HSC
Cabinet de consultants en sécurité informatique depuis 1989 - Spécialisé sur Unix, Windows, TCP/IP et Internet
Mode texte : accès au contenu de la page
Hervé Schauer Consultants
Vous êtes ici : Accueil > Ressources > Articles > Comment choisir son fournisseur de services d'infogérance en sécurité ?
Accéder au : Site HSC des formations
Recherche :  
English version
   Services   
o Domaines de compétences
o Conseil & Expertise
o Prestations ISO 27001
o Audit & Évaluation
o Tests d'intrusion
o Tests de vulnérabilités (TSAR)
o Analyse Forensique
o Certification ARJEL
o Formations
o E-learning
   Conférences   
o Agenda
o Interventions passées
o Tutoriels
   Ressources   
o Index thématique
o Brèves
o Présentations
o Cours
o Articles
o Outils (téléchargement)
o Veille en vulnérabilité
   Société   
o Hervé Schauer
o Equipe
o Offres d'emploi
o Références
o Historique
o Partenariats
o Associations
   Presse et
 communication
 
 
o Newsletter HSC
o Revue de presse
o Communiqués de presse
o Publications
   Contacts   
o Coordonnées
o Requêtes particulières
o Accès à nos locaux
o Hôtels proches de nos locaux
|>|Comment choisir son fournisseur de services d'infogérance en sécurité ?  
> Accès au contenu HTML Début de l'article
PDF Version PDF [134Ko]  
> Description Cet article présente les différents types de fournisseurs de services d'infogérance de sécurité et propose une méthodologie pour les choisir et travailler avec eux.  
> Contexte & Dates Texte de la présentation Fournisseurs de services d'infogérance en sécurité - Comment les utiliser ? Quelles-sont leurs limites ? .
Article également publié dans le guide du groupe MM le 28 mai 2002.
Publication sur le site web d'HSC le 13 mars 2002. 
> Auteur Hervé Schauer (Herve.Schauer@hsc.fr) 
> Langue et Nature  
> Résumé &
Table des matières
 
> Documents liés
themeInfogérance
[Présentation]  Risques d'une mauvaise administration de la SSI [13 décembre 2012 - Français]
[Présentation]  La gouvernance de la sécurité étendue [24 septembre 2009 - Français]
[Présentation]  Infogérance / Télémaintenance et sécurité [11 mai 2005 - Français]
[Présentation]  Analyses, Audits et Tests d'Intrusions [22 janvier 2003 - Français]
[Présentation]  Externalisation de sa sécurité Internet/Intranet [25 septembre 2002 - Français]
[Présentation]  Analyses, audits et tests d'intrusion [26 juin 2002 - Français]
[Présentation]  MSSP ou fournisseurs de services d'infogérance en sécurité [24 juin 2002 - Français]
[Présentation]  Fournisseurs de services d'infogérance en sécurité - Comment les utiliser ? Quelles-sont leurs limites ? [20 mars 2002 - Français]
[Présentation]  Infogérance de firewall pour les fournisseurs d'accès [13 septembre 2001 - Anglais]
[Thème]  Externalisation
> Droits d'auteur © 2002, Hervé Schauer Consultants, tous droits réservés.

 

Les fournisseurs de services d'infogérance de services en sécurité ou Managed Security Services Providers (MSSP), regroupent des activités diverses, en étant toujours une gestion et une surveillance de périphériques ou systèmes dont la fonction principale est la sécurité. Cela inclut l'infogérance de firewalls, la centralisation et le traitement des journaux, l'infogérance de logiciels de détection d'intrusion, les tests de vulnérabilités, l'infogérance de VPN chiffrés, l'infogérance d'anti-virus, la sauvegarde déportée, l'hébergement d'infrastructure de clés (PKI) ou de services d'authentification des utilisateurs, notamment pour des accès distants avec des serveurs Radius. Il est également possible de considérer dans le domaine d'autres services, comme l'hébergement sécurisé de serveurs web ou de plates-formes de commerce électronique. Dans le cadre de plans de continuité d'activité, il est également possible de prévoir d'infogérer, dans le cadre d'un plan de secours, des services de sécurité habituellement dans l'entreprise.

Les entreprises et organisations s'intéressent à l'infogérance en sécurité pour plusieurs raisons : économie en terme financier, bénéfice d'un service 24h/24h évitant d'avoir ses propres centres d'exploitation des équipements de sécurité ou encore possibilité de maintenir ou d'améliorer la sécurité existante.

