MSaaS, ou le concept d’externalisation de la sécurité informatique

Par Pierre Yves Popihn, Responsable Services de sécurité managée et du support chez Integralis France

En cette période de réduction des coûts, l’externalisation (Out-tasking) acquiert de plus en plus d’importance dans le secteur de la sécurité. Un nombre croissant d’entreprises doit faire face à un défi presque insurmontable : ne pas augmenter les dépenses informatiques de l’année précédente, tout en maintenant un niveau de sécurité à même de répondre aux enjeux grandissants de leur stratégie.. Cet objectif exige la mise en œuvre de nouvelles technologies importantes, la disponibilité de nouvelles fonctions informatiques pour les départements concernés ou le remplacement des systèmes obsolètes. De plus, les employés spécialisés en informatique sont déjà souvent surchargés par les tâches courantes et ne peuvent mettre en œuvre les nouveaux projets de façon adéquate. Les départements informatiques sont rarement en mesure d’embaucher des personnes supplémentaires. Que peuvent donc faire les entreprises dans une telle situation ? Pour maintenir, malgré tout, les services informatiques au plus haut niveau, des entreprises proposent leurs services externalisés. Néanmoins, quels sont les avantages et les inconvénients par rapport aux solutions classiques ?

Nous pouvons classer parmi les solutions de sécurité classiques, celles orientées poste de travail et celles orientées réseau au travers de passerelles redondantes telles que les solutions de sécurité web ou mail. Ces mesures sont souvent complexes et présentent de nombreux inconvénients.
Les solutions poste de travail sont très délicates à gérer, car il faut déployer et maintenir ces différentes solutions. De plus, il est nécessaire que ces solutions soient acceptées par les utilisateurs qui peuvent commettre des erreurs pendant leur utilisation. Il faut également faire face à des pertes de performance au niveau du poste de travail. À cela s’ajoutent d’autres inconvénients, tels que des conflits entre la solution de sécurité et d’autres logiciels sur l’ordinateur ou encore le manque de disponibilité immédiate des mises à jour ou programmes de correction, ce qui peut générer des failles de sécurité dans le système. Il est donc nécessaire de mettre en place des solutions de sécurité complémentaires qui elles permettront d’assurer de manière centrale la sécurité du SI.

Cela consiste à mettre en œuvre le concept de sécurisation par des passerelles redondantes, telles que des serveurs proxy. De prime abord, ce moyen semble plus simple que l’installation des logiciels sur l’ensemble des systèmes. Néanmoins, il faut recourir à un matériel coûteux ; le cas échéant, il faut même implémenter un système redondant (haute disponibilité, partage de charge). De plus, une expertise dans le domaine de la sécurité informatique, du réseau et des systèmes est nécessaire. Souvent même, l’implémentation est aussi difficilement évolutive (ces solutions sont limités en fonction du trafic ou du nombre d’utilisateurs). Des mises à jour régulières sont également nécessaires et les performances sont affectées par la mise en place de nouvelles fonctionnalités. Les coûts d’exploitation de ce genre de solutions sont aussi un désavantage.

Une alternative de sécurisation des systèmes IT est l’utilisation de la solution MSaaS. Sous cette appellation, on connaît, avant tout, le service des logiciels à distance (SaaS) et le Cloud Computing.

Le SaaS est un modèle d’activité, dans lequel la solution est exploitée chez un prestataire de services. Seule une infrastructure informatique minimale est nécessaire chez l’utilisateur final pour pouvoir accéder au logiciel mis à disposition : un PC ou un ordinateur portable avec une connexion à Internet ou respectivement un terminal qui est compatible avec le serveur, le navigateur Internet ou avec Java.

Le Cloud Computing est un concept dans lequel le paysage informatique n’est pas non plus exploité ou mis à disposition par l’utilisateur lui-même, mais par l’intermédiaire d’un ou de plusieurs fournisseurs. Les applications et les données ne sont plus stockées sur l’ordinateur local ou dans le centre informatique de la société, mais dans un « nuage », à savoir Internet. L’utilisateur accède à ces systèmes à distance par l’intermédiaire d’un réseau et en règle générale via Internet.

