Cet article a été publié le 29 Septembre dans les "Tribunes" du JDNet Solutions.
Les services de sécurité managés (Managed Security Services) peuvent être un atout précieux pour une organisation si sélectionnés et utilisés de manière appropriée et contrôlée. Depuis ces dernières années, le nombre de fournisseurs de services de tels services (MSSP ou « Managed Security Services Provider ») est en pleine expansion et les services proposés variés.
Parmi les services les plus souvent proposés :
- La gestion d'équipements de sécurité comme des firewalls
- La collecte et l'analyse d'événements de sécurité (SEM)
- La veille sécurité (suivi des vulnérabilités et correctifs)
- Les services de détection de vulnérabilités en mode "hébergé"
Les raisons pour lesquelles une entreprise souscrit à de tels services sont multiples : Absence d'expertise en interne ; besoin d'un service disponible 24h sur 24 ou encore d'outils ou systèmes trop coûteux.
Avant de souscrire à de tels services, quelques recommandations.
Niveau de mutualisation des équipements
Si il s'agit de gérer des équipements de sécurité comme des serveurs proxy ou des firewalls, vérifiez que ceux-ci sont bien dédiés à votre usage. En effet, un équipement mutualisé entre plusieurs clients peut ne pas être audité pour des raisons de confidentialité. Vous seriez donc contraint et forcé de faire « aveuglément » confiance au fournisseur sur la configuration exacte.
Critères de confiance envers le prestataire
Dans quelle mesure pouvez-vous faire confiance au prestataire ? Il est d'usage de travailler avec des sociétés reconnues sur la place publique et ayant de solides références. Se tromper de prestataire peut avoir des conséquences désastreuses. Préférez les prestataires dont les services ont été certifiés conformes à des normes ou standards en sécurité de l'information.
Disponibilité des ressources et des compétences
Vérifiez que le nombre de personnes ayant l'expertise requise pour la fourniture du service est raisonnablement dimensionné et surtout qu'elles sont disponibles pendant la totalité des périodes de délivrance du service. L'expérience montre que les prestataires ont effectivement des experts durant la journée mais qu'au milieu de la nuit, des personnes peu expérimentés ou insuffisamment formées sont présentes.
Fréquence des activités
Pour ce qui concerne les services de veille sécurité, demandez quelle est la fréquence de recherche des nouvelles annonces de failles, de publication d'exploits ou de mise à disposition des correctifs. Pour ce qui concerne les codes d'exploitation sur des vulnérabilités critiques, la règle serait que cela soit effectué au moins une à deux fois par jour.
Engagements en terme de réactivité
Les services de gestion d'équipements étant particulièrement critiques, vérifiez les engagements de réactivité du prestataire pour effectuer les changements de configuration. Demander un délai de réaction de l'ordre de 2h pour mettre à jour des règles de filtrage d'un firewall n'est pas anormal ; surtout dans le cadre de la gestion d'un incident de sécurité.
Pour un service de collecte et d'analyse d'évènements de sécurité confirmez que les délais de réaction sur détection d'un problème sont effectivement en phase avec vos besoins. L'ensemble de ces engagements doivent être inscrits au contrat sous forme de SLA (Service Level Agreement) et assortis de pénalités financières en cas de non respect.
Reporting et suivi
Sur l'ensemble des services souscrit vérifiez la présence et le contenu du reporting que le prestataire vous fournira. Réservez-vous le droit de refuser les rapports inexacts ou incomplets tout en gardant la possibilité de demander des précisions complémentaires.
Accès aux données et fichiers de configuration
Conservez la possibilité d'avoir un accès aux fichiers de configuration des équipements ou aux paramètres de configuration : Cela vous permettra de vérifier que la mise en œuvre est conforme à votre politique de sécurité.
Responsabilité en cas de défaillance
Dans le cas d'un incident de sécurité du à un manque ou une erreur du prestataire, vérifiez que celui-ci est effectivement couvert par son assurance pour ce type de risque et quels dédommagements vous seront versés si sa responsabilité venait à être démontrée. Dans la majorité des contrats standards, les engagements sont limités à une obligation de moyens et non pas de résultats, les pénalités étant d'un montant inférieures ou égales à celui du contrat souscrit.
Prise en compte du risque interne au prestataire
Pour finir, vérifiez comment le prestataire prévient-il les intrusions de ses propres équipes dans vos systèmes. Le management de la sécurité d'une organisation tierce peut être source de tentations très fortes pour un employé indélicat. Rappelez-vous que le risque interne est supérieur à celui externe : De part leurs accès privilégiés sur vos systèmes, les employés du prestataire deviennent en quelque sorte grossier les rangs des personnes internes.
Pour conclure
Un nombre croissant d'organisations de secteurs d'activités variés font le choix d'externaliser tout ou partie du management de la sécurité de leurs systèmes. Au regard des enjeux, il convient de sélectionner avec soin le partenaire qui sera en charge de sécuriser tout ou partie du patrimoine informationnel de l'organisation et de s'assurer que celui-ci a bien les moyens de respecter ses engagements selon un cadre préétabli.
Au sein de la direction sécurité du Groupe Orange, je suis en charge de la veille sécurité et de la sensibilisation à la sécurité. Franchise, optimisme et bonne-humeur sont mes moteurs quotidiens