Jean-Claude Streicher [01net]
27 Juin 2004
Même lorsqu'elles sont largement équipées en pare-feu, sondes de détection et de prévention d'intrusion, protection applicative et autres antivirus, les entreprises ne sont toujours pas satisfaites de leur sécurité. Et si le plus sûr était d'outsourcer ?
Si la sécurité est un objectif jamais atteint, c'est parce que les vers et les virus ne cessent de gagner en virulence, d'inventer de nouveaux moyens de s'infiltrer. Ils se modifient, se répliquent, génèrent du spam, détruisent des données, et bloquent les systèmes informatiques. Via Internet, les hackers se concertent, dérobent des informations ou endommagent des configurations par pure malveillance ou bêtise.
Pour se protéger, il ne suffit pas d'empiler des murailles de boîtiers et de logiciels. Il faut également s'assurer que ces défenses immunitaires sont constamment à jour. Ceux qui tentent de faire face, seuls, aux périls doivent remettre leur ouvrage sans cesse sur le métier, tel Sisyphe, condamné à pousser son rocher sur la pente d'une montagne, et à le voir dégringoler chaque soir.
D'où l'émergence de prestataires spécialisés, au discours ciblé. « La sécurité est devenue un métier à part entière, qui évolue en permanence, souligne Gaël Landin, responsable du pôle sécurité chez InfoSys. Il est impossible de suivre, quand on est isolé. » « Régler ses problèmes au cas par cas ne fait que créer des failles supplémentaires » , ajoute Philippe Launay, responsable des offres sécurité chez Sodifrance. Prétendre à l'autosuffisance serait, en définitive, la pire des solutions. « Seul, on ne peut faire que du bricolage, on ne peut pas s'en sortir » , insiste Franck Dubray, PDG d'Intrinsec.
Chaque entreprise devrait, pour se prémunir efficacement, embaucher les meilleurs experts, ce qui est évidemment hors de portée, car cela coûterait une fortune en formations, certifications techniques et personnels d'astreinte 24 heures sur 24 et 7 jours sur 7. Si on veut conserver l'avantage économique et d'ouverture des technologies IP, on peut alors avoir avantage à confier la gestion de sa sécurité à un prestataire de services, qui proposera non pas tant une mutualisation des équipements qu'une mutualisation des expertises.
Une évidence qui met de nouveau le monde des MSSP (Managed security service providers) en pleine ébullition. Les prestataires spécialisés, dont c'est l'unique métier, se ragaillardissent et élargissent leur périmètre d'action. Mais ils rencontrent la concurrence d'une nouvelle génération de prestataires, les uns venant de la gestion de parcs informatiques, les autres de l'intégration de réseaux et de l'administration de VPN, et les derniers, de l'infogérance informatique globale.
Des règles de bon sens
Dans ce mouvement, les PME - si souvent les délaissées de la sécurité - vivent même une véritable révolution, grâce à la montée en puissance des appliances multifonctions, qui s'accompagnent quasi naturellement d'une offre de services. Comment s'y reconnaître ?
Le bon sens suggère de respecter l'équilibre de la taille. Les groupes présents à l'international iront vers les MSSP assurant une couverture ad hoc : le Crédit Lyonnais vient ainsi d'opter pour Ubizen. Les grands comptes iront chez des prestataires, eux-mêmes grands comptes, et les PME, chez un prestataire qui leur ressemble. Carton Service (40 personnes), à Dourdan, a ainsi préféré Infodis à France Télécom Oléane. Le MSSP FMI valorise cette proximité : « Nous sommes une PME au service des PME » , note Dominique Boidin, ingénieur télécoms chez ce prestataire venu de la gestion de petits parcs informatiques. Le bon sens voudrait aussi qu'on ne multiplie pas les guichets. Sauf impossibilité, mieux vaut confier sa sécurité à son infogérant informatique global ou à celui qui est déjà intégrateur-administrateur de son réseau de données ou de son VPN.
