« Security as a service », une arme pour endiguer la cybercriminalité ?
Sur le front de la lutte contre la cybercriminalité, les nouvelles ne sont pas bonnes. Les entreprises sont largement exposées du fait de l'explosion des nouvelles technologies et usages (cloud, mobilité, BYDO, médias sociaux, etc.) et la menace se professionnalise. Les investissements et les progrès réels faits par les entreprises restent insuffisants. Les fonctions sécurité de l'information doivent d'urgence se transformer pour fournir aux métiers et au management des solutions industrialisées efficientes et adaptées. Dans ce contexte, le modèle « security as a service » peut-il être une solution ?
PublicitéUne menace toujours plus grande et organisée
Les entreprises font aujourd'hui face à un élargissement du périmètre à protéger, du fait de la dématérialisation quasi-totale des processus métiers, de la mise en place de nouveaux canaux de ventes et de communication ou de l'explosion de la mobilité. L'ouverture croissante des systèmes d'information vers les partenaires, fournisseurs et clients entraine une disparition des barrières organisationnelles des SI internes traditionnels. Le Bring Your Own Device et le Cloud computing aboutissent à une perte de contrôle de la DSI sur les technologies, outils et services utilisés par les utilisateurs (« shadow IT »). De multiples cas d'incidents (RSA, Sony, Bourse Européenne du Carbone, etc.) démontrent que la menace est de plus en plus professionnalisée. Les attaques sont ciblées et furtives. Les cybercriminels disposent d'une « puissance de feu » quasiment sans limite. L'utilisation de botnets permet de lancer des attaques depuis des centaines de milliers d'ordinateurs répartis dans le monde, ou depuis des environnements de type Cloud Computing.
Une prise de conscience réelle mais une réaction (trop) limitée
Certes, les efforts des entreprises en matière de sécurité sont réels et méritoires, mais la menace croit largement plus vite que les progrès enregistrés en termes d'organisation, gouvernance, processus et outils. Les décideurs sont prêts à réaliser des investissements à condition que ces budgets soient bien gérés, que les actions soient axées sur les risques métiers majeurs, et que les processus mis en place soient pilotés et optimisés. Ils exigent également que la sécurité soit compatible avec le business quotidien, les initiatives métiers et l'innovation. La fonction SSI doit être plus réactive. Longtemps, les efforts en matière de sécurité ont été axés sur la prévention, et trop peu sur la réaction. C'est un fait, peu d'entreprises disposent de l'organisation, des procédures ou des outils pour traiter ces situations de crise. Tout l'enjeu est donc d'identifier les axes d'évolution, voire de transformation, permettant de répondre à ces défis.
« Security as a Service », une approche déjà utilisée dans les entreprises...
« Security as a Service », une approche déjà utilisée dans les entreprises...
De nombreuses entreprises sous-traitent d'ores et déjà à des Security Operation Centers (SOC) la surveillance des infrastructures, la gestion des événements, la détection d'intrusion, voire la gestion de firewalls. La proposition de valeur de ces services est évidente. En y souscrivant, les entreprises bénéficient, d'équipes spécialisées, formées, opérationnelles 24h sur 24 et 7 jours sur 7. En outre, par rapport à un service internalisé, les coûts sont fortement réduits du fait de l'absence d'investissement en locaux, matériels et formation, et de la mutualisation des coûts de fonctionnement du SOC entre plusieurs clients.
PublicitéL'essor du cloud computing permet d'étendre encore la palette des offres de « managed security services ». De nombreux spécialistes proposent d'externaliser des solutions de sécurité, comme le filtrage d'URL, l'anti spam ou les antivirus. Les clients bénéficient de la puissance de traitement des environnements de type cloud, couplée à des mises à jour extrêmement rapides des bases de signatures ou d'heuristiques utilisées par ces outils, du fait de leur caractère centralisé. Cette externalisation permet en outre d'améliorer la performance et l'expérience utilisateur pour les populations nomades, puisque les outils sont par définition accessibles de l'extérieur de l'entreprise.
... mais peut et doit être systématisée
D'autres offres « security as a service » commencent à apparaitre : l'IAM (Identity and Access Management) et le DLP (Data Leakage Prevention), dont la proposition de valeur porte sur la rapidité et le coût de déploiement. En outre, dans un contexte où les entreprises et les utilisateurs seront de plus en plus consommateurs de services en mode cloud (stockage, messagerie, applications métiers, etc.), l'« IAM as a Service » et le « DLP as a Service » ont des arguments solides comparés à des solutions purement internes, qui ont et auront des difficultés à interagir avec des environnements externes. Toutefois, ces solutions As a service devront s'interfacer avec des systèmes et processus existants, gérer la complexité des applications « legacy » ainsi que des développements spécifiques.
