Sorry, you need to enable JavaScript to visit this website.

Image CAPTCHA
Saisir les caractères affichés dans l'image.

Sécurité opérationnelle déléguée : Motivations & retour terrain

Sécurité opérationnelle déléguée : Motivations & retour terrain
2009-02-122013-02-11sécurité des réseauxfr
Dans un contexte économique incertain, un nombre croissant d'entreprises recentrent leur activités sur les fonctions métiers "coeur" et confient à des tiers la gestion des systèmes ou services considérés comme non directement contributeurs de valeur pour leur activité. La gestion de la...
Publié le 12 Février 2009 par Jean-François Audenard dans sécurité des réseaux

Dans un contexte économique incertain, un nombre croissant d'entreprises recentrent leur activités sur les fonctions métiers "coeur" et confient à des tiers la gestion des systèmes ou services considérés comme non directement contributeurs de valeur pour leur activité. La gestion de la sécurité de tout ou partie d'un système d'information est sujette à ces mouvements d'externalisation et devrait même s'accélérer dans les années à venir.

Cependant, certains acteurs n'ont pas attendu ces temps mouvementés pour aller chercher en externe des services de management de la sécurité : Les banques, les compagnies d'assurances et les institutions gouvernementales ou grandes multinationales "consomment" ce type de services depuis de très nombreuses années.

Comment expliquer ce mouvement alors que ces acteurs sont considérés comme les plus en avance dans le domaine ? Je vous propose quelques éléments de réponse ainsi qu'une interview de Mme Monique Kahalé d'Orange Business Services qui partagera avec nous son expérience sur le terrain.

 

Toutes les banques, compagnies d'assurances ou grandes entreprises multinationales possèdent des équipes internes dédiées à la sécurité de leur système d'informations qui donnent parfois bien du fil à retordre à leurs fournisseurs ou prestataires...
Si ces équipes sont si compétentes, alors pourquoi externalisent-elles une partie de la gestion de la sécurité à des tiers ?

- Le syndrome du Pompier : De nombreux professionnels de la sécurité passent beaucoup de temps à gérer les incidents et ont tendance à délaisser les activités liées au suivi/reporting ainsi qu'à la planification à moyen/long terme des projets.

- Captage de ressources : Assez souvent, les personnes sécurité interviennent "en secours" ou "à l'aide" sur des projets n'ayant qu'une lointaine ou vague relation avec la sécurité.

- Maintien et multiplicité des compétences : Le poids des années aidant, de nombreux professionnels rencontrent des difficultés à suivre l'évolution des risques et menaces. Leur profil parfois un brin trop technique a aussi tendance à leur rendre la tâche parfois complexe alors qu'il leur faudrait être plus communiquant ou possédant des capacités à monter plus aisément des "business case" pour défendre leurs projets.

Ces quelques raisons ; auxquelles il convient d'en rajouter bien d'autres (financières notamment) ; sont autant de motivations qui vont pousser une grande structure à souscrire à des services managés de sécurité. Cependant, c'est rarement le cas pour l'ensemble de son système d'information et le nombre de prestataires n'est lui aussi pas restreint à un seul ou unique partenaire.

Afin d'illustrer mes propos, nous pourrions prendre pour exemple la supervision de sondes de détection ou de prévision d'intrusion (IPS/IDS) : Le prestataire pourra être en charge de faire évoluer le système dans le temps ; de gérer les incidents de sécurité ; de maintenir le système (patchs, nouvelles versions logicielles) et de monter les tableaux de suivi d'activité...

Ce type d'activités peu être appliqué à toute ou partie d'une infrastructure réseau (LAN/WAN), des plateformes d'hébergement, des services de messagerie, des équipements de sécurité ou tout autres composants du système d'information.

1 Commentaire

  • 16 Février 2009
    2009-02-16
    par
    Z. Haidar
    Congratulations... very proud!

Ajouter un commentaire

comments

  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
  • Les lignes et les paragraphes vont à la ligne automatiquement.
  • Tags HTML autorisés : <a> <em> <strong> <cite> <blockquote> <code> <ul> <ol> <li> <dl> <dt> <dd> <br>

Plain text

  • Aucune balise HTML autorisée.
  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
  • Les lignes et les paragraphes vont à la ligne automatiquement.

Email HTML

  • Les lignes et les paragraphes vont à la ligne automatiquement.
  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
Image CAPTCHA
Saisir les caractères affichés dans l'image.
Changer d'affichage