Les entreprises et organisations ont aussi besoin de services d'infogérance en sécurité pour d'autres facteurs : si un réseau est infogéré, il devient parfois difficile d'en garder la gestion de la sécurité. Les systèmes devant être vus comme gérant principalement de la sécurité se sont multipliés : le firewall sur son périmètre est remplacé aujourd'hui par beaucoup de firewalls répartis partout, pour des applications diverses, et ils constituent la base de l'application de la politique de sécurité. Les accès distants aux réseaux de l'entreprise passent par Internet et offrent accès à tout ou presque du réseau privé, la messagerie est accessible depuis un butineur dans un hôtel ou un cybercafé. Les VPNs chiffrés se multiplient, les plates-formes de commerce électronique aussi. La surveillance pourtant fondamentale est généralement le parent pauvre des ressources allouées, et l'analyse des journaux est insuffisante, voire inexistante, sans parler de la manière avec laquelle la détection d'intrusion est gérée.
Le manque de personnel qualifié et formé pousse également à l'infogérance : il devient difficile de suivre tous les projets pour y intégrer la sécurité dès le départ, et, plus généralement, difficile de se focaliser sur ce qui est important : ce manque de temps implique de sous-traiter, en espérant y trouver une meilleure industrialisation des processus, une meilleure information, avec par exemple des procédures d'application rapides et globales des correctifs de sécurité.

L'infogérance s'apprend, n'est pas simple et demande de l'expérience. Par conséquent, la sécurité est l'une des dernières choses à infogérer. Dans tous les cas, il ne faut sans doute pas infogérer de la sécurité sans expérience préalable significative dans l'infogérance.

En France, une difficulté s'ajoute : le marché n'est pas encore très mature. L'infogérance est moins dans la culture ou l'état d'esprit que dans les pays anglo-saxons. Beaucoup de fournisseurs de type MSSP ou ASP (Application Service Provider) sont des startups qui ont concentré les investissements du capital risque en sécurité en 2000 et 2001, qui ne sont pas à l'équilibre financier et dont la santé demeure fragile.

Pour y voir plus clair, quelques acteurs sont classés ici à titre illustratif, la liste n'étant pas exhaustive.

  • Les sociétés de conseil proposent de l'infogérance en sécurité, comme HSC avec le service des Tests de vulnérabilités Semi-Automatiques Récurrents , ou les Big 5 : Accenture, Andersen, D&T, E&Y, KPMG, PWC. Ils disposent dans certains pays de divisions plus spécialisées sur le sujet, et ont souvent des partenariats. Cependant, aux USA, ils proposent directement de nombreux services d'infogérance en sécurité.
  • Les intégrateurs, qui ont parfois aussi des partenariats, sont de plus en plus nombreux à intégrer l'infogérance : Alcatel, Integralis, Risc Technology, Telindus-CF6, Thales (qui a repris Experlan et Global-Control), Ubizen, Via Networks, etc. Dans certains pays, des intégrateurs ont créé une société commune avec un opérateur de télécoms pour faire de l'infogérance, par exemple Telindus avec Telecom Italia en Italie.
  • Les SSII qui avaient souvent des départements importants d'infogérance ont également développé des offres d'infogérance en sécurité : ATOS, Bull Integris, Cap Gemini, EDS, Steria, etc, bénéficient de la structure et de l'organisation pour faire de l'infogérance, même si ces entreprises ont parfois des difficultés à appréhender la problématique sécurité des technologies Internet.
    Les startups, souvent en mode ASP, sont plus concentrées sur un type de service, l'analyse des journaux pour Counterpane, les tests de vulnérabilités pour Intexxia, Intranode et Qualys, l'infogérance de firewalls pour Kerberos et de tunnels chiffrés pour Neoteris, Netcelo, Openreach et Smartpipes. Mêmes dans cette catégorie, plusieurs entreprises n'ont pas l'infogérance de la sécurité comme seul métier.
  • Les éditeurs de logiciels de sécurité infogèrent principalement leurs propres logiciels tout en développant des offres globales sur cette base. ISS, NAI, Symantec, Trendmicro, etc étendent leurs prestations en développant une activité de service, et en profitant de l'anti-virus, qui est plus facile à infogérer par son éditeur que par un tiers. Les vendeurs de plates-formes et d'équipements matériels, ont également développé des offres de services d'infogérance en sécurité, dans certains cas pas dans tous les pays, comme Compaq, HP, IBM, Nortel, et Sun. Ils développent également des partenariats pour certains services.
  • Enfin, de nombreux fournisseurs de services d'accès Internet et Télécoms ont une offre d'infogérance en sécurité, eux aussi parfois en développant des partenariats : BT, Cable & Wireless (ISDnet), Cegetel, Colt, France Télécom avec les services issus de Transpac, Equant, Oleane et Wanadoo, UUnet, etc. Certains, notamment dans les pays anglo-saxons, ont bien acquis des procédures formelles, d'autres sont encore plus artisanaux, même s'ils maîtrisent la technique.
  • Des acteurs majeurs n'ont pas été cités, mais cela ne signifie pas qu'ils ne sont pas présents indirectement dans le marché de l'infogérance en sécurité. Cisco, par exemple, est présent au travers de ses investissements financiers dans des acteurs ou projets dans l'infogérance en sécurité.

