Passer au contenu

3. Choisir une solution, c’est très compliqué

En matière de prévention des risques, les outils et les services ne manquent pas. Encore faut-il s’y retrouver et faire les bons choix.

Les risques encourus par une entreprise ouvrant son système d’information concernent essentiellement l’accès illicite à ses données et applications, ainsi que leur modification, leur destruction ou leur blocage. Authentification, chiffrement, firewall, antivirus et outils de détection d’intrusions constituent la panoplie habituelle lorsqu’il s’agit de prévenir les risques. La palette des services disponibles sur le marché en la matière est d’abord composée de prestations générales, fournies par des SSII traditionnelles comme IBM Global Services (IGS), Cap Gemini ou Euriware. Le conseil qu’elles proposent inclut la définition d’une politique de sécurité, puis l’intégration de projets variés dans ce domaine.
En aval, l’audit – indispensable – permet d’analyser les risques de l’intérieur. Mais il représente une démarche lourde. Plus légers à mettre en ?”uvre, les services de détection d’intrusions et de vulnérabilité constituent alors une solution de rechange pragmatique. “Il est courant qu’un audit s’étale sur trois ans, explique François Michelet, responsable de la R&D chez CF6. Or, pendant un tel laps de temps, les composants analysés parmi les premiers peuvent tout à fait devenir vulnérables. Un test d’intrusion offre une vue extérieure plus partielle, mais instantanée.” CF6 ou Intrinsec, comme d’autres spécialistes, ont industrialisé des services de tests d’intrusion, que des Euriware ou des IGS proposent moins systématiquement.

Un service de détection de virus en mode ASP

Dans un registre plus étroit, les éditeurs d’antivirus proposent des services de mise à jour distante et automatique des bases de signature, complétés par des services de conseil et d’intervention. Network Associates lance même, en mode ASP (Application Service Provider), un service de détection de virus. De facto, une telle prestation est aussi proposée par les France Télécom, ISDnet et autres Siris, qui, plus généralement, assurent – essentiellement via des firewalls – l’étanchéité des réseaux qu’ils délivrent à leurs clients.

Une gestion de la sécurité à la carte

Quant aux spécialistes de l’infogérance, de l’hébergement et de la location d’applications, ils incluent dans leur catalogue une gestion de la sécurité à la carte. On y trouve, par exemple, une définition du partage de l’infrastructure et des responsabilités entre le prestataire et son client en fonction du niveau de sécurité souhaité, de la répartition téléadministration des firewalls, de leur téléadministration, etc. D’après le responsable de l’activité sécurité d’un grand prestataire, le coût du forfait oscille, dans ce cas, entre 1 et 4 % du contrat d’hébergement ou d’infogérance, selon le niveau de sécurité et la prestation souhaitée par le client.
Enfin, de nouveaux services émergent autour de la notion d’infrastructure à clés publiques (PKI), qui offre un cadre global de sécurisation des échanges. Plusieurs SSII proposent déjà des services de déploiement, Neurocom ou CPE allant jusqu’à en faire leur spécialité. Tandis que Certplus, Verisign ou GlobalSign se concen- trent, eux, sur la délivrance de certificats numériques, complétée en amont par du conseil.

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.


Thierry Lévy-Abégnoli