Comment externaliser la sécurité des accès internet...
Boris Motylewski - 13/12/99
nternet a pris une telle importance au sein des entreprises que la plupart d'entre elles n'hésitent plus aujourd'hui à ouvrir leur système d'information au réseau des réseaux. Cependant la sécurité reste un point critique et complexe à aborder pour les entreprises car elle demande à la fois méthodologie, expertise, veille technologique permanente et exploitation quotidienne. Face à ces contraintes, de nombreuses sociétés choisissent d'externaliser leur sécurité. Cette infogérance se présente généralement sous deux formes bien différentes : confier à l'opérateur Internet la gestion intégrale de la sécurité ou faire appel à un prestataire extérieur pour la mise en oeuvre d'une solution sécurité et sa gestion au quotidien.
En France, les principaux opérateurs disposent déjà d'une ou plusieurs offres d'accès sécurisés. Cela permet à l'entreprise, en sous-traitant la mise en uvre et l'exploitation, de se consacrer pleinement à son métier sans allouer de ressources humaines à cette tâche. Bien qu'en apparence séduisante, cette solution présente cependant de nombreux inconvénients :
-
Les opérateurs indiquent rarement les moyens réels mis à la disposition du client. Pire encore, ils refusent la plupart du temps les tests de vulnérabilité que souhaitent effectuer le client pour vérifier sa protection,
- Aucune étude technique n'est généralement menée et le client adopte une offre standard proposée sur catalogue par l'opérateur sans tenir compte de ses propres spécificités,
- Les opérateurs ne s'engagent que sur des moyens mis à disposition mais rarement sur une obligation de résultats. Dans la plupart des contrats, les opérateurs déclinent même toute responsabilité en cas d'intrusion dans le réseau de la société cliente,
- Les contraintes de rentabilité obligent les opérateurs à mutualiser les ressources humaines et les équipements de sécurité alors que paradoxalement une gestion rigoureuse de la sécurité tend plutôt à les individualiser,
- Un opérateur Internet dispose généralement d'un vaste réseau, complexe et en perpétuelle évolution constituant ainsi un véritable risque potentiel pour ses clients. Ceux-ci peuvent alors légitimement se poser la question " mon opérateur est-il lui même parfaitement protégé ? "
Considérons à présent la seconde approche de l'infogérance sécurité évoquée précédemment. Celle ci consiste à faire appel à un prestataire extérieur en charge de la sécurité de l'entreprise dans ses locaux. Cette alternative offre à l'entreprise de nombreux avantages comme :
-
La mise en uvre d'une architecture réseau sécurisée conçue spécifiquement pour l'entreprise. Cette opération ne pourra être réalisée qu'après une étude approfondie sur la base d'un cahier des charges prenant en compte l'analyse de l'existant, l'expression des besoins ainsi que toutes les contraintes techniques et organisationnelles de l'entreprise,
- L'exploitation quotidienne des équipements de sécurité réalisée par un personnel hautement qualifié sans devoir recruter des spécialistes ou puiser dans le potentiel humain de l'entreprise,
- La possibilité de contrôler à tout moment le niveau de protection par un audit sécurité ou de véritables tests d'intrusion réalisés par des experts dans ce domaine,
- La possibilité d'impliquer contractuellement le prestataire retenu. Le contrat établit entre les deux parties pourra engager le prestataire sur de nombreux points irréalisables pour un opérateur Internet : obligation de résultats, fourniture de rapport détaillé sur incident, analyse régulière des journaux, accréditation du personnel, clauses de confidentialité, veille technologique, etc
Alors, faut-il externaliser la sécurité dans un projet de connexion Internet ? La réponse s'inscrit naturellement dans le schéma directeur de l'entreprise et traduit généralement plus un choix stratégique que technique. Dans l'affirmative, les décideurs doivent cependant garder à l'esprit qu'externaliser ne signifie pas se désengager et encore moins décliner toute responsabilité. Sur un sujet aussi critique pour l'entreprise, il semble plus raisonnable d'infogérer tout en gardant une parfaite maîtrise des choix techniques et des procédures d'exploitation et de contrôle. Dans la majorité des cas, les offres de connexions sécurisées proposées aujourd'hui par les opérateurs ne présentent pas toutes les garanties nécessaires et indispensables à la sécurité du système d'information de l'entreprise.
Boris MOTYLEWSKI
ExperLAN S.A. ( http://www.experlan.fr )
Informations sécurité : http://security.web-france.com
Paris : 01 47 40 03 02 - Montpellier : 04 67 87 46 90
|