Externaliser la sécurité aide à la renforcer

“ Aujourd'hui, la sécurité peut être externalisée sans risques ”, observe Matthieu Garin, consultant sécurité chez Solucom. Les craintes les plus fréquentes se sont dissipées avec le temps, grâce, notamment, à un encadrement juridique plus solide. Les contrats de prestation, mieux élaborés, prévoient désormais des engagements de réversibilité, des clauses d'audit, des garanties de niveau des services (SLA, pour Service Level Agreement) et diverses certifications de la part des fournisseurs. En clair, des leçons ont été tirées de l'univers de l'infogérance et autres prestations du genre, consistant à déplacer chez un tiers tout ou partie de la gestion de son système d'information. Du coup, les entreprises portent un nouveau regard sur l'arsenal de compétences déployé par certains prestataires comme les SOC (Security Operation Center). “ Elles ont besoin d'engagements de services. Non seulement en ce qui concerne la réactivité, mais aussi, et surtout, pour le savoir-faire dont elles ne disposent pas en interne, comme la veille de sécurité ”, confirme Cyrille Barthélémy, directeur du SOC Intrinsec.A en juger par la prolifération de ce type de centres, la vision proactive de la sécurité a fait du chemin. Cette cyberveille est généralement le résultat d'une corrélation de logs réalisée à partir des flux réseau des clients du SOC. Lorsqu'un incident survient chez l'un, il est d'autant plus aisé d'en tirer des enseignements pour les autres. La mutualisation est ici au service de l'enrichissement de la connaissance et de l'agilité. Bien entendu, plus le nombre de clients d'un SOC est élevé, plus le service est pertinent. “ Ces acteurs disposent d'une vue sans pareille sur l'actualité du monde de la cybercriminalité. Or les grandes entreprises sont tenues de connaître les nouvelles menaces en temps réel et d'être capables de réagir en cas d'attaque, renchérit Matthieu Garin. La valeur ajoutée concernant la sécurité est évidente puisque les clients bénéficient d'une mise à jour constante de leur niveau de sécurité. ”

Une mutualisation fructueuse

Cette approche en amont de la sécurité séduit tout particulièrement le monde bancaire, en quête constante d'anticipation. On sort donc définitivement du schéma classique qui veut qu'une entreprise externalise une partie de son système d'information essentiellement pour des raisons de coûts. Au départ, l'offre MSSP (Managed Security Service Providers) reposait sur une mutualisation des ressources et des processus de la part des fournisseurs de sécurité. Une industrialisation qui a débouché sur un package à bas prix, incitant l'entreprise à confier à un tiers la gestion de son infrastructure sécurité : pare-feu, consoles antivirus, anti-spams, détecteurs d'intrusion (IPS, IDS), etc. Puis la gamme de services s'est étendue au Security as a Service, autrement dit à la fourniture de services de filtrage web, de messagerie sécurisée, d'authentification forte, etc.Aujourd'hui, ce sont les offres de pilotage de la sécurité mobile qui fleurissent. SFR Business Team étant la dernière en date à proposer un service de sécurisation centralisée pour une flotte de terminaux mobiles. La seule limite de toutes ces solutions étant de ne pas pouvoir s'étendre à un filtrage applicatif métier. “ Le sur-mesure est indispensable pour lutter contre les menaces les plus avancées et protéger de manière fine les applications critiques de l'entreprise. Aujourd'hui, il n'existe pas d'acteurs majeurs capables de surveiller les applications ou de détecter les fuites d'information avec une vision métier ”, estime Matthieu Garin. Cette tâche doit donc continuer à être prise en charge en interne.La cyberveille, elle, étant donné son modèle de mutualisation des connaissances, ne peut être envisagée autrement qu'au travers d'une prestation externe. Rapatriée dans l'entreprise, elle perdrait clairement tout son sens. Les sociétés intéressées par cette fonction doivent donc impérativement passer par une étape préalable visant à prendre connaissance du marché et des fournisseurs dignes de confiance. Ce qui implique également la prise en compte de l'ensemble des précautions d'usage avant de signer un quelconque contrat.Lors de la conférence plénière des Assises de la sécurité, qui s'est ouverte mercredi 3 octobre à Monaco, Patrick Pailloux, directeur de l'Agence nationale de la sécurité des systèmes d'information (Anssi), a rappelé l'existence d'une liste de prestataires recommandés sur leur site, ainsi qu'un guide complet sur les procédures d'externalisation.