Passer au contenu

Externaliser sa sécurité : un pari à prendre

Peu sensibles aux enjeux de la sécurité, les PME représentent pourtant la première cible des services de sécurité proposés par différents types de spécialistes en France. Voici quelques conseils pour choisir son prestataire.

Impensable avant l’arrivée d’Internet : de plus en plus d’entreprises confient tout ou partie de la sécurité de leur système d’information à des tiers. Et les prestataires qui proposent ce type de service ne manquent pas. Les opérateurs de télécoms ayant leurs propres infrastructures IP, les fournisseurs d’accès à Internet disposant ou non de sites d’hébergement et des sociétés spécialisées offrent une large palette de services de sécurité touchant aux accès (coupe-feu et VPN), aux contenus (cryptage, antivirus, filtrage de contenu et messagerie) ainsi qu’aux systèmes (patches et mises à jour). La classification de ces acteurs n’est pas toujours aussi simple qu’il y paraît. Ainsi, KPNQwest, à la fois opérateur et ISP, vient d’ouvrir un cybercenter à Paris avec la présence de gardes 24 heures sur 24, des caméras de surveillance, un contrôle d’accès par badges et par empreintes digitales, des équipements anti-incendie à base d’argon, et des alimentations électriques ” ininterruptibles ” redondantes.

Des tâches complexes à sous-traiter

La tendance à l’externalisation est donc loin d’être un simple effet de mode. “Elle est même indispensable”, affirme Philippe Moity, président de DNS Telecom, spécialisé dans les réseaux et la sécurité. D’une part, parce qu’un système tel qu’un coupe-feu doit être mis à jour en permanence et que “cela revient trop cher de réaliser cette tâche pour un seul coupe-feu”. D’autre part, parce qu’un système même à jour au niveau de la version logicielle peut représenter une configuration à risques. En effet, seul un expert acquiert l’expérience suffisante, “c’est un métier à plein temps”, précise ainsi Philippe Moity. Ce qui est vrai pour le coupe-feu l’est aussi pour le VPN, les systèmes de sécurisation de contenu ou d’authentification. La complexité de ces tâches et le besoin 24 heures sur 24 d’un personnel qualifié, pour une supervision permanente, font dire à François Stephan, directeur marketing d’Ornis, ASP en sécurité : “Les PME-PMI sont obligées de passer par une externalisation de la sécurité. Sinon qui s’occupe du coupe-feu passé 20 heures ?”L’entreprise doit savoir ce qu’elle entend sous-traiter car certains acteurs n’offrent pas toutes les briques nécessaires. Certes, externaliser doit faire bénéficier d’une expertise pointue, de la mise à niveau de son système ainsi que d’une supervision 24 heures sur 24, mais jusqu’où va l’expertise : le prestataire dispose-t-il d’architectures en clusters (coupe-feu, routeurs, antivirus…) et de sondes de détection d’intrusions ? S’agit-il d’un engagement de résultats ou d’un engagement de moyens ? Quelle est sa capacité à déployer rapidement une nouvelle technologie ? Que recouvre la supervision des services, quelles sont les procédures d’alerte et de suivi ?

Conserver une approche globale

Il convient aussi de vérifier l’existence de processus clairs associés à l’offre : modalités de modification des règles et mise à jour des systèmes (firewall, antivirus, analyse de contenu, etc.). “Les entreprises qui souhaitent aller jusqu’à la sécurisation de leurs applications doivent faire appel à des acteurs maîtrisant à la fois les coupe-feu, les VPN, les systèmes de sécurisation du contenu et les systèmes d’authentification forte”, affirme Mylène Veillet, directrice du marketing de Cable & Wireless – opérateur qui a décidé de se consacrer quasi exclusivement aux services sur réseaux IP. Sur le terrain des offres globales, les opérateurs télécoms maîtrisent bien leur réseau – et donc les prestations d’accès, les coupe-feu et les VPN -, mais moins bien les autres briques de la sécurité.Or, l’intégration des prestations est un élément à prendre en compte, notamment entre coupe-feu et VPN. Par exemple, Easynet déploie actuellement pour une banque en ligne une solution de sécurité pour un portail de services. La banque concernée a prévu, en outre, le raccordement de ses agences via un VPN avec chiffrement et authentification forte ainsi qu’un service d’accès commuté VPN pour ses clients. “La banque dispose ainsi d’un interlocuteur unique”, explique Pol Watine, président d’Easynet. En règle générale, l’intégration s’impose pour les projets IP réunissant l’accès et l’hébergement. Certains opérateurs télécoms ont du mal à répondre à cet impératif d’intégration soit parce qu’ils ne sont que dans le métier de l’accès, comme Uunet, soit parce que accès et hébergement sont pris en charge à travers des entités distinctes, sans ” pont ” technique entre elles. C’est le cas pour France Télécom avec ses filiales dédiées FTH et Oléane-Transpac.Malgré cela, les opérateurs télécoms ont des offres intéressantes en termes de prix car ils adoptent une démarche de type industriel : un puissant coupe-feu mutualisé entre un grand nombre de clients, par exemple. Mettre toutes les entreprises au même régime pour ce qui est de la politique de filtrage ne convient pas à tous les coups. Philippe Moity estime même que “c’est une ineptie”. DNS Telecom milite en faveur du coupe-feu dédié et adapté aux besoins spécifiques de chaque entreprise. Les avantages de cette méthode restent à évaluer : l’entreprise garde sa solution de sécurité si elle change d’opérateur et peut également “y jeter un ?”il ou faire appel à un cabinet d’audit indépendant”.

ISP ou opérateurs télécoms ?

Les prestations d’hébergement et d’administration du coupe-feu doivent être étudiées séparément. Autant d’arguments probablement trop pointus pour une majorité de PME pour qui le coupe-feu mutualisé suffit amplement. Le choix d’un prestataire aboutit souvent à trancher entre un ISP et un opérateur télécoms. Si ces deux types d’acteurs abordent en apparence la sécurité de la même manière, “il y a des différences génétiques “, explique Pol Watine, puisque l’ISP ne fait que des services IP, et que l’opérateur est, du fait de son métier de base, un “transporteur”. Ce dernier, loi du marché oblige, étoffe ses prestations de services. 9 Telecom, par exemple, revend l’offre SecureConnect, de DNS Telecom, sous l’appellation Clic9Connect.Pour se différencier, certains ISP, tels Cable & Wireless ou Easynet, introduisent des prestations dédiées aux réseaux locaux des entreprises : serveurs de messagerie, proxies, sondes de sécurité, etc. Certains deviennent même de vrais opérateurs ! Afin de maîtriser la qualité de service, de gros ISP n’hésitent pas à demander des licences L.33/L.34 à l’ART.

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.


Jo Cohen