Une continuité que cultive notamment Telindus. Depuis son ISC (International service center) en Belgique, il supervise 24 heures sur 24, 7 jours sur 7, aussi bien des éléments de sécurité (à ce jour, 102 pare-feu et 6 sondes IDS) que de réseaux (7 000 commutateurs, concentrateurs, et routeurs). « Via l'outil ArcSight, nous corrélons, par client, les événements réseau et sécurité, afin de ne rien rater, note Chris Willems, responsable du support. Il faut comprendre les flux réseaux, le processus métier, et où se trouve l'information importante. »
C'est aussi le profil adopté par Dimension Data, intégrateur-superviseur de réseaux d'origine sud-africaine. Il dispose de quatre NOC-SOC (Network-security operation centers) dans le monde (Boston, Johannesbourg, Lausanne, et Singapour). Soixante-cinq clients sont revendiqués en Europe (pour 85 pare-feu et une dizaine d'IDS), dont quelques-uns en France. L'intégrateur Arche n'est pas en reste. En octobre dernier, il a complété son NOC des Ulys d'un SOC, apte à superviser un large spectre d'éléments (routeurs d'accès Internet, pare-feu, sondes, antivirus, relais SMTP, filtres d'URL, serveurs web...), puis à notifier, dans des délais garantis, tout incident ou dysfonctionnement. Parmi les premiers clients recrutés : Siemens Automotive.
France Télécom suit le mouvement. De la supervision-maintenance de VPN, il déborde sur celle des passerelles de sécurité. Depuis Rennes, il gère huit cents passerelles de sécurité sur site, pour des entreprises dont il administrait déjà à 90 % les VPN.
Une vision globale du système d'information
À l'inverse, les grandes SSII mettront en avant leur vision globale du système d'information. « On ne vient pas chez nous pour de simples pare-feu, explique Charles Mula, directeur de l'European Delivery Center de Steria, à Sophia Antipolis. Notre spécialité, c'est la correction des failles de sécurité dans les systèmes d'exploitation des serveurs. Nous allons jusqu'à appliquer la politique de sécurité définie par les grands comptes. » Pour autant, l'infogérance de la sécurité doit-elle devenir une activité autonome ? « Ce que nous faisons pour soixante grandes entreprises, nous pourrions le faire pour mille, assure Charles Mula. Mais ce serait prématuré, le marché n'est pas assez porteur, même si certains MSSP posent un problème de pérennité. »
Atos Origin est plus offensif. Depuis qu'il a absorbé Sema-Schlumberger, il propose ses services réseaux et sécurité non seulement en accompagnement de son offre d'infogérance informatique, mais à tout grand compte voulant renforcer la sécurité de ses plates-formes complexes. « Nous sommes maintenant autosuffisants sur cette activité, et nous voulons l'amplifier » , précise Daniel Gargot, directeur de l'unité NSS. Avec deux points forts : la gestion des changements, des configurations et des alertes selon la méthode Itil ; et l'ouverture, selon le besoin du client, à tous les produits de sécurité du marché.
Thales fait le même calcul. Depuis 2001, il a regroupé ses unités concernées par la sécurité sous le nom de Thales Security Systems, qu'il a adossé à Thales Information Systems, l'entité d'infogérance globale. Il couvre donc toute la chaîne, depuis le conseil et l'intégration jusqu'aux MSS, opérés depuis Meudon par une vingtaine d'experts (bientôt trente). Une soixantaine de clients sont revendiqués, dont un équipementier automobile, qui a confié la supervision des pare-feu et des sondes IDS de ses cent soixante sites à travers le monde. Les grands infogérants insistent sur leur capacité à prendre en compte un existant des plus variés.