La méthodologie exposée ici, composée de huit phases successives, vise à guider l'adoption de l'infogérance des services en sécurité. Les 7 dernières sont librement inspirées de la présentation "Technology Risk Managment for Outsourced Relationship" de Faith Boetger de l'association BITS lors de la conférence RSA 2002.

  1. Décision de faire de la sécurité
    L'infogérance ne résout pas la sécurité en elle-même, il faut avoir une politique de sécurité déjà déployée qui devra être appliquée par l'infogéreur. La prise de conscience initiale de la sécurité doit avoir lieu au niveau des responsables de l'entreprise : PDG, Directeur informatique, Directeur financier, etc. Certaines directions d'entreprises ou d'organisations pensent avoir délégué la sécurité au RSSI. Elles doivent cependant réaliser qu'il est de leur responsabilité de se poser des questions basiques mais fondamentales : Quel est mon métier ? Qu'est-ce qui fait la valeur de mon entreprise ? Qu'est-ce que je souhaite protéger ? Est-ce que mon système d'information est partie intégrante de ma compétitivité ?
    Une fois ces questions considérées, si la sécurité n'est pas le coeur de métier, si la sécurité impose du 24h/24h ou si je ne suis pas en mesure d'avoir le personnel adéquat, il sera possible de décider sereinement des choix pouvant impliquer de l'infogérance.
    Le RSSI devra analyser la charge de travail de chacun et de lui-même pour garantir la réussite, et éviter les à priori sur l'infogérance.

  2. Décision de faire appel à l'infogérance
    Il faut définir les objectifs en terme de métier, définir les objectifs en terme de résultats attendus indépendamment des technologies employées, puis lister les technologies utilisées ou souhaitées pour répondre aux résultats attendus. Il est alors possible de choisir quelles technologies seront mises en infogérance en premier, par exemple ce que l'on ne sait pas faire et qui est facile à sous-traiter, comme les tests de vulnérabilités sur son périmètre. Il ne faut pas utiliser les tests de vulnérabilités sur son périmètre parce que c'est facile à sous-traiter, mais si ces tests font partie intégrante de l'application de la politique de sécurité, car il y a 80 accès externes répartis sur la planète qui ne peuvent être audités sur place régulièrement, alors plutôt que de faire soi-même les tests, il est possible de les sous-traiter. De manière générale, les tâches répétitives et faciles à industrialiser seront plus faciles à infogérer, comme la gestion des firewalls et des VPN IPsec.
    Il faut comparer ce que l'on fait soit-même par rapport à ce que propose l'infogéreur. Par exemple, dans un test de vulnérabilités, il est possible que 95% des informations fournies ne soient d'aucune utilité dans son contexte. Il ne faut pas alors considérer que l'infogéreur en fait 20 fois plus que soi. Il faut aussi analyser dans quelle mesure il sera possible de garder une surveillance en direct des équipements sans les gérer.
    Il est aussi possible de démarrer en faisant un audit de l'existant ou une analyse de risques, mais normalement, la maîtrise de l'existant devrait être suffisante.
    Enfin, quand la décision est prise, il faut penser à lister les freins au succès de l'opération par rapport à une gestion en interne, et bien tout documenter par écrit avant de passer à la phase suivante.

