La sécurité informatique c’est trop de problèmes à résoudre, trop compliqués avec trop de fournisseurs différents. Pourquoi ne pas l’externaliser ? Ce n’est pas la voie que semblent suivre les entreprises. « La migration vers une sécurité externalisée sera progressive » estime Patricia Murphy, Vice-Présidente Europe du Sud de McAfee, société spécialiste de la sécurité, filiale du géant américain Intel.
Une sécurité hybride
« La sécurité sera hybride avec une partie des solutions déployées sur le site de l’entreprise et une autre partie chez les prestataires » ajoute-t-elle. Elle est intervenue auprès de la presse en compagnie de ses équipes françaises, le 8 Juillet, à l’occasion de son passage à Paris.
On évolue donc doucement vers une approche hybride, à la fois sur site et dans le Cloud, géré par des prestataires de service tels que Accenture ou Atos qui s’engagent sur des niveaux de service. Tandis que sur site, les entreprises sont encore pour beaucoup dans une approche « best of breed« , en associant les meilleures solutions de plusieurs fournisseurs. Sur ce point, le marché évolue lentement à l’instar du groupe La Poste qui au fil des années a progressivement regroupé la protection des postes de travail et du réseau au sein d’un même lot confié à un seul fournisseur.
Absence de solution unifiée
Pour autant, il n’existe pas de solution unifiée couvrant l’ensemble des problèmes, chaque fournisseur arrive de plus dans l’entreprise avec sa propre plateforme de supervision de ses propres agents logiciels de sécurité. Dès lors, côté solutions, c’est le casse-tête.
La sécurité informatique c’est 200 à 250 fournisseurs de solutions sur le marché. « Il suffit qu’une startup trouve une autre manière de résoudre un problème pour créer un nouvel acteur sur le marché » pointe McAfee. Les entreprises en ont assez de devoir ajouter de multiples agents logiciels afin de surveiller un nouvel élément de leur système d’information, le tout supervisé par une console différente de celle déjà en place.
De 3% à 10% du budget informatique
Au final, la sécurité informatique est le caillou dans la chaussure de toutes les organisations. Un caillou qui coûte cher. « La sécurité informatique pèse de 3% à 10% du budget informatique salaires compris, d’une entreprise, » déclare McAfee. Le montant est plus ou moins élevé selon le chiffre d’affaires de l’entreprise, son secteur d’activité (banque ou agroalimentaire par exemple), et le nombre d’employés.
Face à la complexité, il est temps de passer à une certaine standardisation des plateformes et des échanges entre les différents dispositifs de sécurité, qu’il s’agisse de l’anti-virus, du pare-feu, etc… C’est le message qu’a fait passé McAfee. Cela revient par exemple à s’en remettre à un seul fournisseur pour protéger plusieurs éléments du système d’information.
Des standards d’échange
Cela passe également par l’adoption de standards d’échange des informations de sécurité entre solutions. Des standards existent déjà tels que IOC (Indicator of compromise), STIX (Structured Threat Information Expression) ou Taxii (Trusted Automated Exchange of Indicator Information) pour l’échange d’informations sur les malwares ou les menaces. Mais ils sont plus employés à l’étranger qu’en France.
McAfee ambitionne de jouer les fédérateurs dans ce domaine et propose ce mois-ci sa propre couche de « middleware », un bus d’échange d’informations entre différents dispositifs de sécurité, baptisé Data Exchange Layer. De quoi déjà intégrer les 85 produits de son propre catalogue. Le bus est proposé aux autres fournisseurs de sécurité. Charge aux clients d’inciter leurs fournisseurs favoris pour qu’ils développent les bonnes interfaces vers ce bus qui est compatible avec le standard Stix. Affaire à suivre.
Photo, Patricia Murphy, Vice-Présidente Europe du Sud de McAfee, le 8 Juillet à Paris.