Externaliser sa sécurité pour plus de sérénité

02/02/2004 à 00h00

Sous-traiter leur sécurité est le seul moyen, pour les PME, de bénéficier de compétences évoluant au même rythme que les technologies. Mais tous les pans de la sécurité ne peuvent être infogérés avec la même facilité.

Équipe dédiée et compétences pointues : les deux prérequis pour une sécurité informatique efficace sont généralement hors de portée des PME et des petites collectivités locales. Difficile pour elles, en effet, d'attribuer des ressources à la seule gestion de la sécurité, 24 heures sur 24. Car au coût d'une équipe dédiée s'ajoute celui d'une formation continue forcément pluridisciplinaire, entre la configuration d'un coupe-feu, la gestion à distance des antivirus et l'adaptation des règles antipourriels sur la messagerie, pour ne citer que les tâches les plus courantes.Pour nos entreprises témoins, la réponse à ce problème passe par l'externalisation. Toutes ont choisi de confier la gestion d'une partie de leur sécurité à un prestataire, qu'il s'agisse d'un opérateur FAH pour un service basique ou d'une SSII pour une mission personnalisée ou de plus grande envergure. Leurs choix témoignent de la diversité des offres d'infogérance de la sécurité actuellement disponibles. Tout est possible, du plus simple (gestion du parc d'antivirus en ligne) au plus complexe (configuration et supervision de plusieurs coupe-feu et serveurs de messageries). Mais quelle que soit la complexité des services externalisés, tous ont fait ce choix car ils considèrent que la sécurité est un métier à part. ' Nous n'avons jamais eu les bons spécialistes au bon moment, car les compétences évoluent trop vite pour capitaliser dessus en interne. Pour s'occuper de la sécurité, il faut vraiment des ingénieurs spécialisés ', reconnaît Jérôme Fritsh, responsable informatique du groupe de presse professionnelle Le Moniteur. Et tous en sont satisfaits, au point d'écarter l'option de reprendre en interne le contrôle de leur sécurité, du moins à moyen terme.

Le choix de l'offre : bien analyser ses besoins et ses compétences

Si les motivations sont souvent identiques, les services que l'entreprise souhaite externaliser dépendent essentiellement des compétences dont elle dispose en interne. Paradoxalement, ce sont celles qui en ont le moins qui externalisent aussi le moins, et se contentent de services FAH accessibles par Internet. Ainsi, avec un directeur général qui fait office de RSSI, la société Alban Muller (spécialisée dans les extraits de plantes à destination de l'industrie cosmétique et pharmaceutique) n'externalise que ses tests de vulnérabilité chez Qualys pour 3 000 euros ht par an, et continue d'exploiter en interne son coupe-feu et ses antivirus. Le garage Solac, lui, externalise seulement la gestion de son coupe-feu (à France Télécom) et de ses antivirus (à MonDSI.com), et garde la main sur son informatique, pourtant distribuée sur trois sites distants. À l'opposé, les entreprises qui sous-traitent la majeure partie de leur sécurité sont aussi celles qui peuvent compter sur des équipes capables de servir d'interlocuteur face aux ingénieurs du prestataire. Les offres proposées peuvent alors être beaucoup plus complexes. ' Lors de l'ouverture de notre SI, qui était resté fermé autour d'un AS/400, nous avons vite découvert que notre serveur de messageries était utilisé par des spammeurs, au point de le rendre presque inutilisable pour nous. Nous avonsdécidé de nous équiper d'un coupe-feu [Cisco PIX+ deux RPV, Ndlr] , d'un antivirus pour messagerie [Trend Micro, Ndlr] et de confier la gestion de l'ensemble à un professionnel ', se souvient Olivier Person, responsable nouvelles technologies et communications à la Coopérative Lorans. L'entreprise confie donc à Sodifrance l'installation, la configuration et la supervision de son coupe-feu et de la passerelle antivirus. Olivier Person contrôle l'activité de son prestataire grâce à des rapports réguliers et communique les demandes de modification des configurations (ouverture d'un port sur le coupe-feu, etc.).

