La récente offre de service de sécurité managée dédiée au NAC (Network Access Control) de Verizon Business, montre que, sur ce créneau de l’infogérance de sécurité, l’innovation est encore de mise. Cependant, les entreprises ne se pressent pas pour faire appel – sur de larges périmètres – aux MSSP (Managed Security Service Provider).  Ces prestataires spécialisés de l’infogérance de sécurité ont pourtant acquis une expérience certaine : ils existent depuis une dizaine d’années et pèsent 1 milliard d’euros sur le marché de la sécurité. Confier à ces spécialistes la supervision et l’administration de la sécurité, assurées 24 heures sur 24 et 365 jours par an, est une approche qui n’a rien de téméraire. La maturité de l’offre devrait conduire les entreprises à considérer la sécurité comme un service à souscrire, pour diverses problématiques.

Car certes, l’offre d’infogérance de sécurité s’est  longtemps limitée à la gestion des équipements périmétriques du réseau – gestion de DMZ, de firewall et sécurisation de la messagerie. Mais le marché répondait à la demande. Prendre en charge la sécurité au sein de l’entreprise était, et reste parfois encore, tabou chez les grands comptes. Les mentalités évoluant, les MSSP ont su s’adapter à la demande, voire l’anticiper. Désormais, l’infogérance de la sécurité inclut des services évoluées en matière d’interconnexion entre le réseau d’entreprise et le réseau Internet : filtrage d’url, services de proxy (optimisation de trafic, camouflage des transactions Internet), d’antispam, d’antivirus. Les services pénètrent plus loin encore dans le réseau interne de l’entreprise, jusqu’à englober la protection des utilisateurs finaux : sécurité du poste de travail, firewall personnel, gestion des correctifs, mise à jour de la conformité des postes, assistance à l’utilisateur. Ces services complètent la supervision et l’administration plus classique de la sécurité : firewalls, sondes IDS/IPS (Intrusion et Prévention d’intrusions).

A l’énumération des services que l’entreprise peut confier aux MSSP, on mesure la difficulté de la tâche d’administration des équipements, et celle de corrélation des événements et incidents de sécurité. D’une part, les entreprises se confrontent à une difficulté technique de formation continue des équipes afin de conserver la maîtrise des produits et solutions. D’autre part, le coût de ces tâches sur le budget de sécurité n’est pas négligeable. Pour preuve, les investissements et efforts consentis pas les différents MSSP ces dernières années pour arriver à maturité. Ainsi BT Global Services a hérité, suite au rachat de Counterpane en novembre 2006, de la console centrale de management de ce dernier et de Socrates, un outil de corrélation de logs. Le développement de l’ensemble s’était chiffré à 50 millions de dollars. Ubiqube a mis au point VSOC (pour Virtual SOC), et SECengine. VSOC est un portail web à travers lequel l’administrateur – et le client – accèdent au middleware propriétaire SECEngine qui se charge de communiquer avec les équipements des différents constructeurs. Plus de 5 années de développement ont été nécessaires à Ubiqube pour cet ensemble. La note a été de près de 18 millions d’euros. Ces investissements restent trop lourds pour être envisagé par des entreprises pour lesquelles la sécurité est une nécessité et non une fin en soi.

à l’instar de certains MSSP, les entreprises peuvent aussi choisir de maîtriser les diverses consoles dédiées de chaque éditeur et constructeur. Orange Business Services le fait. La limite de l’exercice réside dans l’administration. En matière de corrélation d’événements et d’incidents, il est utopique de penser que le marché fournit tous les outils nécessaires. Verizon Business utilise ainsi – pour la partie monitoring – collection, corrélation et classement des logs et alertes – une solution maison, SEAM pour State and Event Analysis Machine, développée en 1997. Symantec a réservé son développement interne au portail frontal de reporting pour les clients. IBM (via ISS suite au rachat de celui-ci) mixte les approches. Pour les services de management et de monitoring, chaque équipement (pare-feu, sonde IPS, etc) est géré individuellement. Dans le SOC (Security Operating Center) les évènements de sécurité sont capturés par SiteProtector, un outil maison,  puis envoyés vers une console centrale de monitoring – Unified Console – un développement interne. Si, suite à un incident ou suite à une demande du client, une politique doit être changée, ce changement sera effectué en utilisant la station de management appropriée (SiteProtector pour ISS, Provider-1 pour CheckPoint, etc ) dans le SOC. Le portail de reporting client a aussi été développé en interne. Le développement s’est étalé sur les 10 dernières années.

Ce savoir-faire dans la gestion de multiples équipements et d’événements de sécurité, est doublé d’une mission de conseil et d’accompagnement des clients. BT Global Services a acquis sa légitimité dans ce domaine en faisant l’acquisition en novembre 2006 de Counterpane, une société de services qui est devenu un MSSP.  Counterpane a donné à BT une forte expertise dans la gestion de vulnérabilités et les tests d’intrusion, ce qui dépasse le cadre traditionnel du MSSP. Orange Business Services propose un tableau de bord sécurité destiné aux RSSI. Offre que l’on retrouve chez Verizon Business. Ces services à valeur ajoutée découlent d’une évolution qu’ont connu les MSSP. Auparavant confrontés aux ingénieurs de sécurité, ils discutent désormais directement avec les responsables du risque et les RSSI. Ce qui explique la tonalité d’Alcatel-Lucent, à travers son offre Threat Management. Cette société aborde la gestion de la sécurité de pair avec la gestion de crise. Cette approche passe par un service de veille, de gestion de vulnérabilités, de scan, jusqu’à une modélisation des réseaux et une simulation des attaques afin d’identifier l’impact d’éventuelles exploitations de vulnérabilités. Aider le client à mettre ensuite en forme ses logs est une grande partie de la prestation, tout comme affiner la politique de sécurité. Alcatel-Lucent contribue à définir un contact en cas de crise et à désigner des correspondants locaux sur les différents sites lors du déploiement initial. En bout de chaîne, on retrouve la gestion d’événements et la corrélation de logs. En la matière, Exaprotect, IBM (Tivoli/Micromuse) et Intellitactics sont tous trois dans la trousse à outils d’Alcatel-Lucent.

La diversité de la gamme de services offerts par les MSSP,  complexifie la contractualisation avec les clients. Lesquels se voient offrir des SLAs (Service Level Agreement, ou Accords de Niveaux de Service) sur les temps de réaction suite à problème. Ce point vient rappeler que signer un contrat avec un MSSP n’est pas souscrire une assurance. La première des obligations de ces acteurs est celle de moyens.