Si un certain nombre d'entreprises sont déjà des utilisatrices régulières des services « security as a service », peu ont établi une politique globale : catégoriser leurs besoins en termes de services de sécurité, sélectionner les services qui seraient externalisés, et souscrire les meilleurs services disponibles. Ainsi, des multinationales ne disposent pas de marché cadre de tests d'intrusion, et laissent leurs directions métier gérer des missions ponctuelles avec différents prestataires. Inefficacité, perte de temps, coûts non maîtrisés, sélection inadaptée des prestataires en sont les conséquences majeures.
Au contraire, celles qui ont établi avec un ou plusieurs prestataires des marchés incluant des typologies standardisées de tests d'intrusion et des volumétries types, disposent alors d'interventions adaptées. La volumétrie de ces contrats permet d'assurer un travail de sélection minutieux, qui aboutit au choix des meilleurs prestataires. Les directions métiers, chefs de projets ou fonctions de contrôle peuvent alors « piocher » selon des processus standardisés et lancer des prestations de tests d'intrusion adaptées à leurs besoins.
La fonction SSI, broker de services en sécurité (...)
La fonction SSI, broker de services en sécurité
L'approche « Security as a service » peut également se décliner au sein de l'entreprise, pour répondre aux attentes d'efficacité et d'efficience des métiers et du management. Dans cette approche, le positionnement de la fonction SSI évolue vers un rôle de fournisseur de services de sécurité, qui propose un catalogue de services standardisés : analyse de risque, accompagnement des projets de sécurité, sécurisation des environnements critiques, filtrage des flux applicatifs, surveillance de processus métiers, gestion de crise, formation, etc. L'exécution de ces services peut être assurée en propre par l'équipe SSI, mais elle peut aussi être sous-traitée. La fonction devient alors un « broker » de services de sécurité. Elle assure un rôle de prospection, de sélection, de négociation et de suivi des prestataires. Sa mission est de permettre aux fonctions de l'entreprise d'accéder aux services les plus adaptés et au meilleur prix.
Les « clients » internes choisissent alors dans un catalogue de services standardisés les éléments qui leur permettront de sécuriser le processus ou le projet métier dont ils sont porteurs, tant dans les phases de « build » ou de « run », la fonction SSI assurant alors un rôle de support uniquement.
Mais l'approche « security as a service » doit s'inscrire dans une gestion pragmatique, cohérente et priorisée de la sécurité
L'approche « security as a service » permet à l'entreprise d'industrialiser les processus liés à la sécurité de l'information et des systèmes informatique, de gagner en efficacité, d'optimiser les coûts, et de répondre aux attentes des métiers et du management. Mais ce n'est qu'une étape. Une mise à jour régulière du catalogue doit permettre d'identifier et de supprimer les services caducs et inadaptés. Cette revue critique doit également porter sur les modalités d'execution des services
Avoir à sa disposition un catalogue de services de sécurité efficaces, adaptés et aux meilleurs coûts est essentiel, mais encore faut-il les utiliser avec cohérence. Dans un contexte d'entreprise étendue, où de nouveaux services, canaux de ventes, applications, usages, modes de travail apparaissent chaque jour, la fonction SSI doit s'assurer de la bonne visibilité de ses services. Par exemple, une entreprise qui aurait souscrit à un service de scan de vulnérabilité, mais qui ne posséderait pas une cartographie à jour de sa présence sur Internet ne pourrait pas assurer une maîtrise des risques effective dans ce domaine. Or c'est bien le cas de la grande majorité des entreprises aujourd'hui.
La fonction sécurité de l'information n'a d'autre choix que de s'engager dans la voie des « security as a service ». Cette approche lui permettra de répondre aux attentes d'efficacité et d'efficience des métiers et du management. La fonction SSI pourra alors se concentrer sur sa mission de conseil auprès de « ses clients » internes, et sur son rôle de chef d'orchestre garant de la cohérence du dispositif global, et in fine de la maîtrise des risques liés à la sécurité de l'information pour l'entreprise.
Article rédigé par
Vincent Maret, Associé chez CGI Business Consulting
Vincent Maret possède plus de 15 ans d'expérience acquise au sein du cabinet Ernst & Young (12 ans), puis PwC (3 ans), au sein desquels il a mené et supervisé de nombreuses missions dans le domaine de la sécurité de l'information pour des clients grands comptes et PME, tous secteurs confondus (télécom, grande distribution, services publics, industrie, luxe, énergie). Il a notamment développé des offres de services liées à la sécurité des SI, dans le domaine des audits de sécurité techniques, des tests d'intrusion, des audits de code source, des analyses forensiques et de la sensibilisation.
Commentaire
INFORMATION
Vous devez être connecté à votre compte CIO pour poster un commentaire.
Cliquez ici pour vous connecter
Pas encore inscrit ? s'inscrire