En matière de sécurité, la liste des solutions et des fournisseurs est tellement longue que l’élaboration d’une stratégie représente un défi pour toute société. Il est impossible, cependant, d’ignorer le sujet.
Alors que quelques fournisseurs – comme Symantec et McAfee – sont engagés dans la plupart des aspects de la sécurité, de nombreux autres se concentrent sur certains volets. C’est le cas de CheckPoint, de RSA, Trend Micro, Novell, CA, IBM, HP et Microsoft. Il existe aussi des fournisseurs établis dans une niche particulière, qui proposent des produits très spécialisés dans un ou deux segments de marché.
En bout de piste, les entreprises ont à choisir entre les solutions les plus performantes et une plateforme commune. Selon une école de pensée, vous achetez les meilleurs produits afin de vous assurer de disposer de la meilleure sécurité, indique James Quin, premier analyste de recherche chez Info-Tech Research Group. L’ennui, c’est que ce choix peut se transformer en un cauchemar en termes de gestion, particulièrement s’il y a un grand nombre d’outils. De plus, ce que l’on considère comme les meilleures solutions est en constante évolution.
L’autre option consiste à acheter une plateforme commune. Dans pareil cas, les sociétés choisissent une solution comprenant au moins un outil étiqueté « meilleur produit », le reste étant considéré comme bon, modérément bon ou acceptable. L’avantage d’une telle plateforme réside dans le fait qu’il s’agit d’une solution unique qui, généralement, intègre une console de gestion (ou des outils de gestion similaires) et permet de réaliser des économies d’échelle – bien que l’on ne dispose pas des meilleurs produits.
« Voilà une situation complexe et embrouillée, dit James Quin. On ne peut jamais comparer des pommes avec des pommes, mais toujours des pommes à des oranges, ce qui rend difficile l’établissement d’un cycle d’achat type. »
Un cycle d’achat type
Selon Forrester Research, les entreprises prévoyaient consacrer 12,6 % de leur budget TI à la sécurité en 2009, par rapport à 7,2 % en 2007. Les fournisseurs soutiennent qu’un cycle d’achat type peut durer de quatre à six semaines ou, même, plus de douze mois dans le cas d’un système plus complexe et plus intégré. Normalement, une solution de logiciel-service (SaaS) permet de réduire le délai de mise en production – Symantec estime qu’une multinationale peut être prête à utiliser une telle solution en l’espace de 24 à 48 heures.
Peu importe la taille de l’entreprise, le cycle d’achat de la sécurité peut représenter un projet substantiel, depuis le choix d’un fournisseur à celui d’un modèle. « Toutefois, les sociétés n’achètent généralement pas la solution optimale correspondant à leurs besoins, selon David Senf, directeur de la recherche sur les solutions d’infrastructure chez IDC Canada. Les entreprises doivent évaluer où elles ont surinvesti et sous-investi, croit-il. Par exemple, les firmes de services financiers ont tendance à se doter d’une sécurité plus étendue que nécessaire. »
Le coût n’est pas le seul facteur; on doit aussi tenir compte des performances aux extrémités des systèmes et dans le réseau, de même que de la façon dont elles s’harmonisent avec les solutions de sécurité dans lesquelles on a investi. « Vous pouvez investir tout votre argent dans des solutions de sécurité, mais vous sentir terriblement vulnérable parce que les employés ne savent pas s’en servir et ne font pas ce qu’ils devraient pour protéger leurs données », dit David Senf. La formation des employés constitue un élément important du cycle d’achat car des dépenses importantes peuvent être évitées en leur enseignant à bien utiliser les outils.
La récession a exercé un impact considérable sur l’évaluation des solutions par les entreprises. Aussi, plus de clients considèrent maintenant le logiciel-service, dont l’un des principaux avantages est son coût prévisible, indique Richard Collins, vice-président des Amériques, Symantec Hosted Services. Ce concept convient aux dirigeants de services TI qui ne souhaitent pas acquérir de matériel et de logiciels supplémentaires au fur et à mesure que croit l’organisation, ou veulent éviter les maux de tête liés à la gestion. En outre, nul besoin de chercher des spécialistes dans le marché, de payer des primes pour retenir leurs services et de se soucier de la rétention du personnel, ajoute-t-il.
