Inscrivez-vous gratuitement à la Newsletter BFM Business
Sous-traiter leur sécurité est le seul moyen, pour les PME, de bénéficier de compétences évoluant au même rythme que les technologies. Mais tous les pans de la sécurité ne peuvent être infogérés avec la même facilité.
Équipe dédiée et compétences pointues : les deux prérequis pour une sécurité informatique efficace sont généralement hors de portée des PME et des petites collectivités locales. Difficile pour elles, en effet, d'attribuer des ressources à la seule gestion de la sécurité, 24 heures sur 24. Car au coût d'une équipe dédiée s'ajoute celui d'une formation continue forcément pluridisciplinaire, entre la configuration d'un coupe-feu, la gestion à distance des antivirus et l'adaptation des règles antipourriels sur la messagerie, pour ne citer que les tâches les plus courantes.Pour nos entreprises témoins, la réponse à ce problème passe par l'externalisation. Toutes ont choisi de confier la gestion d'une partie de leur sécurité à un prestataire, qu'il s'agisse d'un opérateur FAH pour un service basique ou d'une SSII pour une mission personnalisée ou de plus grande envergure. Leurs choix témoignent de la diversité des offres d'infogérance de la sécurité actuellement disponibles. Tout est possible, du plus simple (gestion du parc d'antivirus en ligne) au plus complexe (configuration et supervision de plusieurs coupe-feu et serveurs de messageries). Mais quelle que soit la complexité des services externalisés, tous ont fait ce choix car ils considèrent que la sécurité est un métier à part. ' Nous n'avons jamais eu les bons spécialistes au bon moment, car les compétences évoluent trop vite pour capitaliser dessus en interne. Pour s'occuper de la sécurité, il faut vraiment des ingénieurs spécialisés ', reconnaît Jérôme Fritsh, responsable informatique du groupe de presse professionnelle Le Moniteur. Et tous en sont satisfaits, au point d'écarter l'option de reprendre en interne le contrôle de leur sécurité, du moins à moyen terme.
Le choix de l'offre : bien analyser ses besoins et ses compétences
Si les motivations sont souvent identiques, les services que l'entreprise souhaite externaliser dépendent essentiellement des compétences dont elle dispose en interne. Paradoxalement, ce sont celles qui en ont le moins qui externalisent aussi le moins, et se contentent de services FAH accessibles par Internet. Ainsi, avec un directeur général qui fait office de RSSI, la société Alban Muller (spécialisée dans les extraits de plantes à destination de l'industrie cosmétique et pharmaceutique) n'externalise que ses tests de vulnérabilité chez Qualys pour 3 000 euros ht par an, et continue d'exploiter en interne son coupe-feu et ses antivirus. Le garage Solac, lui, externalise seulement la gestion de son coupe-feu (à France Télécom) et de ses antivirus (à MonDSI.com), et garde la main sur son informatique, pourtant distribuée sur trois sites distants. À l'opposé, les entreprises qui sous-traitent la majeure partie de leur sécurité sont aussi celles qui peuvent compter sur des équipes capables de servir d'interlocuteur face aux ingénieurs du prestataire. Les offres proposées peuvent alors être beaucoup plus complexes. ' Lors de l'ouverture de notre SI, qui était resté fermé autour d'un AS/400, nous avons vite découvert que notre serveur de messageries était utilisé par des spammeurs, au point de le rendre presque inutilisable pour nous. Nous avonsdécidé de nous équiper d'un coupe-feu [Cisco PIX+ deux RPV, Ndlr] , d'un antivirus pour messagerie [Trend Micro, Ndlr] et de confier la gestion de l'ensemble à un professionnel ', se souvient Olivier Person, responsable nouvelles technologies et communications à la Coopérative Lorans. L'entreprise confie donc à Sodifrance l'installation, la configuration et la supervision de son coupe-feu et de la passerelle antivirus. Olivier Person contrôle l'activité de son prestataire grâce à des rapports réguliers et communique les demandes de modification des configurations (ouverture d'un port sur le coupe-feu, etc.).
Les ressources : un contrôle permanent de la prestation
Des compétences en interne sont nécessaires pour sélectionner l'offre, mais aussi pour piloter le projet dans la durée. C'est le cas du Groupe Moniteur, qui externalise chez Cyber Networks la configuration et la supervision de ses deux coupe-feu, sa DMZ, ses répartiteurs de charge, deux lignes à 2 Mbit/s, deux serveurs Sendmail et même une sonde IDS. ' Nous avons deux ingénieurs en interne qui suivent le dossier de près. Ça aide lorsqu'il y a quelques remarques à faire au prestataire ! Et même en infogérance, il faut consacrer des journées/hommepour se plonger dans ledossier, savoir ceque l'on veut et contrôler le résultat ', observe Jérôme Fritsh, du Groupe Moniteur. Mais l'avantage d'une telle implication est primordial : ' Si tout s'arrête du jour au lendemain, nous avons les connaissances nécessaires pour continuer l'exploitation. Chaque phase de maintenance est très bien référencée. Notre contrat d'infogérance est l'un des dossiers les mieux documentés de la société ! ' Bien sûr, l'externalisation de services simples, tels que les antivirus ou l'audit de vulnérabilité, n'exige le plus souvent aucune ressource en interne et c'est justement là son principal atout. ' Je ne m'occupe de rien. La gestion du parc d'antivirus me prend quelques minutes chaque jour, afin de vérifier sur ma console en ligne que toutes les mises à jour se sont correctement déroulées ', apprécie Évelyne Martin, responsable informatique du garage Solac. Même satisfaction pour Laurent Muller, le PDG à la casquette de RSSI. ' Tout se gère à travers une interface web. Je commande mes audits et je consulte les rapports en ligne. Il n'y a rien à installer et je n'ai aucune mesure particulière à prendre ', explique-t-il.
