Passer au contenu

L’audit du niveau de sécurité du réseau s’externalise

Les services de sécurité en ligne se développent
Ils offrent l’avantage d’une vigilance régulière et continue, accessible aux PME

La sécurité n’a pas résisté à la vague FAH. Ainsi, après avoir conquis les États-Unis, les fournisseurs de services de sécurité en ligne arrivent en France. “Cependant, en matière de sécurité, ce mode de distribution est encore rare”, temporise Stéphane Gault, ingénieur commercial chez Via Net. Works, prestataire français en sécurité réseaux. “Nous proposons bien un audit automatique par ce biais, basé sur QualysGuard de l’américain Qualys, mais juste en complément de notre offre”, précise-t-il. À l’heure actuelle, les FAH spécialisés dans la sécurité en France se comptent sur les doigts d’une main et se limitent à des offres d’audit automatique de vulnérabilité, voire d’antivirus (lire tableau). Comme Qualys, le français Intranode, créé il y a un an, a tout misé sur la sécurité en ligne. Conçue dès le départ pour ce mode de distribution, son application Active Sentry effectue un audit automatique complet : image du réseau client, test d’intrusion et reporting avec recommandations. “Ne faisant pas appel à un éditeur extérieur, nous pouvons ainsi réagir en temps réel, une capacité primordiale en matière de sécurité”, précise Laurent Stoffel, PDG d’Intranode. La distinction se fait sur la capitalisation du savoir-faire acquis, la souplesse du paramétrage, la qualité et la clarté des rapports retournés, ainsi que sur la capacité à cerner et à prévenir une évolution de la vulnérabilité. Un audit en mode FAH présente l’avantage d’offrir “une couverture continue et régulière, des tests exhaustifs et une capitalisation de l’expertise en temps réel”, explique Laurent Stoffel. En plus de “l’impartialité de l’audit automatique”, glisse Philippe Buschini, directeur du marketing de Qualys France.

Un champ d’action limité

Diffusés en ligne, les services de sécurité deviennent ainsi plus accessibles aux PME, dont les ressources sont limitées par rapport aux grandes entreprises et qui, pourtant, sont tout aussi exposées aux risques. Ainsi, dans ses dernières études, le Cigref (Club informatique des grandes entreprises françaises) constate que si la sécurité a encore des progrès à faire dans les grandes entreprises, elle reste largement méconnue des PME. De plus, l’origine des attaques a évolué : d’internes, elles deviennent en majorité externes. Certains fournisseurs ont donc vite compris le parti à tirer de l’externalisation de leurs prestations.Alors, pourquoi cette avancée est-elle si timide et tardive en France ? “Très réticents à l’idée de laisser regarder ou sortir ses données, l’Européen, et surtout le Français, s’y met avec prudence”, remarque Jean-Christophe Saunières, secrétaire général de l’ASP Forum. “C’est dans l’air. Tout le monde en parle. Mais le mode FAH ne peut avoir réponse à tout”, rappelle Paul Grassart, délégué général du Clusif (Club de la sécurité des systèmes d’information français). “Un IDS [Intrusion Detection Service, Ndlr] exige un audit in situ. Il ne peut être automatisé et mis en mode FAH, d’autant que la correction d’un défaut peut en créer un autre “, renchérit Jean-Christophe Saunières. Mis à part les attaques à l’aveugle, le pirate développe et adapte ses outils à une cible précise : seule une contre-attaque humaine et sur mesure peut donc le contrer.Pour gagner en légitimité, les fournisseurs de services de sécurité en ligne sont tenus de s’appuyer sur des normes, des outils d’évaluation et des labels de qualité, qui restent à définir. Des travaux sont en cours. Ainsi, le Clusir (Clusif régional) du Langue-doc-Roussillon prépare un label avec l’Afaq (Association française d’assurance qualité) pour encadrer les prestations de sauvegarde par le web. En attendant, les acteurs du marché affûtent leurs armes. Des annonces sont d’ailleurs prévues pour le salon Infosec, qui se tient cette semaine à Paris.

































































 Les premières offres de sécurité en mode FAH 
 Prestataire     Partenaires     Offre     Prix ht * 
 Intranode     Neurocom, Net2s     Active Sentry : audit de vulnérabilité.     54 000 F (8 232 €) par an. 
             
 MonDSI.com (filiale de Siemens)     Network Associates     CyberCop ASaP : audit de vulnérabilité. 
 VirusScan ASaP : antivirus. 
   48 000 F (7 317 €) par an. 
             
 Qualys     Ernst & Young, Via Net.Works, etc.     QualysGuard : audit de vulnérabilité.     39 400 F (6 000 €) par an. 
 


* Comprenant deux tests par mois pour quatre adresses IP.



Ces FAH mettent en ?”uvre des standards de sécurité éprouvés, tels que la norme CVE (Common Vulnerabilities & Exposures) ou la certification ICSA (International Customers Service Association).


🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.


Marie Lesty