En pratique, les compétences subissent souvent la dictature du plus grand nombre, avec une couverture facilitée des produits les plus répandus. Arche cumule les certifications de Check Point Software, NetScreen, Nokia et Cisco Systems pour les pare-feu ; d'ISS et de Cisco pour les IDS ; et de Trend Micro et de Sophos pour les antivirus. À l'inverse de son concurrent ISS, Symantec, numéro un des MSSP aux États-Unis, s'ouvre aux équipements tiers : seize mille des vingt mille éléments qu'il supervise à travers le monde ne sont pas de lui, mais de Check Point, ISS, Manhunt ou NetScreen. Pour la détection d'intrusions, Steria a adopté RealSecure, d'ISS, avec certains freewares . Il utilise aussi des produits Radware et Mirapoint (antispam et antivirus), et les pare-feu Check Point et Nokia.
Thales gère les pare-feu Check Point et Cisco Pix, et, accessoirement, les boîtiers NetScreen, Arkoon, etc. Pour la détection d'intrusions, il exploite les IDS d'ISS et de Cisco, ou l'IPS (Intrusion prevention sensor) IntruShield, de Network Associates. Il applique par ailleurs les antivirus de Network Associates, Sophos ou Trend Micro. France Télécom est finalement un des rares à imposer un dispositif unique. Ses secure gateways réunissent un IP310 de Nokia, un antivirus de Trend Micro et un filtre d'URL et de contenu de Symantec. Elles se déclinent en quatre versions : small office, branch office, corporate site et data center .
Le niveau de service varie évidemment d'un prestataire à l'autre. Au minimum, il s'agit de superviser les éléments courants (pare-feu, antivirus, IDS, filtres d'URL), d'opérer les mises à jour, de détecter les dysfonctionnements, et d'en alerter le client dans des délais garantis. Certains, tels Arche et Symantec, privilégient ce rôle de notification en complémentarité des équipes terrain. Symantec s'engage ainsi à alerter ses clients par téléphone dans les dix minutes en cas d'attaque avérée. Son extranet, Secure Internet Interface, renseigne sur les tentatives du hacker, les correctifs préconisés, et ce qu'il en coûtera à l'entreprise si ceux-ci ne sont pas mis en oeuvre. Dans sa nouvelle version, ce portail dévoile qui tente de faire quoi, qui s'adonne au chat, quelles sont les imprimantes mal configurées... Il permet de récupérer des preuves, et d'adopter une meilleure politique antivirale et de gestion des incidents. « Le responsable de la sécurité défend ainsi mieux son budget » , souligne Cyril Simonnet, directeur des ventes services.
Des prestataires plus ou moins interventionnistes
D'autres MSSP sont plus interventionnistes. France Télécom, après deux contrôles de précaution, applique les changements de règles demandés par ses clients. Pour 97 pare-feu sur 102 et 4 sondes IDS sur 6, Telindus a été habilité à opérer lui-même les actions correctives qu'il estime nécessaires. Grâce à l'outil de corrélation en temps réel netForensics, Thales s'engage, quant à lui, à réagir en moins de trente minutes sur les incidents critiques...
Ces prestations sont appelées à s'étoffer au cours des prochains mois. Thales compte intégrer l'antispam SpamAssassin ou Trend Micro ainsi que les tests de vulnérabilité Qualys ou NetIQ. D'ici la fin de l'année, il prévoit également d'ouvrir un second SOC en Australie, pour offrir un service 24 heures sur 24, 7 jours sur 7 au tarif de jour, couvrant également le marché asiatique. Dimension Data ajoutera l'antivirus et la prévention des intrusions à son catalogue (pare-feu Cisco, Nokia, Check Point et audit de vulnérabilités). Telindus proposera aussi la protection antivirale et la gestion de la sécurité sur les systèmes applicatifs.
