Certes, pour certains, notamment les fournisseurs de services de sécurité « as a Service » - filtrage Web, protection des messageries –, le marché est bien là et l’offre est mature. La réalité semble pourtant plus nuancée. ScanSafe, spécialiste du domaine, animait ainsi un atelier consacré au sujet sur les Assises de la Sécurité, qui se déroulent actuellement à Monaco. Dans l’audience d’une trentaine de personnes, la sécurité as a service (SaaS) n’est une réalité opérationnelle que pour… deux personnes. Ce qui ne signifie pas qu’il ne s’agit que d’un épiphénomène anecdotique.
Arrêter d'empiler les appliance à chaque nouvelle menace
Interrogé à l’issue de l’atelier, le RSSI d’un grand groupe industriel français ne cache pas son intérêt pour les solutions d’un ScanSafe ou autre Zscaler (filtrage Internet en mode cloud). Pour lui, l’intérêt de la SaaS est évident : « je ne vais pas continuer d’empiler les appliances à chaque nouvelle menace qui sort ; et complexifier d’autant l’administration de ma sécurité. Là, je peux avoir le même niveau protection, en déléguant la responsabilité de la maintenance et de l’exploitation à un prestataire. » Bref, la tentation est grande. Un second RSSI, d’une grosse entreprise multinationale qui prend ses origines dans l’Hexagone, interrogé à la même occasion, partage ce regard sur le SaaS. Mais son contexte propre donne un autre avantage à ce type de service : « je réduirai ma facture télécoms en faisant baisser le trafic sur notre VPN international. » Pour lui, aller vers le SaaS, c’est intégrer une évolution topologique de fond : « avec notre distribution géographique, nos populations nomades, la notion de périmètre protégé ne fait plus vraiment sens ; ce sont les flux que l’on veut protéger. »
Des prestataires qui doivent encore inspirer confiance
Bref, le SaaS ne manque pas d’attractivité et d’arguments. Mais de nombreuses questions restent ouvertes. Pour les contenus Web, c’est la latence potentiellement induite qui inquiète. Ou encore la capacité du prestataire à opérer un filtrage de contenus efficaces compte tenu de la difficulté inhérente à la catégorisation des contenus combinée à la vulnérabilité des sites mêmes légitimes. Et le fait que le prestataire s’engage contractuellement, par le biais de SLA, sur la plupart de ces questions ne suffit pas à rassurer.
Une autre interrogation demeure, comme en témoignent les questions posées par les RSSI aux prestataires du secteur : « quelles sont vos certifications ? Avez-vous fait auditer vos processus ? » Bref, la confiance ne se décrète pas. Enfin, dernière question, « est-ce que vous reprenez les appliances que l’on a déjà achetées ? » Quitte à avoir le beurre…