Les ressources : un contrôle permanent de la prestation

Des compétences en interne sont nécessaires pour sélectionner l'offre, mais aussi pour piloter le projet dans la durée. C'est le cas du Groupe Moniteur, qui externalise chez Cyber Networks la configuration et la supervision de ses deux coupe-feu, sa DMZ, ses répartiteurs de charge, deux lignes à 2 Mbit/s, deux serveurs Sendmail et même une sonde IDS. ' Nous avons deux ingénieurs en interne qui suivent le dossier de près. Ça aide lorsqu'il y a quelques remarques à faire au prestataire ! Et même en infogérance, il faut consacrer des journées/hommepour se plonger dans ledossier, savoir ceque l'on veut et contrôler le résultat ', observe Jérôme Fritsh, du Groupe Moniteur. Mais l'avantage d'une telle implication est primordial : ' Si tout s'arrête du jour au lendemain, nous avons les connaissances nécessaires pour continuer l'exploitation. Chaque phase de maintenance est très bien référencée. Notre contrat d'infogérance est l'un des dossiers les mieux documentés de la société ! ' Bien sûr, l'externalisation de services simples, tels que les antivirus ou l'audit de vulnérabilité, n'exige le plus souvent aucune ressource en interne et c'est justement là son principal atout. ' Je ne m'occupe de rien. La gestion du parc d'antivirus me prend quelques minutes chaque jour, afin de vérifier sur ma console en ligne que toutes les mises à jour se sont correctement déroulées ', apprécie Évelyne Martin, responsable informatique du garage Solac. Même satisfaction pour Laurent Muller, le PDG à la casquette de RSSI. ' Tout se gère à travers une interface web. Je commande mes audits et je consulte les rapports en ligne. Il n'y a rien à installer et je n'ai aucune mesure particulière à prendre ', explique-t-il.

La mise en ?"uvre : une relation de confiance avec le prestataire

Bien souvent, une relation de confiance existe déjà entre les équipes de l'entreprise cliente et celles du prestataire, et c'est ce lien qui justifie la sélection de ce dernier. ' Le choix du prestataire s'est fait naturellement : nous avons privilégié celui qui connaissait le mieux notre système d'information, qui avait déjà réalisé notre plan d'adressage IP et installé notre serveur DNS et notre intranet ', précise Olivier Person, de la Coopérative Lorans. Le même phénomène s'est produit au Groupe Moniteur, qui a choisi Cyber Networks après que celui-ci a pris en charge le reporting pour le système d'information du groupe Vivendi, auquel appartenait encore récemment le groupe. Une fois le prestataire choisi, les bénéfices de l'infogérance ne sont pas toujours immédiats : il est souvent nécessaire de procéder à un travail de définition des tâches susceptible de prendre un peu de temps. ' Il a fallu indiquer ce qui était acceptable ou non en termes desécurité et définir une politique minimale. Sodifrance nous a aidés en nous posant une série de questions et ce fut finalement assez rapide. Mais il faut tout de même s'impliquer en amont ', reconnaît Olivier Person.Le Groupe Moniteur, en revanche, a dû s'investir davantage en début de projet, tant l'architecture mise en infogérance était complexe. Il a fallu consacrer jusqu'à 70 % du temps d'un collaborateur pendant une semaine lors de la mise en place de la solution. ' Le travail d'organisation prend du temps ; il a fallu coordonner à la fois l'opérateur télécoms, le prestataire d'infogérance et nos sites distants ! ', se souvient Jérôme Fritsh.Quant à l'externalisation de services simples, la mise en ?"uvre est bien sûr quasi automatique, ce qui est l'autre grande force des services en ASP. ' L'installation du client antivirus prend juste quelques minutes par poste et s'effectue directement depuis Internet ', explique Évelyne Martin, du garage Solac. Même constat chez Alban Muller : ' L'achat est très simple : on s'enregistre en ligne, on envoie un fax de commande chaque année, et c'est réglé. On peut difficilement faire plus simple ! ', apprécie Laurent Muller.