La mise en ?"uvre : une relation de confiance avec le prestataire
Bien souvent, une relation de confiance existe déjà entre les équipes de l'entreprise cliente et celles du prestataire, et c'est ce lien qui justifie la sélection de ce dernier. ' Le choix du prestataire s'est fait naturellement : nous avons privilégié celui qui connaissait le mieux notre système d'information, qui avait déjà réalisé notre plan d'adressage IP et installé notre serveur DNS et notre intranet ', précise Olivier Person, de la Coopérative Lorans. Le même phénomène s'est produit au Groupe Moniteur, qui a choisi Cyber Networks après que celui-ci a pris en charge le reporting pour le système d'information du groupe Vivendi, auquel appartenait encore récemment le groupe. Une fois le prestataire choisi, les bénéfices de l'infogérance ne sont pas toujours immédiats : il est souvent nécessaire de procéder à un travail de définition des tâches susceptible de prendre un peu de temps. ' Il a fallu indiquer ce qui était acceptable ou non en termes desécurité et définir une politique minimale. Sodifrance nous a aidés en nous posant une série de questions et ce fut finalement assez rapide. Mais il faut tout de même s'impliquer en amont ', reconnaît Olivier Person.Le Groupe Moniteur, en revanche, a dû s'investir davantage en début de projet, tant l'architecture mise en infogérance était complexe. Il a fallu consacrer jusqu'à 70 % du temps d'un collaborateur pendant une semaine lors de la mise en place de la solution. ' Le travail d'organisation prend du temps ; il a fallu coordonner à la fois l'opérateur télécoms, le prestataire d'infogérance et nos sites distants ! ', se souvient Jérôme Fritsh.Quant à l'externalisation de services simples, la mise en ?"uvre est bien sûr quasi automatique, ce qui est l'autre grande force des services en ASP. ' L'installation du client antivirus prend juste quelques minutes par poste et s'effectue directement depuis Internet ', explique Évelyne Martin, du garage Solac. Même constat chez Alban Muller : ' L'achat est très simple : on s'enregistre en ligne, on envoie un fax de commande chaque année, et c'est réglé. On peut difficilement faire plus simple ! ', apprécie Laurent Muller.
Les écueils : la réactivité est moindre
Le premier obstacle à un contrat d'infogérance de la sécurité, c'est bien évidemment son coût, toujours plus élevé que celui d'une solution équivalente gérée en interne. Mais les entreprises témoins l'acceptent au regard des services rendus. ' Oui, l'externalisation revient plus cher. Mais je l'ai justifiée auprès de ma direction en expliquant que cela nous éviterait, entre autres, le coût des formations générique et spécifique aux matériels déployés ', explique Olivier Person, qui paye cette prestation 1 000 euros ht par mois.Seul vrai handicap par rapport à une solution gérée en interne : le temps de réaction du prestataire, incompressible, et qui peut poser des problèmes. ' Il nous est arrivé de devoir ouvrir un port sur le coupe-feu au dernier moment, parce qu'un intervenant extérieur venait faire une démonstration à la direction. Notre prestataire ne sait pas le faire en une heure, par exemple ! ', regrette Jérôme Fritsh.Enfin, même si l'infogérance fait gagner du temps, il faut quand même lire les rapports, et c'est parfois indigeste et long. ' Je les lis très peu car il y en a des kilomètres, c'est beaucoup de " paperasse ". Je m'intéresse plutôt aux flux et surtout aux préconisations [les nouvelles machines sur le réseau, celles qui tentent d'accéder à Internet sans en avoir l'autorisation, Ndlr...] . '
Les gains : une expertise supplémentaire pour l'entreprise
L'offre d'externalisation de la sécurité est désormais une offre aboutie. Simplicité, sérénité et, bien sûr, amélioration de la sécurité : il est difficile de la prendre en défaut. ' Quand je réalise tous les détails à prendre en compte dans une journée pour gérer convenablement la sécurité, je me dis que j'ai bien fait de ne pas m'en occuper ! Je me focalise uniquement sur les rapports, ce qui me permet malgré tout de ne pas perdre de vue l'essentiel. Je sais que j'ai des gens compétents qui veillent et qui donnent l'alerte si nécessaire... Il y a toujours quelqu'un devant la console ! Quant à moi, j'ai assez de travail avec les alertes d'exploitation ', justifie Olivier Person. Même constat au Groupe Moniteur : au-delà de la sérénité apportée par l'infogérance s'ajoute l'avantage de gagner une compétence rare : ' Cela permet de s'offrir une expertise dans un domaine qui n'est pas le nôtre. Et cela évite bien des problèmes lors du démarrage de nouvelles activités, ou de nouveaux applicatifs comme lorsque nous avons déployé du Citrix ou migré nos coupe-feu Nokia vers Check Point NG. Le prestataire apporte la connaisssance pour que tout fonctionne rapidement : quel est le port concerné, comment gérer les log, etc. Nous y gagnons donc en sécurité et en efficacité ', conclut Jérôme Fritsh.
Votre opinion