Virtualisation et services, les deux mamelles de la sécurité en 2010, selon IBM

En quelques mots, tout est dit, ou presque : « nous ne sommes pas là pour parler d’ISS, mais des solutions de sécurité d’IBM », explique Dan Powers, vice-président … d’ISS, la division sécurité d’IBM, chargé de la marque, de la stratégie, et du développement. Une façon de reconnaître, à demi-mots, que sortir 1,3 Md$ pour racheter ISS, en 2006, - près de 4 fois le CA de la firme à l'époque -, n’a pas suffi à IBM pour s’imposer, au bout de trois ans, comme un acteur majeur de la sécurité informatique. En fait, ce rachat n'était peut-être pas exactement celui dont IBM avait besoin, ou n'était pas en phase avec les évolutions du marché et les évolutions stratégiques de Big Blue.

De fait, Brian Truskowski, directeur général d’ISS, souligne que ce spécialiste de la sécurité « était une entreprise très orientée produits », avec ses appliances Proventia notamment, mais qu’il s’agit, désormais, « de se tourner vers les services ». Une petite révolution culturelle – déjà engagée –, qui s’appuie sur IBM Global Technology Services (GTS), mais doit s’accélérer. IBM GTS compterait déjà près de 4 000 clients à travers le monde pour lesquels il gèrerait pas moins de 6 milliards d’événements de sécurité chaque jour via 9 centres de supervision (dont 4 fonctionnant en continu et 5 autres de manière intermittente, dont celui de Bruxelles).

Infogérance et SaaS

Pour Brian Truskowski, le marché est demandeur : « cela répond une problématique consistant à réduire les dépenses d'investissement au profit des dépenses de fonctionnement. Cela concerne des entreprises de toutes tailles et de toutes industries. » Il y a là, bien sûr, une logique économique liée à la crise, mais pas seulement : « pour certaines organisations, et en particulier les plus grandes, le choix du service peut être motivé par le manque de compétences internes. » Pour Dave Ostrowski, responsable marketing produits chez ISS, c’est bien simple : « disposer d’une équipe dédiée à la sécurité IT est un luxe. » Un luxe qu’il quantifie : entre 80 000 et 100 000 $ par an de salaire outre-Atlantique pour un spécialiste à plein temps. Conséquence logique : « les organisations cherchent à consolider leurs équipements – IPS et pare-feu, par exemple – et à industrialiser leur exploitation. » Selon IBM, le passage à l’infogérance permettrait de réaliser environ 50 % d’économies sur les coûts d’exploitation – pour une équipe de 10 personnes devant gérer 12 pare-feu et 6 IDS. 

Et Greg Adams, directeur d’IBM chargé de l’offre de produits et services, de souligner que la sécurité as a service fait désormais son chemin dans les organisations de taille moyenne après avoir initialement séduit les grandes entreprises. Une analyse que d'autres spécialistes du secteur comme Finjan, Cisco ou encore MessageLabs ne contrediront probablement pas.

Virtualisation et Cloud computing

Sur le plan technologique et au vu des évolutions du marché, IBM entend se concentrer sur la virtualisation et le Cloud computing en 2010. John Pirc, directeur chez ISS en charge de la ligne de produits Proventia, estime que le marché de la sécurité pour les environnements virtualisés devrait profiter d’une « croissance à deux chiffres ». Du fait notamment du besoin de traiter de nouvelles menaces : des menaces techniques, liées à l’hyperviseur et aux machines virtuelles, mais aussi organisationnelles, relatives à l’administration de l’environnement de production. Si le projet Phantom doit apporter prochainement un début de réponse aux menaces techniques – au moins pour les environnements VMware car, même si Xen est parfois évoqué furtivement par IBM, aucune date n’est avancée pour l’extension de Phantom à cet hyperviseur –, c’est peut être du côté des synergies entre l’offre Tivoli et l’expertise d’ISS - sur lesquelles IBM entend travailler en 2010 - qu’il faudra aller chercher les solutions relatives aux menaces organisationnelles. Mais, là encore, IBM entend aborder la question sous l’angle des services, avec ses prestations relatives à la gestion des identités et des accès (IAM).