Osez l'infogérance de la sécurité

Placer la sécurité au rang des services et confier son exploitation à un spécialiste : voilà une posture audacieuse, économiquement intéressante, pragmatique, et pour autant encore peu adoptée par nombre d'entreprises. Pourtant, les prestataires spécialisés ne manquent pas.Les MSSP (Managed Security Service Providers) ont ainsi à leur actif une dizaine d'années d'ancienneté et pèsent pour environ 1 milliard d'euros sur le marché de la sécurité. Néanmoins, leur valeur ajoutée n'a pas souvent paru évidente aux entreprises. Lesquelles ont pu faire appel aux MSSP, mais pour un périmètre limité, modeste en regard de l'offre du marché. ' Longtemps, les clients se sont contentés d'une demande de services associés à l'ouverture à internet, telle la gestion d'une DMZ (zone démilitarisée ?" NDLR) et de pare-feu ', admet Jean-Michel Cray, le responsable du programme Business Security d'Orange Business Services. ' Nous ne sommes souvent qu'un relais SMTP dans le cadre de la sécurisation de la messagerie ', renchérit Bruno Leclerc, directeur technique et services d'Integralis.

Même les grands comptes sont tentés

Mais aujourd'hui, la donne a changé. L'offre des MSSP ne se résume plus à la seule gestion des équipements à la périphérie du réseau. S'y sont ajoutés des services évolués en matière d'interconnexion entre le réseau d'entreprise et le réseau internet : filtrage d'URL, services de proxy (optimisation de trafic, camouflage des transactions internet), d'antispam, d'antivirus. Les MSSP s'attachent aussi à développer des prestations englobant les utilisateurs finals : sécurité du poste de travail, pare-feu personnel, gestion des correctifs, mise à jour de la conformité des postes, assistance à l'utilisateur. Ces services complètent la supervision et l'administration plus classique de la sécurité : pare-feu, sondes IDS/IPS (détection et prévention d'intrusion).Gérer tous ces équipements peut vite se révéler une gageure. Les efforts consentis par les MSSP pour y parvenir justifient que les grandes sociétés envisagent de leur confier cet aspect d'administration et de corrélation. Ainsi, suite au rachat de Counterpane en novembre 2006, BT Global Services a hérité de sa console centrale de management et de Socrates, un outil de corrélation de logs. Leur développement s'était chiffré à 50 millions de dollars. Pour sa part, Ubiqube a mis au point VSOC (Virtual SOC) et SecEngine, que présente Nabil Souli, le CEO : ' VSOC est un portail web à travers lequel l'administrateur ?" et le client ?" accède à notre middleware SecEngine, lequel se charge de communiquer avec les équipements des différents constructeurs. Plus de cinq années de développement ont été nécessaires pour cet ensemble, qui a nécessité près de 18 millions d'euros. ' De tels investissements restent trop lourds pour être envisagés par des entreprises pour lesquelles la sécurité est une nécessité, mais non une fin en soi.

Les consoles des fournisseurs plébiscitées

D'autres MSSP ont recours aux différentes consoles dédiées de chaque éditeur et constructeur. Jean-Michel Craye, d'Orange Business Services, le justifie : ' Nous conservons de cette manière la consistance des interfaces fournisseurs et de leur évolution. Pour la partie corrélation de logs, nous n'utilisons pas d'outil du marché en l'absence de standards de management stabilisés, mais cela viendra. ' Verizon Business a préféré devancer l'offre du marché : ' Pour la partie monitoring ?" collection, corrélation et classement des logs et alertes ?", nous utilisons une solution maison, SEAM (pour State and Event Analysis Machine), développée en 1997 ', détaille Christophe Bianco, responsable des ventes Europe de l'Ouest. Symantec a réservé son développement interne au portail frontal de reporting pour les clients.De son côté, IBM (via ISS, suite au rachat de celui-ci) mixe les approches, comme l'explique Thierry Engelen, responsable Europe des services de sécurité hébergés : ' En ce qui concerne les services de management et de monitoring, chaque équipement (pare-feu, sonde IPS, etc.) est géré individuellement. Dans le SOC (Security Operating Center ?" NDLR), les événements de sécurité sont capturés par Siteprotector, notre outil maison, puis envoyés vers une console centrale de monitoring, Unified Console, un développement interne. Si, à la suite d'un incident ou d'une demande du client, une politique doit être changée, ce changement sera effectué en utilisant la station de management appropriée (Siteprotector pour ISS, Provider-1 pour Check Point, etc.) dans le SOC. ' Le portail de reporting client a aussi été développé en interne. Le développement s'est étalé sur ces dix dernières années.

