Sécurité opérationnelle déléguée : Motivations & retour terrain

Dans un contexte économique incertain, un nombre croissant d'entreprises recentrent leur activités sur les fonctions métiers "coeur" et confient à des tiers la gestion des systèmes ou services considérés comme non directement contributeurs de valeur pour leur activité. La gestion de la sécurité de tout ou partie d'un système d'information est sujette à ces mouvements d'externalisation et devrait même s'accélérer dans les années à venir.

Cependant, certains acteurs n'ont pas attendu ces temps mouvementés pour aller chercher en externe des services de management de la sécurité : Les banques, les compagnies d'assurances et les institutions gouvernementales ou grandes multinationales "consomment" ce type de services depuis de très nombreuses années.

Comment expliquer ce mouvement alors que ces acteurs sont considérés comme les plus en avance dans le domaine ? Je vous propose quelques éléments de réponse ainsi qu'une interview de Mme Monique Kahalé d'Orange Business qui partagera avec nous son expérience sur le terrain.

 

Toutes les banques, compagnies d'assurances ou grandes entreprises multinationales possèdent des équipes internes dédiées à la sécurité de leur système d'informations qui donnent parfois bien du fil à retordre à leurs fournisseurs ou prestataires...
Si ces équipes sont si compétentes, alors pourquoi externalisent-elles une partie de la gestion de la sécurité à des tiers ?

- Le syndrome du Pompier : De nombreux professionnels de la sécurité passent beaucoup de temps à gérer les incidents et ont tendance à délaisser les activités liées au suivi/reporting ainsi qu'à la planification à moyen/long terme des projets.

- Captage de ressources : Assez souvent, les personnes sécurité interviennent "en secours" ou "à l'aide" sur des projets n'ayant qu'une lointaine ou vague relation avec la sécurité.

- Maintien et multiplicité des compétences : Le poids des années aidant, de nombreux professionnels rencontrent des difficultés à suivre l'évolution des risques et menaces. Leur profil parfois un brin trop technique a aussi tendance à leur rendre la tâche parfois complexe alors qu'il leur faudrait être plus communiquant ou possédant des capacités à monter plus aisément des "business case" pour défendre leurs projets.

Ces quelques raisons ; auxquelles il convient d'en rajouter bien d'autres (financières notamment) ; sont autant de motivations qui vont pousser une grande structure à souscrire à des services managés de sécurité. Cependant, c'est rarement le cas pour l'ensemble de son système d'information et le nombre de prestataires n'est lui aussi pas restreint à un seul ou unique partenaire.

Afin d'illustrer mes propos, nous pourrions prendre pour exemple la supervision de sondes de détection ou de prévision d'intrusion (IPS/IDS) : Le prestataire pourra être en charge de faire évoluer le système dans le temps ; de gérer les incidents de sécurité ; de maintenir le système (patchs, nouvelles versions logicielles) et de monter les tableaux de suivi d'activité...

Ce type d'activités peu être appliqué à toute ou partie d'une infrastructure réseau (LAN/WAN), des plateformes d'hébergement, des services de messagerie, des équipements de sécurité ou tout autres composants du système d'information.

Jean-François Audenard

Au sein de la direction sécurité du Groupe Orange, je suis en charge de la veille sécurité et de la sensibilisation à la sécurité. Franchise, optimisme et bonne-humeur sont mes moteurs quotidiens