Les difficultés rencontrées
L’une des erreurs les plus courantes commises par les organisations est de trop investir dans un élément de l’infrastructure tout en négligeant la protection d’autres éléments, souligne Mohammad Akif, chef national de la sécurité et de la protection de la vie privée chez Microsoft Canada. Une autre erreur consiste à croire à « l’arme fatale » ou à la solution miracle que font miroiter les vendeurs. « Toute stratégie relative à la sécurité doit tenir compte des gens, des processus et de la technologie, dit-il. Il faut que les employés sachent utiliser le produit adéquatement et que des processus soient mis en place pour assurer une défense préventive. »
Le meilleur acheteur est celui qui est informé. Si vous connaissez ce dont vous disposez et ce que vous voulez sécuriser, vous êtes en mesure de déterminer si la solution proposée vous convient. Dans de nombreux cas, les entreprises ne connaissent que globalement leurs besoins, et la vérification diligente correspond à un argumentaire de vente, dit Mohammad Akif. On doit poser les questions pertinentes sur la façon dont la solution envisagée s’intègrera à la vision générale de l’architecture de sécurité de l’entreprise.
Le dirigeant principal de l’information doit prêter son concours afin que les questions appropriées soient posées. Par contre, la configuration et le déploiement de la solution choisie reviennent au directeur des TI ou à l’administrateur du réseau – ou encore à l’équipe de développement interne. Aujourd’hui, 70 % des attaques sont perpétrées contre les applications plutôt que le réseau, de sorte que si vous envisagez une solution plus complète, assurez-vous que les personnes pertinentes soient mises à contribution dès le début.
Une erreur fréquente consiste à acheter des solutions « rutilantes », mentionne James Quin. « Faites tout ce que pouvez pour éviter ce piège. Choisissez vos outils en fonction d’une évaluation des risques – connaissez les risques que vous courrez et les outils qui peuvent vous aider en ce sens. »
Les entreprises de plus grande taille doivent éviter la prise de décision à l’échelle de chaque service. Cela peut paraître surprenant, mais il s’agit là d’une pratique répandue. Dans nombre d’entreprises, les groupes et les services jouissent d’une grande autonomie, ce qui résulte en un environnement confus et élimine les économies d’échelle découlant d’un achat collectif.
Être un meilleur acheteur
Les organisations doivent améliorer la façon dont elles confient les responsabilités en matière de sécurité. « Il s’agit d’un domaine très négligé à cet égard, surtout dans les petites entreprises, précise James Quin. La sécurité est intégrée à la description de tâches des employés et on en retrouve des portions ici et là. Sans responsabilisation précise, on doit composer avec un trop grand nombre de preneurs de décision. » On peut éviter cette situation en confiant la responsabilité de la sécurité à une seule personne, que l’on pourra nommer directeur (ou directrice) de la sécurité, même s’il s’agit d’une tâche à temps partiel. On doit s’assurer que cette responsabilité a été mesurée, et qu’elle n’est pas un simple ajout à un profil de poste.
Ne vous précipitez pas pour acheter et prenez le temps d’évaluer ce dont vous avez besoin, conseille James Quin. Quelles sont les menaces les plus importantes auxquelles est exposée votre entreprise et quels risques y sont associés? Choisissez des solutions permettant de réduire les risques à un niveau acceptable (on peut déterminer ce niveau en grande partie dès la phase de planification).
Examinez la possibilité de travailler avec un intégrateur de système, un revendeur ou un fournisseur qui deviendra un conseiller de confiance afin de réaliser le transfert de connaissances permettant de tirer le maximum de votre achat. « Cela vous aidera à adapter la solution aux menaces pesant sur votre organisation », souligne David Senf. À titre d’exemple, un directeur de la réseautique peut évaluer avec exactitude diverses solutions réseau, mais sous-estimer les solutions de sécurité de certaines extrémités. Il s’agit donc de parfaire vos connaissances sur l’éventail de solutions de sécurité offertes en fonction des vulnérabilités présentes à la grandeur de l’organisation.
Dans plus de la moitié du marché – possiblement 60 % des sociétés – la sécurité que procure une solution de logiciel-service sera supérieure à celle qui est déjà en place. Dans le reste du marché, le niveau de sécurité est équivalent dans les deux cas. Par contre, au sein des industries lourdement réglementées – comme les services financiers et les soins de santé – la protection maison sera toujours supérieure à celle de n’importe quelle solution de logiciel-service, étant donné l’extrême importance accordée aux questions de sécurité dans ces secteurs. Il s’agit là, toutefois, d’un faible pourcentage du marché.
Par Vawn Himmelsbach