Les écueils : la réactivité est moindre

Le premier obstacle à un contrat d'infogérance de la sécurité, c'est bien évidemment son coût, toujours plus élevé que celui d'une solution équivalente gérée en interne. Mais les entreprises témoins l'acceptent au regard des services rendus. ' Oui, l'externalisation revient plus cher. Mais je l'ai justifiée auprès de ma direction en expliquant que cela nous éviterait, entre autres, le coût des formations générique et spécifique aux matériels déployés ', explique Olivier Person, qui paye cette prestation 1 000 euros ht par mois.Seul vrai handicap par rapport à une solution gérée en interne : le temps de réaction du prestataire, incompressible, et qui peut poser des problèmes. ' Il nous est arrivé de devoir ouvrir un port sur le coupe-feu au dernier moment, parce qu'un intervenant extérieur venait faire une démonstration à la direction. Notre prestataire ne sait pas le faire en une heure, par exemple ! ', regrette Jérôme Fritsh.Enfin, même si l'infogérance fait gagner du temps, il faut quand même lire les rapports, et c'est parfois indigeste et long. ' Je les lis très peu car il y en a des kilomètres, c'est beaucoup de " paperasse ". Je m'intéresse plutôt aux flux et surtout aux préconisations [les nouvelles machines sur le réseau, celles qui tentent d'accéder à Internet sans en avoir l'autorisation, Ndlr...] . '

Les gains : une expertise supplémentaire pour l'entreprise

L'offre d'externalisation de la sécurité est désormais une offre aboutie. Simplicité, sérénité et, bien sûr, amélioration de la sécurité : il est difficile de la prendre en défaut. ' Quand je réalise tous les détails à prendre en compte dans une journée pour gérer convenablement la sécurité, je me dis que j'ai bien fait de ne pas m'en occuper ! Je me focalise uniquement sur les rapports, ce qui me permet malgré tout de ne pas perdre de vue l'essentiel. Je sais que j'ai des gens compétents qui veillent et qui donnent l'alerte si nécessaire... Il y a toujours quelqu'un devant la console ! Quant à moi, j'ai assez de travail avec les alertes d'exploitation ', justifie Olivier Person. Même constat au Groupe Moniteur : au-delà de la sérénité apportée par l'infogérance s'ajoute l'avantage de gagner une compétence rare : ' Cela permet de s'offrir une expertise dans un domaine qui n'est pas le nôtre. Et cela évite bien des problèmes lors du démarrage de nouvelles activités, ou de nouveaux applicatifs comme lorsque nous avons déployé du Citrix ou migré nos coupe-feu Nokia vers Check Point NG. Le prestataire apporte la connaisssance pour que tout fonctionne rapidement : quel est le port concerné, comment gérer les log, etc. Nous y gagnons donc en sécurité et en efficacité ', conclut Jérôme Fritsh.

La supervision des équipements et l'analyse des journaux sont non seulement difficiles à réaliser en interne mais sont également des tâches ingrates si l'entreprise doit les attribuer à du personnel. Bien souvent, ces tâches essentielles sont bâclées. En infogérance, le prestataire s'en occupe et fait bénéficier chacun de ses clients de l'expérience collective (nouvelles attaques, problèmes de configuration, etc.).

Les tests de vulnérabilité sont exécutés de l'extérieur, comme le ferait un pirate, sans que l'entreprise ait à déployer de nouveaux serveurs. Constamment mis à jour, ils reflètent les attaques récentes et couvrent souvent très bien le périmètre de l'entreprise. Leurs rapports, consultables en ligne, donnent des conseils pour résoudre les problèmes de sécurité rencontrés.

Si l'entreprise ne prend pas garde, ses équipements mis en infogérance peuvent devenir des ' boîtes noires ' connues du seul prestataire. Il est nécessaire de pouvoir contrôler les interventions, même succinctement, et d'exiger que chacune d'elles soit clairement documentée, afin de faciliter la reprise du contrat en interne ou par un autre prestataire.

Lorsque la configuration des équipements est confiée à un tiers, celui-ci sera toujours moins réactif qu'une équipe en interne. Il sera difficile d'exiger une modification de la configuration (ajout de comptes, de règles, etc.) dans de brefs délais : le prestataire peut vouloir étudier la meilleure implémentation des nouvelles règles afin de ne pas ouvrir le système d'information plus que nécessaire, ou bien il peut tout simplement être débordé.

