mer, 30/09/2009 - 12:03
ITIL et les fournisseurs de services de sécurité gérés (MSS) permettent-ils de résoudre ce dilemme ? Un point de vue de Pierre-Yves Popihn, Technical Manager chez Integralis
Un nombre croissant d’entreprises, particulièrement en cette période de crise économique, fait face à un défi presque insurmontable : ne pas augmenter les dépenses informatiques de l’année précédente. Cet enjeu requiert la mise en œuvre de nouvelles technologies importantes, la disponibilité de nouvelles fonctions informatiques pour les départements concernés ou le remplacement des systèmes obsolètes. De plus, les employés spécialisés en informatique sont déjà souvent surchargés par les tâches courantes et ne peuvent mettre en œuvre les nouveaux projets de façon adéquate. Les départements informatiques sont rarement en mesure d’embaucher des personnes supplémentaires. Que peuvent donc faire les entreprises dans une telle situation ?
Ces dernières années, de plus en plus d’entreprises ont conçu leur service informatique interne autour d’ITIL (IT Infrastructure Library), ce qui a permis d’introduire des processus et des structures pour intégrer les ressources existantes de façon optimale, augmenter la qualité informatique et la satisfaction de l’utilisateur tout en réduisant ou en stabilisant les dépenses, sans générer de coûts additionnels. Pourtant, même avec de telles mesures, les limites sont atteintes tôt ou tard et il devient impossible de cibler une optimisation supplémentaire. Les exigences placées sur le département informatique sont très élevées, notamment en ce qui concerne la sécurité : par exemple, disponibilité 24h/24 et 7j/7, réactivité 24h/24 et 7j/7 en cas d’incident, introduction de contre-mesures, intégration de nouvelles technologies afin de satisfaire aux exigences de sécurité et à la réglementation en vigueur (conformité interne et externe). Les fournisseurs MSS qui ont aussi développé leurs prestations et leur centre d’exploitation autour d’ ITIL représentent ici le complément idéal.
En effet, le client et le fournisseur savent donc exactement quels services ils peuvent respectivement exiger et délivrer. Grâce aux processus et aux structures en place de chaque côté, il est possible de créer des passerelles transparentes qui transmettent les tâches dédiées (externalisées) au fournisseur MSS et mobilisent ainsi peu de ressources.
Dans tous les domaines stratégiques, la façon de procéder sera déterminée avec le client en cours de production, ou au préalable. Comme les étapes des processus sont définies dans ITIL, tout le monde sait de quoi le partenaire a besoin et comment contribuer à la réalisation de ses attentes. Tous les domaines qui exigent beaucoup de temps et de ressources sont gérés par le fournisseur MSS, mais le client reste impliqué dans les étapes décisives en ayant l’assurance que le fournisseur agit dans son sens.
Le client profite également de l’expérience du fournisseur MSS. En retour, la prestation continue de ces services permet aux employés du fournisseur d’acquérir un savoir-faire nettement supérieur à celui des clients et d’identifier de façon préventive les difficultés qui peuvent surgir à cause des modifications, des règles nouvellement introduites, etc. Au final, la meilleure efficacité ainsi atteinte par le fournisseur MSS dans la prestation de services bénéficiera au client. Les deux parties comprennent immédiatement que, pour gérer – chacun avec ses propres ressources, 7j/7 et 24h/24 – les services et tous les produits de sécurité existants et de solutions différentes mis en œuvre, plusieurs collaborateurs sont nécessaires (travail en équipe, vacances, périodes de formation, congés maladie). Sans mentionner le fait que le matériel et les logiciels nécessaires au monitoring 7j/7 et 24h/24 et à l’analyse des fichiers log des applications et systèmes d’exploitation relatifs à la sécurité (pour l’identification des atteintes à la sécurité et la gestion des incidents) sont inclus dans les services de sécurité gérés. L’introduction proactive de mesures de maintien du niveau de sécurité est également déjà intégrée.
Autre point important : les fournisseurs MSS disposent aujourd’hui de plusieurs centres informatiques que l’on appelle centres d’opérations de sécurité (SOC, Security Operation Centers), de préférence répartis à travers le monde entier. Cela garantit l’absence totale de SPOF (Single-Point-of-Failure), comme ce serait le cas avec un seul centre d’administration et de veille.
L’externalisation de tâches de sécurité informatiques dédiées auprès d’un fournisseur MSS permet aussi d’intégrer de nouvelles technologies dans ce domaine sans avoir à mobiliser ou à former ses propres ressources, ni consentir les dépenses importantes que cela implique.
En résumé, l’externalisation de tâches de sécurité informatique auprès d’un fournisseur MSS offre à l’entreprise :
- Une réduction de ses frais d’exploitation
- La valorisation optimale d’un budget restreint
- L’intégration de nouvelles technologies sans mobiliser ses propres ressources
- L’optimisation de la sécurité et de la disponibilité informatiques
- Le respect des exigences de conformité
- Des contrats de niveau de service (SLA)
A propos de l'auteur