Eric Domage, Directeur Etudes et Conseils, Télécoms sécurité systèmes Distribués, IDC France

La sécurité en tête des préoccupations IT

En France, la sécurité a fait son bout de chemin dans les esprits des dirigeants pour arriver dans le peloton de tête des principales préoccupations IT. Elle arrive ainsi en seconde position (69%), juste derrière l’amélioration du niveau de service (71%).

De manière générale, les budgets alloués à la sécurité continuent à croître, même si IDC prévoit, dans les prochaines années, non pas une décroissance mais une stabilisation de ces budgets. Le marché de la sécurité ne recule donc pas et s’articule en 2011 autour de 4 grands types de projets :
– La sécurité du poste de travail face aux nouveaux outils de mobilité (smartphones) et aux nouveaux usages (BYOD – « Bring Your Own Device »),
– La conformité : toutefois, une fois la conformité atteinte, les budgets ont tendance à s’arrêter net,
– Les projets de DLP, même s’ils font preuve d’une détermination encore hésitante. Les entreprises déploient de gros efforts pour implémenter des solutions de DLP, mais paradoxalement n’en assurent pas le suivi.
– Enfin, l’IAM : il s’agit de projets à long terme, souvent poussés par la réglementation et des besoins de conformité.

Parmi les tendances fortes en ce début d’année, on retrouve également la sécurité des applications et les MSSP. En effet, les services de sécurité managés seraient déjà adoptés par 66,2% des répondants, sans compter les projets à court terme (11,3% dans les 12 prochains mois) et moyen terme (12,7% à 3 ans). Seuls 5,6% estiment ne pas en avoir besoin.

2011 marque, selon IDC, le passage net vers des solutions totalement intégrées et externalisées. Pour Eric Domage, cette tendance devrait s’accentuer à terme et la sécurité opérationnelle laissera d’ailleurs peu à peu la place à une sécurité pensée « by design ».

Les utilisateurs prennent le contrôle

Le phénomène de « consumérisation » fait aujourd’hui partie intégrante du paysage IT. Les sphères personnelle et professionnelle s’entremêlent et les utilisateurs prennent peu à peu le contrôle en entreprise. Les terminaux personnels (smartphones, tablettes…) s’invitent dans l’environnement professionnel, à tel point que certains dirigeants laissent aujourd’hui les salariés choisir leur outil de travail (BYOD). Une pratique bien difficile à gérer pour les responsables sécurité… sans compter la prolifération et le turnover incessant de ces outils, phénomène de mode oblige !

Aujourd’hui, l’informatique est devenue jetable, éphémère. Le renouvellement des terminaux est constant et la domination technologique de plus en plus courte. Les utilisateurs passent d’un OS à l’autre, suivent l’évolution technologique… sans se préoccuper des problématiques de sécurité liées. 95% des utilisateurs connecteraient au bureau des outils achetés par eux-mêmes, alors que 70% des DSI affirment vouloir gérer de manière centralisée les terminaux des utilisateurs.

Une antinomie qui n’est pas sans dangers, puisque ce phénomène de consumérisation engendre un certain nombre de risques potentiels pour l’entreprise : la perte de contrôle du RSSI, la perte de données critiques, les risques IT (virus, attaques…) ou de conformité, la perte d’outils d’authentification, ou encore une confusion entre le monde personnel et professionnel…

Mais que fait le marché de l’offre ?

Il n’existe pas, à ce jour, de solution pour ce type de terminal « consumérisé ». Le marché de la sécurité mobile se structure autour de différents types de solutions, tels que le MDM (Mobile Device Management), M-IAM (Mobile Identity & Access Management), M-SCTM (Mobile Secure Content é Threat Management), M-Data Security, M-VPN … Toutefois, il n’existe pas de fournisseur de service global permettant d’adresser cette problématique de consumérisation. Pourtant le marché est bel et bien là aujourd’hui. « C’est la première fois où le besoin existe avant la solution sur le marché de la sécurité » estime-t-il.

La prochaine menace sera la complexité

IDC observe une augmentation des menaces, des régulations, de la complexité, mais une stagnation des compétences et de l’expertise en sécurité. La capacité des entreprises à faire face au défi sécuritaire diminue, creusant toujours un peu plus le fossé entre les possibles et la réalité du risque. Pour Eric Domage, la prochaine menace n’aura ni la forme d’un virus ou d’une attaque, ce sera la complexité.

La prochaine mission du RSSI sera de reprendre en main la gestion de la sécurité, afin de tenter d’organiser le chaos actuel et de réduire la complexité. Pour ce faire, les entreprises ont besoin d’outils de management.

Dépenser moins ou dépenser mieux…

Comment faire pour dépenser moins sans réduire le niveau de sécurité de l’entreprise ? Est-ce vraiment possible de dépenser mieux ? Pour lui, 4 pistes permettraient effectivement de réduire les budgets sécurité :
– la pression sur les fournisseurs,
– la concentration des acteurs : un nombre d’éditeurs réduit pour des offres de plus en plus globales et intégrées,
– une bascule vers le mode SaaS, ce qu’il appelle « opexisation de la sécurité »,
– ou encore l’orientation vers la virtualisation et le cloud.

Effet de mode incontournable, le cloud crée aujourd’hui une véritable révolution dans les chaumières en mettant l’IT à la portée de tous. Le cloud fluidifie l’informatique, et permet aux utilisateurs d’avoir accès à un dispositif beaucoup plus puissant qu’avant. On assiste ainsi à une banalisation de l’IT. Les utilisateurs n’ont plus besoin d’expertise IT pour accéder à des outils experts, d’autant plus que le cloud gère la complexité IT : disparition du support, des licences et de la mise à jour. Au même titre que la consumérisation, le cloud computing vient bouleverser le schéma classique de sécurité et nécessite une nouvelle approche.

Face à ces nouveaux enjeux, il conseille aux entreprises de s’orienter vers un système de gestion centralisée de la sécurité. Pour lui, la réduction de la complexité passera inéluctablement par le management de la sécurité, le contrôle des coûts et les services managés.

Ce dernier débat avant les vacances fut également l’occasion d’annoncer le grand gagnant du Prix de l’Innovation des Assises de la Sécurité, décerné cette année à la société Brainwave pour sa solution de gestion de la conformité des habilitations. Prochain rendez-vous du 5 au 8 octobre à Monaco !