Retour d'expérience : Privilégier une solution complète

' Prendre en charge la sécurité nous faisait peur '

La société Lorans a pris conscience de l'importance de la sécurité lorsque son serveur de messageries a été détourné. Quand Olivier Person s'est penché sur les moyens pour mieux sécuriser son système d'information, il a compris qu'il lui fallait des compétences rares, chères et gourmandes en ressources. ' Nous avons évalué la possibilité d'exploiter nous-mêmes un coupe-feu au service informatique. Mais la formation que cela implique et l'obligation de connaître toutes les attaques et de faire une veille spécialisée nous faisait un peu peur ', reconnaît-il. Après avoir évalué quelques solutions de sécurité, il se tourne vers l'externalisation, même si celle-ci est la plus chère (1 000 euros ht par mois). Une dépense vite rentabilisée, selon Olivier Person. ' Nous n'avons pas à payer une double formation en sécurité, générale et spécifique aux matériels. Mais surtout, nous ne nous occupons ni du matériel ni de son remplacement ni de son adaptation à la tâche. Sodifrance s'engage à mettre en ?"uvre ce qui est nécessaire. Nous avons défini ce qui est acceptable ou non, à eux de mettre en place le matériel nécessaire, de le changer ou d'en ajouter... pour le même tarif. Ils ne promettent pas, bien sûr, une sécurité à 100 %, mais s'engagent à compléter ou à changer l'offre pour qu'elle soit toujours au meilleur niveau '

Coopérative Lorans

Activité : robinetterie sanitaire et pour le bâtiment.
Siège : Rennes (35).
Effectif : 160 personnes.
Chiffre d'affaires 2002 : 32 millions d'euros.

Retour d'expérience : Faire le choix d'une offre simple

' Plus besoin de nous occuper des antivirus '

C'est à la suite de l'infection de son réseau local par le virus Bugbear que le garage Solac a étudié la protection antivirale de ses postes de travail. Mais entre lourdeur et complexité, les offres logicielles traditionnelles n'ont pas donné satisfaction. Le garage souhaitait une offre simple. ' Fiat, dont nous sommes concessionnaires, nous a d'abord orientés vers Viguard 9, car il ne nécessite pas de mise à jour. Et même s'il semble très bien, nous l'avons trouvé beaucoup trop complexe ', explique Jocelyne Martin, responsable informatique du garage Solac. ' Nous avons ensuite essayé Kaspersky Antivirus, mais il ralentissait tellement les PC qu'il a fallu le retirer dès la première journée ! C'est alors qu'on nous a proposé de tester le service d'antivirus en FAH de McAfee (monDSI.com), et tous les problèmes ont été réglés : le client est très léger et s'installe automatiquement sur les postes de travail, depuis Internet. Nous n'avons aucun CD, juste une licence à activer. Le programme est intouchable par les utilisateurs, il se met à jour quotidiennement et nous ne nous occupons même pas de changer de version [du moteur, Ndlr] . Je ne m'occupe plus de mon parc antivirus, sauf pour consulter les rapports chaque matin, sur le site du fournisseur ', justifie Jocelyne Martin. Le coût de cette prestation ? 44,81 euros ht par poste et par an.

Solac

Activité : concessionnaire automobile.
Siège : Morangis (91).
Effectif : 60 personnes (sur 4 sites).
CA 2002 : 18,5 millions d'euros.

Avis d'intégrateur : Boris Rogier (Securalis) : ' L'infogérance ne résoutpas tous les problèmes '

Comment se préparer à l'infogérance de la sécurité ?

La clé du succès est de bien documenter son architecture et d'avoir déjà défini ses besoins. Pour l'entreprise qui n'a encore rien fait en la matière, il est préférable de commencer par se faire aider dans la définition des besoins et la création d'une architecture qui réponde parfaitement à ses critères. L'infogérance ne pourra être mise en place qu'après.

Faut-il un même prestataire pour la définition des besoins et la mission d'externalisation ?

Oui, et c'est même souhaitable. C'est d'ailleurs un bon critère pour identifier les prestataires sérieux : un MSSP [Managed Security Service Provider, Ndlr] n'est pas seulement un gestionnaire, c'est aussi un accompagnateur. Il doit être capable de créer une offre qui s'adapte à l'infrastructure de son client, et non pas exiger de ce dernier qu'il s'adapte à son offre.

Quelles sont les limites de l'infogérance de sécurité ?

On ne peut infogérer ce qui est mal conçu, par exemple un IDS [Intrusion Detection Systems, Ndlr] ou encore une politique de filtrage antispam, déployés sans avoir défini au préalable leurs objectifs. En fait, on ne peut pas infogérer ce qui n'est pas gérable en interne ! L'infogérance ne va pas résoudre les problèmes de conception !

Securalis

Activité : intégrateur de solutions de gestion de la sécurité informatique.
Siège : Paris (75).
Effectif : 12 personnes.
Chiffre d'affaires 2002 : 1,2 million d'euros.

Jérôme Saiz

Votre opinion