement confiés à un hébergeur tiers. "L'ensemble des opérations se fait en télégérance à partir du centre de supervision. Quelques clients cependant ont souhaité avoir des équipes sur site. Pour ces cas précis, des experts sécurité et des techniciens d'exploitation travaillent donc dans leurs locaux", détaille Ludovic Petit.
Quant aux services offerts, ils peuvent être standards ou spécifiques, selon le profil de l'entreprise. Les grands comptes auront ainsi tendance à demander du sur mesure (avec une tarification elle aussi personnalisée), tandis que les besoins des TPE s'avèrent relativement standardisés. "Dans les services de sécurité en général, la protection et la sauvegarde de donnés ne sont pas incluses. Or, c'est notre premier service, devant l'antivirus, le firewall, l'antispam, et la messagerie", liste Alain Kagan.
"Nous supervisons des flux - http, SMTP, FTP, https - plutôt que simplement une boîte"
(L. Petit - Telindus)
|
Risc Group sert ainsi 20 000 clients, principalement des TPE-PME avec notamment l'antivirus managé McAfee, les UTM Fortinet et Netasq (antivirus, antispam, filtrage d'URL, pare-feu, VPN), un service de messagerie sécurisée externalisée avec antispam, et la sauvegarde à distance via Backupia Evolution. Pour l'antivirus, l'abonnement mensuel est de 7 euros par mois (1 à 25 postes), 96 euros pour le firewall (20 utilisateurs). L'antispam managé coute 40 euros par pack de 5 adresses de messagerie et 10 euros par mois le giga pour la sauvegarde.
Du côté de Telindus, qui infogère la sécurité pour le compte de 50 sociétés françaises (moyens et grands comptes) et supervise 10 000 équipements répartis sur 60 pays, "la base est indiscutablement la gestion du firewall, atteste Ludovic Petit. Nous nous sommes aperçus toutefois que traiter un incident en ayant dans le périmètre uniquement le firewall pousse rapidement à aller vers un autre équipement, qui lui peut ne pas être inclus contractuellement dans la prestation. Nous avons donc plus souvent une plate-forme complète."
Les MSSP n'ont néanmoins pas le monopole de la sécurité managée. Les opérateurs et fournisseurs d'accès s'y intéressent également. British Telecom a ainsi acquis récemment le MSSP Counterpane. Orange, en partenariat avec Fortinet, a lancé fin 2006 son offre Unified Defense. Solution de gestion unifiée des menaces hébergée ou implantée sur site, elle est accessible aux PME et grands comptes.
|
Dossier 