Sécurité informatique et PME : ne vous lancez pas à la légère et mettez en concurrence solutions matérielles et logicielles

Stratégies Channel

Choix matériel ou logiciel ? La sécurité est un enjeu suffisamment important pour ne pas hésiter à étudier la question sans présupposé. Le Directeur Général d’Astaro, société experte en sécurité informatique, aborde cette question de front et donne des pistes de réflexion pour les DSI et autres décideurs en entreprises intéressés par la question.

Par Jan Hichert, Directeur Général d’Astaro.

Malgré la crise économique, le marché de la sécurité informatique n’a pas
ralenti et continue de croître. Le succès des Smartphones et autres tablettes associé à la multiplication des données personnelles ou sensibles sur les réseaux créent un contexte favorable à l’émergence de nouvelles menaces qui visent les particuliers comme les entreprises. D’après une étude menée par le cabinet d’analyse IDC, le marché européen de la sécurité informatique représentait à lui seul onze milliards d’euros en 2009. De plus, les entreprises ont à leur disposition une très large gamme de solutions pour protéger leurs réseaux, leurs courriels ou leurs activités sur Internet : des solutions matérielles dominent le marché depuis plusieurs années, récemment concurrencées par de nouvelles offres de sécurité, sous la forme de services  (Security As A Service). Des services qui ont l’avantage d’être souvent plus flexibles et moins coûteux.
 
Les fournisseurs de sécurité informatique s’appuient encore majoritairement sur des solutions matérielles, j’entends par là des appliances développées spécialement pour augmenter le débit des données et dans lesquelles ont été implémentées des puces d’accélération. Pourtant, ces solutions ne sont pas toujours les plus adaptées, notamment pour les petites et moyennes structures qui n’ont pas ces contraintes de vitesse. Nous leur conseillons donc le plus souvent de ne pas s’engager sur cette voie car un fort débit de données ne garantit pas un niveau élevé de sécurité ! De plus, un outil trop spécifique manque souvent de flexibilité et offre des possibilités d’adaptation limitées. Tôt ou tard, un tel investissement est voué à l’échec.
 
Le problème des solutions de sécurité matérielles spécialisées réside dans le fait que les fonctions supplémentaires sont extrêmement coûteuses à développer. Par conséquent, les mises à jour fonctionnelles sont moins fréquentes. Certaines mises à jour plus importantes nécessitent même un nouvel équipement, car adapter l’existant – lorsque cela est possible – se révèle trop compliqué et trop coûteux. Dans ce cas, les entreprises dont l’activité est liée aux problématiques de sécurité informatique, comme les équipementiers télécoms ou les fournisseurs de services, peuvent vite être confrontées à d’importantes difficultés. Différents critères peuvent conduire à changer de solution de sécurité, par exemple lorsque les exigences de conformité propres au secteur évoluent ou encore si l’activité se développe rapidement et que les fonctionnalités de la solution existante ne peuvent pas être étendues. L’argent investi dans la solution d’origine est alors perdu. Pour les petites et moyennes entreprises comptant une centaine d’employés, cela représente une perte de 3 500 euros en moyenne ! Le problème est simple : lorsqu’une entreprise investit dans une solution matérielle, il est difficile pour elle d’anticiper sur plusieurs années l’évolution de ses besoins en matière de sécurité, mais également l’évolution de ses besoins métiers et commerciaux. Prenons par exemple la messagerie instantanée. Avant l’avènement de Skype, etc., tous ceux qui avaient acheté un matériel spécifique ne pouvaient que consulter leur manuel en espérant que leur solution leur permettrait de bloquer les Messages Instantanés (MI). C’est pourquoi les entreprises doivent choisir un fournisseur capable de leur assurer une grande flexibilité.
 
Au lieu de se focaliser sur les caractéristiques de leur équipement, les entreprises ont intérêt à choisir une solution qui garantit la capacité d’adaptation de leur plateforme et qui, par exemple, sera compatible avec des environnements virtuels ou avec n’importe quel matériel. Le système de licences doit également permettre aux fonctions de sécurité d’être adaptées aux contraintes propres à chaque entreprise. Idéalement, ces modules individuels doivent pouvoir être conçus sur mesure et combinés entre eux. Si les contraintes de sécurité de l’entreprise changent, il est nécessaire que les modules de sécurité correspondants puissent être ajoutés ou supprimés. Du point de vue des services, les éditeurs  doivent également mettre à disposition en continu les mises à jour fonctionnelles et les mises à jour de sécurité liées aux licences d’utilisation de leurs solutions. Seule une solution parfaitement à jour en permanence peut garantir une protection maximum.
 
D’autre part, si l’un des secteurs de l’entreprise nécessite une sécurité informatique plus performante, il ne devrait pas avoir à renoncer aux avantages des solutions flexibles. Ainsi, une entreprise peut opter pour une solution de clusters et dupliquer le matériel de base au fur et à mesure que ses contraintes de performances évoluent. Elle peut également opter pour une solution dans laquelle le matériel peut être mis à jour, et où le fournisseur transfèrera les licences vers le matériel. Dans les deux cas, les investissements professionnels doivent rester dans des limites définies préalablement. En conclusion, il faut trouver la bonne combinaison entre matériel, logiciel et modèle de licence pour créer une configuration de sécurité efficace et flexible : c’est cet équilibre qui doit  être décisif dans la prise de décisions concernant les futures problématiques de sécurité informatique.