D'importants changements sont annoncés chez Ubizen, qui vient de passer sous le contrôle de Betrusted, un des leaders des services de PKI aux États-Unis. « Nous allons évoluer de l'administration de systèmes vers la gestion du risque, explique Bart van Sevenan, responsable marketing. Nous voulons être plus proactifs, selon une approche de plus en plus holistique [approche globalisante, NDLR]. » Le MSSP misera sur la technologie CSA (Cisco security agent) de Cisco pour aller jusqu'à la prévention des intrusions sur tout système (serveurs et terminaux) situé derrière la passerelle Cisco ou Check Point.MonDSI.com , pour sa part, est un des services de la division Risc MSS du distributeur Risc Technology, et protège en mode ASP cinquante mille postes de travail contre les virus. Il s'oriente vers une offre élargie, incluant l'administration de pare-feu Check Point ou d' appliances Fortinet, le filtrage d'URL, le reporting , l'optimisation de la bande passante (traffic shaping) et l' antispam par reconnaissance de classes de mots et d'adresses IP.
Courant 2004, Symantec proposera aussi le test de vulnérabilité et le suivi du taux d'occupation de la CPU et des disques, tout en intégrant les évolutions d'ISS et de Check Point.
En comparaison, la tâche des MSSP à taille humaine qui se consacrent exclusivement aux PME, voire aux TPE, paraît plus simple. Ils n'ont pas tant d'existant à prendre en compte, et les nouvelles appliances tout-en-un (Fortinet, ISS, Symantec, WatchGuard...) leur autorisent la mise en place de services clés en mains pour des forfaits abordables.
Le poids grandissant des appliances
FMI a ainsi introduit, en mars 2002, une offre de sécurisation des accès ADSL qui a déjà séduit quatre-vingts entreprises autour de Compiègne. Elle repose sur les appliances WatchGuard (Soho ou Firebox X), des pare-feu qui permettent la modification à distance des règles de VPN et l'authentification forte des nomades, ainsi que l'infogérance des antivirus et des procédures de sauvegarde, en attendant le surf control . « Grâce aux journaux de logs, nous proposons une vraie météo de la menace » , se félicite Dominique Boidin, ingénieur télécoms.
Couvrant la région Ouest, l'intégrateur MSSP CRT (7 personnes), qui a comme clients TV5, Coop, et System U, associe boîtier VPN-pare-feu (Cisco, Iptable, NetScreen, Watch-Guard) et serveur d'antivirus (InterScan ou Trend Micro). En cas d'attaque virale, il sait stocker les e-mails sur une machine tampon, et attendre la mise à jour des signatures pour pouvoir nettoyer les e-mails.
Via net.works est un autre partisan des pare-feu-VPN de WatchGuard, le modèle haut de gamme Vclass inclus. Il y a ajouté l'antivirus de Kaspersky au tarif de 1 euro par mois et par boîte à lettres, que devrait compléter un antispam. « Nous ne faisons pas de détection d'intrusion, car le pare-feu suffit aux PME, précise Guy Link, directeur de la stratégie produits. Nous nous engageons sur les délais des modifications logicielles. Et en cas d'incident matériel, nous changeons le boîtier » Via net.works gère huit cents pare-feu WatchGuard dans sept pays d'Europe, dont un tiers en France, le plus souvent en prolongement de ses services d'accès, de VPN et d'hébergement.
Infosys, lui, s'enthousiasme pour le boîtier pare-feu e-mail MX-treme de Borderware. « Il s'installe en parallèle du pare-feu et sécurise les e-mails, tant par rapport aux virus et au spam qu'aux nomades » , explique Gaël Landin, responsable du pôle sécurité. Le MSSP n'en livrait que deux unités par mois à mi-2002. Il en installe aujourd'hui une douzaine !
Be the first to Write a Comment!
Copyright © 2004 La Tribune. Droits de reproduction et de diffusion réservés. Distribué par AllAfrica Global Media (allAfrica.com). Pour tout commentaire ou demande d'autorisation de reproduction ou de diffusion, contactez directement le propriétaire des droits en cliquant ici.
AllAfrica collecte et indexe du contenu provenant de plus de 125 organes de presse d'Afrique ainsi que de plus de 200 autres sources d'informations et de nouvelles. Les pourvoyeurs d'informations de AllAfrica gardent l'entière responsabilité éditoriale de leur production. Les articles et documents identifiant AllAfrica comme source sont produits ou commandés par AllAfrica.