La solution MSaaS convient avant tout aux concepts de la sécurisation de la messagerie (Email Security), de la sécurisation Web (Web Security), de l’authentification forte (Strong Authentication) et du scan de vulnérabilités (Secure Scanning). Comparé aux méthodes classiques, il est absolument convaincant, en premier lieu, par la transparence des coûts et par l’absence de développement de dépenses d’investissement. En outre, les utilisateurs profitent de la grande capacité de traitement du fournisseur de services dans le monde entier. En d’autres termes, une disponibilité maximale grâce à de multiples Datacenter redondants. Ces Datacenter sont gérés par des spécialistes 24 h/24 et 7 j/7 et sont mis à jour en permanence. Les nouvelles technologies sont immédiatement mises en œuvre dans ces systèmes, sans pour autant affecter le service. Le déploiement de la solution MSaaS dans une entreprise est en général nettement plus rapide que l’installation de matériels et de logiciels par les propres ressources de celle-ci. Les clients peuvent se fier à un regroupement optimal des solutions. Généralement, les fournisseurs utilisent uniquement la technologie développée par les leaders dans les différents domaines, ce qui permet une parfaite extension des solutions. De plus, ces technologies sont complétées par des technologies propriétaires aux fournisseurs  de services. Il en résulte une excellente fiabilité, une excellente flexibilité et une adaptation dynamique des licences nécessaires (en fonction du contrat-type).

Toutefois, la solution MSaaS présente aussi des inconvénients. Ainsi, les pare-feu classiques IPS/IDS et les pare-feu du type Web Application ne peuvent pas être représentés par ce type de services. À cet effet, les services classiques de sécurité managée (matériels et logiciels mis en œuvre dans le réseau client, exploitation par des partenaires via l’infogérance) restent la seule alternative pour une auto-exploitation.

Quelle est la tendance ?

L’infogérance par la solution MSaaS rencontre toujours plus d’adeptes. La mutation de la situation économique impose aux entreprises de réfléchir de plus en plus aux potentiels d’économie. Il se développe donc une nette tendance vers les solutions MSaaS. Selon une étude du Gartner, cabinet d’analyses américain, publiée l’année dernière, le nombre des entreprises qui auront recours à des services via Internet pour les fonctionnalités nécessaires à leur activité aura doublé d’ici 2012. En effet, les entreprises sont de plus en plus convaincues par ce concept. Le Bitkom, association hightech, est parvenu à une évaluation similaire. Dans une enquête publiée par le Bitkom au début de cette année, les trois thèmes informatiques les plus importants en 2009 sont l’externalisation, la solution MSaaS et la mobilité.
Le développement de la solution MSaaS suit un processus lucide. Durant des années les logiciels ont été installés sur des équipements, puis furent utilisés des serveurs applicatifs « dédiés » et finalement fut développée la solution MSaaS. L’avantage est indéniable pour de nombreux utilisateurs : pas de logiciel > pas de matériel > pas de soucis ! Les fournisseurs déchargent les clients de leur travail. Les clients peuvent donc se concentre
r maintenant sur leurs activités principales en relation avec leur métier d’origine.

Autrefois, on faisait peu confiance aux solutions, selon lesquelles le client ne disposait pas de son propre matériel et devait se fier à un partenaire. Aujourd’hui, même les multinationales misent sur cette technologie et en sont très satisfaites. Les autres entreprises ont suivi cette tendance et ont balayé les scrupules et les premiers doutes sur la sécurité, le temps de réaction ou la disponibilité des services.

Il est indéniable que l’infogérance et l’externalisation illustrent la tendance actuelle dans le domaine de la sécurité IT, le Gartner et le Bitkom en conviennent également. Si l’on compare l’externalisation des tâches IT avec la vie réelle, il apparaît clairement que l’externalisation n’est pas une mauvaise solution. À titre de comparaison, prenons l’alimentation en eau : autrefois chaque maison possédait son propre puits et assurait ainsi sa propre alimentation en eau. Aujourd’hui on fait confiance aux usines d’approvisionnement en eau, on suppose qu’elles fournissent toujours de l’eau propre, que la pression de l’eau est toujours correcte et que l’eau ne contient ni impuretés, telles que les bactéries, ni maladies. Avec le recul, il est sûr que le transfert de cette tâche était une idée progressiste et la meilleure décision. C’est la raison pour laquelle la délocalisation de la sécurité IT s’imposera également et trouvera toujours plus d’adeptes.