  3. Fabrication d'un appel d'offre
    Il faut bien définir le service souhaité dans l'appel d'offre : fonction, disponibilité, reporting, surveillance en direct, échelle et performance, gestion, suivi, etc, préciser la sécurité et décrire les techniques souhaitées, ainsi que les moyens humains envisagés et le plan de secours souhaité.

  4. Analyse des propositions
    L'analyse des propositions est proche de toute lecture de réponse à un appel d'offre, il faut prendre en compte l'expérience de l'infogéreur et ses références dans le domaine. Par rapport à sa demande, il faut vérifier que la réponse prend en compte l'ensemble des besoins actuels et à venir, vérifier s'il y a des dépendances à d'autres fournisseurs via des partenariats et voir sa capacité à permettre des adaptations spécifiques dans une approche personnalisée. Il faut analyser ses méthodes de travail, les technologies utilisées et le personnel sur place : expérience, compétence, etc.
    La possibilité d'audits par des tiers sera très importante pour savoir ce qui se passe, il faut regarder ce qui est proposé et quel est le périmètre possible des audits par des tiers : audits organisationnels et méthodologiques sur les procédures et le personnel, audits techniques du centre opérationnel, et, là aussi, bien voir ce qu'il est possible d'auditer : juste ses serveurs et boîtiers ou aussi l'infrastructure mutualisée, juste les systèmes ou aussi les applications avec le code source, etc. Le choix des auditeurs agréés par les 2 parties doit être précisé. Il faut aussi regarder si l'infogéreur prévoit ou pas l'accès de rapports d'audit d'un client à d'autres clients.
    Le système de suivi et de surveillance permettra une bonne relation avec son infogéreur : s'il faut sans cesse téléphoner, la relation est difficile ; si un système permet de voir par soi-même si un changement dans une règle de sécurité a été effectué lorsqu'un VPN est tombé, la relation est meilleure. Il faut aussi voir quels sont les mécanismes d'alarmes et qu'est-ce qui est proposé en cas d'incident, y compris sur le plan de la responsabilité et l'assurance.

  5. Accord sur les contrats de service
    Le contrat est une synthèse de l'appel d'offre et de la proposition, avec une meilleure précision et exhaustivité, quitte à préciser des détails. Il doit inclure la description du service rendu, les rôles et responsabilités des parties, le renouvellement, la rupture et le transfert du contrat, les méthodes d'accès pour soi au service infogéré, les méthodes d'archive des journaux, les conditions d'audit par un tiers et l'assurance. Le contrat doit être négocié et validé par le personnel compétent techniquement et le RSSI, et non pas simplement par un juriste.

  6. Consensus sur les procédures de travail
    Souvent, le travail semble terminé une fois le contrat signé. Cependant, beaucoup de détails pratiques ne sont pas contractuels et peuvent être source de tension par la suite. Il faut donc avoir accès aux documentations et procédures de l'infogéreur, par exemple pour l'accès physique aux locaux, et documenter les dialogues et des détails comme la procédure de création et suppression de comptes, etc. Souvent les procédures en cas d'incident pourront être détaillées dans un document de procédure de travail, alors que cela était impossible de détailler dans le contrat. De même, il est possible de plus détailler les responsabilités et le partage des tâches dans un tel document.

  7. Implémentation
    Le projet d'implémentation demeure proche d'un projet d'intégration classique.

  8. Gestion de la relation dans le temps
    La réussite passe par des réunions de suivi et une gestion des évolutions technologiques, avec une mise à jour régulière des procédures de travail. Il faut y ajouter les audits par des tiers, au moins annuels, avec une revue de résultats et la mise en place de mesures adéquates si nécessaire. Enfin, il peut être nécessaire de mettre à jour le contrat : c'est le cas dès que les résultats attendus et le périmètre changent. Pour ces raisons, une réunion annuelle de bilan est souhaitable.

Le choix d'une société d'infogérance en sécurité dépend d'abord d'une bonne organisation en interne de la sécurité, avec une politique de sécurité, et une direction consciente des enjeux et des responsabilités. Il convient ensuite de bien analyser par rapport à ses besoins, ses moyens et son environnement, quels services infogérer, et quels fournisseurs sélectionner, sans choisir d'abord sur le prix mais en analysant le fond et le retour global sur investissement dans le temps.

Dernière modification le 23 octobre 2002 à 10:41:29 CET - webmaster@hsc.fr
Informations sur ce serveur - © 1989-2013 Hervé Schauer Consultants