Quant : un thermomètre pour mesurer les coûts liés aux patchs de sécurité
La société de conseil en sécurité Securosis publiera en juin prochain une liste de critères de calcul qui servira à mesurer l'efficacité des entreprises à gérer leurs procédures de mises à jour. Financé par Microsoft, le projet Quant doit permettre aux entreprises de mieux ajuster leur politique de sécurité à leurs besoins métiers et à leurs ressources.
Calculer et mesurer le véritable coût des procédures de mises à jour de sécurité. C'est le défi que tente de relever la société de conseil en sécurité Securosis, qui a souhaité prendre à bras le corps les sempiternels et récurrents problèmes de gestion de procédures de sécurité dans les entreprises.
Objectif : mettre au point un modèle de calcul ouvert et participatif qui permette de mesurer l'impact, tant en termes financier que de ressources, des processus opérationnels liés à la gestion des patchs. Avec, en point de mire, la volonté d'optimiser les procédures en fonction du métier de l'entreprise, mais aussi réduire les risques liés aux données.
Les mises à jour de sécurité sont devenues une des bêtes noires de toute DSI, par leur récurrence bien sûr, mais aussi parce que leur mise en production peuvent, dans certains cas, aboutir à des incompatibilités avec d'autres applications incompatibles. Résultat, les entreprises consomment beaucoup de temps et d'argent dans ces procédures, ne sont pas suffisamment proactives, et restent souvent assez désorganisées dans leurs procédures.
Si Microsoft et Oracle ont crée leur rendez-vous de la rustine – mensuel pour le premier, trimestriel pour le second -, les éditeurs pratiquent généralement une politique de publication au fil de l'eau. Noircissant un peu plus le tableau.
Une feuille Excel sous licence Creative Commons
C'est pour répondre à ces besoins que Securosis a ouvert son projet Quant, avec le financement de Microsoft. L'idée est de fournir des points de contrôle sur l'ensemble de la chaîne de gestion des mises à jour de l'entreprise, de façon à en ressortir des analyses qui collent au métier. Securosis explique par exemple que le modèle permettra de mesurer le temps nécessaire à tester les patches, à les appliquer. Quant devrait également prendre en compte les rôles de chaque intervenant dans chaque phase de la procédure, indique le site Internet du projet.
Au final, le projet se traduira par une feuille de calcul de type Excel diffusée sous une licence Creative Commons (licence libre) que les partenaires du projet pourront étoffer de leurs propres critères.
Et le projet repose d'ailleurs bien sur la multiplication des enrichissements de ces partenaires, explique en substance Securosis, qui publiera une première ébauche en juin prochain. Un version 1 qui ne contiendra pas de benchmark, insiste la société. La société compte enfin s'adosser au vaste réseau de partenaires Microsoft pour récupérer des données issues d'entreprises de taille différente.