Pourquoi le futur de la sécurité informatique s’écrira en mode externalisé

Accenture Operations

Vous connaissez et pratiquez le SaaS*, le logiciel en tant que service. Découvrez le nouveau SaaS, la sécurité en tant que service. Techniquement, tout est prêt pour assurer la bascule de cette fonction cruciale vers des prestataires spécialisés. Culturellement, il reste à acclimater l’esprit des dirigeants à cette nouvelle forme d’externalisation.

Combien d’entreprises françaises font le choix de recruter et de former des vigiles pour assurer la sûreté physique de leurs sites ? Tout au plus une part marginale, car les décideurs savent plus sûr et plus économique de confier cette mission à des sociétés spécialisées. Pourtant, transposé à la sécurité informatique, ce raisonnement cesse d’opérer, notamment en France. Plus pour longtemps ?

Un écart de pensée qui se réduit

Est-on mieux protégé en assurant soi-même sa protection numérique ? Comment expliquer un tel écart de pensée et de pratiques entre sécurité physique et informatique ? La réponse est d’ordre culturel : dans l’esprit des dirigeants français, disposer de ses propres équipes et être détenteur de ses propres outils de cyber défense serait plus rassurant.

Le guide publié par l’Agence nationale de la sécurité des systèmes d’information (ANSSI) est représentatif de cette circonspection à l’égard de l’infogérance. Au plan international en revanche, la dynamique de l’externalisation est bien enclenchée. Selon une étude du cabinet Transparency Market Research, le marché de la sécurité informatique externalisée devrait progresser de 15 % par an entre 2013 et 2019, passant de 9 milliards à 24 milliards de dollars de dépenses.

Focus sur la stratégie

Ces opérateurs de service, appelés MSSP dans les pays anglo-saxons (Managed Security Service Provider) assurent en mode 24/7/365 des opérations qui vont de la détection d’intrusions à la supervision des pare-feu, de la prévention des virus à l’analyse des failles, en passant par la gestion de réseaux privés virtuels, voire l’ingénierie et le conseil en sécurité.

Externaliser ces opérations ne signifie en rien se débarrasser de la sécurité, mais au contraire la valoriser, en scindant les aspects opérationnels pris en charge par les prestataires, des aspects décisionnels et stratégiques, que les entreprises continuent d’endosser au travers de leur DSI.

La fonction sécurité ne sera jamais totalement externalisée : le responsable sécurité (RSSI) est et restera probablement le pilote de la stratégie de sécurité, des grandes orientations, de l’équilibre entre les dépenses et les services délivrés.

En revanche, de plus en plus de fonctions opérationnelles de la sécurité seront sans doute transférées vers les prestataires spécialisés, engagés via un catalogue de services, avec prise en charge à distance en mode SaaS. On commence également à voir des offres similaires en réponse aux besoins de sécurisation du Cloud. Ainsi, des solutions comme CipherCloud ou Voltage, qui viennent s’interposer entre l’application Cloud et le navigateur pour chiffrer et donc protéger les données à la volée, se prêtent tout à fait à une administration déportée en mode SaaS.

Chacun son métier

Dans ce mouvement de fond, la volonté de réduire les coûts entre en compte dans le choix d’externaliser, sachant que la sécurité représente de 3 % à 10 % du budget informatique d’une entreprise. Mais d’autres tendances influent plus encore. En premier, la généralisation de l’informatique en ligne. Grâce au Cloud, tout ou presque s’externalise, y compris des fonctions cœur de métier.

En second lieu, la multiplication des offres et des acteurs spécialisés dans le domaine de la sécurité numérique contribue à faire grandir ce marché — le cabinet Gartner les classe chaque année dans son « quadrant magique ». Ces firmes investissent massivement dans les technologies, les équipes, les partenariats, puisque l’externalisation informatique représente le centre de leur activité.

Elles développent tout naturellement des avantages vis-à-vis de l’internalisation de cette compétence : formations et cursus adaptés et spécialisés aux équipes, capacité à faire évoluer les équipes rapidement, expériences plus diverses et donc plus riches, compétences cumulées supérieures, prix plus compétitifs. En résumé une qualité de service pour des coûts inférieurs.

Le facteur humain prime

Le dernier facteur, et non des moindres, touche aux compétences. La balance est clairement déséquilibrée entre les besoins en sécurité informatique et le nombre d’experts disponibles. Et cela ne va pas aller en s’améliorant. La demande étant largement supérieure à l’offre, les ingénieurs et autres cyber techniciens préfèrent travailler chez un éditeur spécialisé ou un prestataire de services, où leurs compétences seront mieux valorisées et rémunérées, où leur potentiel s’exprimera pleinement, où leurs savoirs seront maintenus à la pointe par une formation en continu.

Mécaniquement, et c’est déjà le cas, les entreprises, quelle que soit leur taille, auront de plus en plus de mal à recruter et à conserver des spécialistes en sécurité : salaires en hausse, raréfaction des compétences, volatilité et faible fidélité, difficulté à stabiliser les savoir-faire, etc. De plus, pourquoi embaucher autant de spécialistes de la sécurité quand celle-ci n’est en grande partie qu’un savoir-faire opérationnel au service des métiers ?

Anticiper ou subir ?

Deux options se présentent donc aux entreprises : anticiper ou subir. Je ne crois ni souhaitable ni pertinent que des entreprises généralistes conservent en interne des dizaines de spécialistes en sécurité, comme je l’ai constaté dans une grande compagnie d’assurance. C’est une impasse fonctionnelle, technologique et économique, en comparaison des milliers d’experts que mobilisent les prestataires spécialisés. C’est tout simplement contraire à la logique économique.

L’externalisation de la sécurité est synonyme d’une plus grande capacité d’anticipation, d’adaptation et de réaction, d’une qualité de service accrue, d’une optimisation des dépenses de fonctionnement — et non plus d’investissement. Le prestataire en cybersécurité s’engage sur des niveaux de service,  il est responsable, plus qu’un employé.

La tendance va donc clairement et inéluctablement vers une externalisation de la sécurité prise sous cette analogie « physique ». Ce virage vers la sécurité comme service (SaaS) est important pour une amélioration durable de la sécurité numérique en France, dans les grandes comme dans les petites entreprises.

 

* * * * * *

*Software as-a-service

  • Retrouvez-nous sur les réseaux sociaux
  • Twitter
  • Youtube