Les PME doivent externaliser leur service de sécurité
S’il semble insensé de voir un grand groupe externaliser totalement sa sécurité, la solution est de plus en plus pertinente pour les PME, dont les compétences en interne sont rares dans ce domaine.
Il y a de grandes opportunités pour une société qui est capable de fournir la sécurité aux PME sous la forme d’un service”, expliquait récemment Tom Noonan, directeur général d’Internet Security System, alors que la société annonçait sa double orientation stratégique : en direction des PME et dans les services. Une démarche qui, à elle seule, résume celle suivie par de nombreux acteurs du monde de la sécurité, pour qui l’avenir se trouve dans la PME et l’externalisation, totale ou partielle, de ses fonctions de sécurité.
Une offre de sécurité packagée et accessible aux PME
Les offres sont nombreuses. ISS propose SafeSuite, déclinée en une version MSP (Managed Security Providers) pour les fournisseurs d’applications hébergées (FAH). SafeSuite est composée de huit services packagés (coupe-feu, détection d’intrusion en temps réel, analyse des log, etc. ) qu’un FAH peut facilement fournir à ses clients. DataFellows fait de même avec son offre Security As a Service for Outsourcing (service externalisé combinant antivirus, RPV, chiffrement et coupe-feu).Entrust, un autre fournisseur de solutions de sécurité, va jusqu’à externaliser les applications d’une infrastructure PKI avec son offre Entrust@YourService. Enfin, Axent, Network Associates (avec MyCIO. com, analyse des risques du PC depuis le site de l’éditeur) ou encore Trend Micro (analyse antivirale depuis Internet) finissent de dessiner une vision de la sécurité de demain : plus souple, et surtout plus accessible aux PME, packagée, et libérée de l’emprise des ” gourous ” de la sécurité “qui sont très chers, peu nombreux et très difficiles à garder en interne”, confiait un directeur informatique lors de la dernière édition du salon Infosec.Une étude réalisée l’an dernier par Ernst & Young lui donnait raison, en relevant que 55 % des sociétés interrogées ne disposaient pas du personnel nécessaire à la surveillance de leurs activités de commerce électronique !
Laisser les professionnels appliquer les règles de sécurité
Ainsi, la solution semble être de conserver le pouvoir décisionnel en interne, d’établir les règles, mais de laisser des professionnels les appliquer au quotidien. D’autant que ceux-ci mutualisent leurs coûts, rendant accessibles des compétences et des services qui seraient hors de portée d’une PME. À l’heure où plus aucune entreprise connectée à Internet ne peut faire l’impasse sur un coupe-feu ou un routeur filtrant, l’externalisation de sa maintenance et de sa configuration devient très vite une nécessité.