Le NAC (Network Access Control) est une technologie prometteuse qui a bien du mal néanmoins à convaincre les entreprises de la déployer. Au mieux elle est réservée à quelques commodités telles que l’ouverture dans une entreprise d’un accès wifi aux invités et partenaires ponctuels. Dans sa complétude, il est très difficile de trouver – en France du moins – des clients à grande échelle. Cisco et Juniper, deux fers de lance du NAC, affirment avoir de belles références, mais sont bien en peine de les présenter, ou de les faire communiquer. Dans ce contexte, l’annonce de Verizon Business d’une offre de services de sécurité managés autour du NAC est une petite surprise. Verizon Business est le premier MSSP – Managed Security Services Provider – à lancer un tel service basé sur une solution tierce.

L’offre de services NAC de Verizon est disponible d’ores et déjà

partout dans le monde. La société précise collaborer avec des acteurs

du secteur tels que Cisco, Juniper, ForeScout Technologies Symantec, Aruba et

TippingPoint. Toutefois, pour l’heure seul Cisco NAC est intégré à la

plate-forme de gestion de sécurité de Verizon. Le support d’autres solutions tierces NAC est annoncée, sans qu’un agenda soit d’actualité. A terme 17 différentes solutions doivent être intégrées.

L’offre de Verizon consiste à l’élaboration de l’infrastructure NAC, son

installation et sa configuration. Elle inclue la formation des

utilisateurs. L’exploitation et la supervision sont menés par les

équipes de Verizon. Andrew Braunberg, Directeur de Recherches Enterprise Software and Security pour le cabinet Current Analysis, souligne que Verizon a investi lourdement dans le NAC – plusieurs millions de dollars depuis un an – mettant au point un centre d’évaluation et de test des solutions du marché, formant et embauchant des consultants spécialisés dans cette technologie et les produits. « Verizon projette de vendre ce portfolio de services NAC dans le monde entier, ce qui lui confère un fort différentiateur » affirme Andrew Braunberg. Cet analyste souligne en outre que Verizon devrait rapidement préciser sa position vis à vis du framework NAP de Microsoft. Ce dernier étant maître sur le poste client, l’agent NAP aurait tendance à devenir l’agent de facto dans les déploiements NAC. Ce qui nécessite que Verizon évalue l’interopérabilité réelle de l’agent NAP avec les solutions NAC du marché. Reste aussi à Verizon à considérer le support des spécifications du Trusted Computing Group en matière de NAC. Ce point est étonnament laissé de côté dans la communication de l’entreprise sur son offre.

Si l’impact de cette annonce semble faible, provenant d’un challenger sur le marché des MSSP, il est possible que de telles offres soient justement ce qui manque pour populariser le NAC. Les grandes entreprises peuvent se faciliter la vie en confiance à un MSSP ces projets de NAC pour lesquels elles ont du mal à cerner le périmètre et l’ensemble des usages. Les MSSP ont quelque peu délaissé ce sujet au profit de prestations d’infogérance plus classiques, bien que dépassant le seul cadre de la gestion de pare-feu. Verizon a pour lui d’être plus récent dans ce marché, et donc de partir, en quelque sorte, d’une feuille blanche. Cette société a créé son offre de MSSP avec l’acquisition de NetSec en février 2005, puis de Cybertrust en juillet 2007. Sa base installée est surtout dans les télécoms, ce qui poussait Gartner à conseiller, en 2007, aux entreprises de considérer leurs services de sécurité si elles sont déjà clientes des services de télécommunications. Une position un peu injuste. Verizon Business démontre avec cette offre de services managés NAC un investissement majeur en sécurité, et une volonté d’innovation. La société emploie plus de 250 professionnels de la sécurité, répartis dans 14 pays. En outre, en étant le seul MSSP positionnés sur le NAC, Verizon se donne une chance de pénétrer de nouveaux comptes et, une fois dans la place, de placer ses autres services de sécurité. C’est aussi l’opportunité de mieux connaître les attentes et projets de sécurité de ses clients et ainsi de développer ses offres de service de sécurité en conséquence.