Aider au pilotage jusqu'à la gestion de crise

La valeur ajoutée des MSSP ne réside pas uniquement dans leur capacité de gestion de multiples équipements et d'événements de sécurité. Ces fournisseurs de services revendiquent aussi un rôle de conseil et d'accompagnement des clients. BT Global Services se fonde sur la notoriété que lui confère l'acquisition en novembre 2006 de Counterpane, société de services et ' pur ' MSSP. Laquelle lui apporte une forte expertise dans la gestion des vulnérabilités et les tests d'intrusion, au-delà du cadre traditionnel du MSSP. ' Notre approche vise à aider le client à définir une gestion globale du risque, à faire un état des lieux avec lui, pour améliorer au final sa politique de sécurité. Une grande banque nous a ainsi sélectionnés pour notre capacité à l'aider à obtenir une certification ISO ', développe Fatiha Morin, responsable Business Continuity, Security and Governance en France.Orange Business Services propose un tableau de bord sécurité destiné aux RSSI. Une solution que l'on retrouve chez Verizon Business. ' En 2001, on s'adressait aux ingénieurs sécurité, et désormais c'est aux responsables du risque et aux RSSI ', justifie Christophe Bianco. Alcatel-Lucent, à travers son offre Threat Management, va plus loin en se détachant de l'offre historique des MSSP. ' Nous ne sommes pas très intéressés par l'infogérance des équipements ', admet Frédéric Martinez, directeur des produits sur l'offre Threat Management. Ce MSSP d'un autre genre revendique une assistance au pilotage de la sécurité, y compris dans la gestion de crise. Cette approche passe par un service de veille, de gestion de vulnérabilités, etc., jusqu'à une modélisation des réseaux et une simulation des attaques afin d'identifier l'impact d'éventuelles exploitations de vulnérabilités. Aider le client à mettre ensuite en forme ses logs constitue une grande partie de la prestation, tout comme affiner la politique de sécurité. ' Cela n'aura pas grand sens de surveiller les événements de sécurité si nous n'avons pas défini en amont avec le client la politique de sécurité ', insiste Frédéric Martinez.Définir un contact en cas de crise et désigner des correspondants locaux sur les différents sites lors du déploiement initial représentent des sujets traités par Alcatel-Lucent. En bout de chaîne, on retrouve la gestion d'événements et la corrélation de logs. En la matière, Exaprotect, IBM (Tivoli/ Micromuse) et Intellitactics sont tous trois dans la trousse à outils d'Alcatel-Lucent. ' Nous traitons 1,6 milliard d'événements de sécurité par mois, sur plus de 60 pays ', précise Frédéric Martinez.Cette étendue de services offerts par les MSSP complexifie la contractualisation avec les clients. Lesquels se voient offrir des SLA (Service Level Agreements) sur les temps de réaction après un problème. ' Le contrat MSSP n'est pas une assurance, nous délivrons une prestation ', rappelle Romain Andrieux, pour souligner que la première des obligations est d'abord celle des moyens. Les résultats, eux, suivent a priori, aucun MSSP en France n'ayant perdu de client à la suite d'un incident majeur.redaction@01informatique.presse.fr