Est-ce ISS qui crédibilisera IBM en matière de sécurité ? Poser cette question est une legère provocation. L’éditeur de la gamme Tivoli, et l’un des acteurs majeurs de la gestion des identités et des accès, n’est pas un débutant en sécurité. Néanmoins, le dernier rapport en date de Forrester Research (1) consacre IBM comme un « leader » dans le domaine des services infogérés de sécurité (Managed Security Services ou MSS). Or il est clair que c’est à ISS qu’IBM doit cette position.

Lorsque Big Blue fait l’acquisition d’Internet Security System (ISS) en août 2006, il met la main sur un des pionniers des MSS. Dès la fin des années 1990, ISS développe une expertise sur le sujet. Elle est née de la création de la X-Force, une équipe de consultants en sécurité spécialisés en R&D, et des requêtes fréquentes des clients, désireux de s’appuyer sur la X-Force pour la gestion des sondes d’intrusion. En 1999, ISS se renforce par l’acquisition de Netrex Secure Solutions, un MSSP américain basé dans le Michigan. 8 ans plus tard, ISS gère plus de 7500 équipements de sécurité à travers le monde, pour plus de 1800 clients, à travers 5 centres spécialisés (des SOC, Security Operating Center). Et cette approche « service » reste le cap tenu par ISS, désormais devenue business unit d’IBM. « Le marché a longtemps répondu aux problématiques de sécurité par des produits. Demain la sécurité va faire partie d’une offre globale de services, qui va accompagner le client dès la définition de sa politique » insiste Gérald Bourtguize, Country Manager IBM ISS France. Cela ne concernera donc pas seulement le management des logs des équipements de sécurité, coeur d’une offre MSS. « Lorsqu’on parle de services de sécurité, nous englobons audit, certification, gestion du risque » renchérit Loïc Guezo, Security and Privacy Consultant (certifié CISSP) chez IBM Global Technology Services.

La combinaison de l’expertise de MSSP (Managed Security Services Provider) d’ISS et de la taille d’IBM Global Technology Services, doit permettre de combler le retard pris sur le marché français par rapport aux pays anglo-saxons. L’externalisation des fonctions quotidiennes de la sécurité reste pour les entreprises, un sujet sensible. Si les résultats d’ISS n’étaient pas ridicules jusqu’à présent, la business unit compte néanmoins sur le renom de son tuteur pour convaincre plus de clients. « IBM a une légitimité auprès des entreprises pour des projets de gestion de nombreux équipements de sécurité » rappelle Gérald Bourtguize. Un atout que relève le rapport de Forrester Research qui prévoit que les MSS sont amenés à être bien plus liés à des projets globaux stratégiques de transformation de l’infrastructure et de gestion du risque. Le poids d’IBM, et son expertise via IBM Global Technology Services, confèrent ainsi à ISS les moyens de mise en oeuvre de services de sécurité infogérés élaborés. Pour l’heure rien n’est dévoilé. Mais le puzzle se met en place: en amont la définition des risques et de la politique de sécurité, l’audit et la certification, en aval la classique gestion des logs d’équipements, et la maîtrise des fonctionnalités quotidiennes de sécurité. IBM Global Technology Services aide déjà certains de ses clients à bâtir une offre de service de fédération d’identités pour que ceux ci la proposent à leurs partenaires. Demain, il est concevable d’imaginer qu’IBM ISS soit le pourvoyeur direct de services d’authentification dans le cadre d’une fédération d’identités pour ses clients.

Pour autant, il n’apparaît pas que la gamme de produits d’ISS fasse les frais de cette stratégie de services. Début novembre, IBM a annoncé vouloir dépenser 1,5 milliard de dollars en 2008 dans le développement de produits de sécurité. Une somme qui avoisinerait le double de la dépense annuelle usuelle d’IBM. Cet investissement en R&D profitera autant à la gamme existante, qu’elle soit issue d’IBM (comme la gamme Tivoli), qu’à celle d’ISS (Proventia en tête). 5 domaines sont concernés:

     Information Security

     Threat and Vulnerability

     Application Security

     Identity and Access Management

     Physical Security

En préambule de cette stratégie, IBM a dévoilé trois nouveaux outils de sécurité, compléments de ses produits existants. Il s’agit surtout d’outils d’audit de conformité : IBM User Compliance Management Software, IBM Quickstart Services for Tivoli Compliance Insight Manager, IBM Online Application Security and Compliance Management. ISS n’est pas en reste avec la sortie récente de Proventia Network Mail Virtual Appliance, une solution de protection des emails pour les environnements virtualisés. Ce genre d’annonces rassure sur la pérennité de l’offre d’appliances de sécurité d’IBM ISS.

(1) « [Forrester Wave(TM): Managed Security Services for Q4 2007 | http://www.securityvibes.com/illustrations/Forrester_MSS_Wave_Oct_2007.pdf] »