Virtualisation et services, les deux mamelles de la sécurité en 2010, selon IBM
Pour IBM, l’avenir – à court terme, au moins – du marché de la sécurité tient en deux composantes essentielles. L’une est technique et porte sur les mécanismes de sécurisation des environnements virtualisés et de type Cloud Computing. L’autre est commerciale. Elle concerne les services, sous toutes leurs formes, qu’il s’agisse d’infogérance d’équipements et de solutions de sécurité, ou plus largement de sécurité « as a service ». IBM entend s'appuyer sur ces deux "mamelles" pour réussir à exister sur le marché de la sécurité, un marché où le rachat d’ISS ne semble pas avoir suffi à doter Big Blue de la visibilité et de la crédibilité auxquelles il aspire.
En quelques mots, tout est dit, ou presque : « nous ne sommes pas là pour parler d’ISS, mais des solutions de sécurité d’IBM », explique Dan Powers, vice-président … d’ISS, la division sécurité d’IBM, chargé de la marque, de la stratégie, et du développement. Une façon de reconnaître, à demi-mots, que sortir 1,3 Md$ pour racheter ISS, en 2006, - près de 4 fois le CA de la firme à l'époque -, n’a pas suffi à IBM pour s’imposer, au bout de trois ans, comme un acteur majeur de la sécurité informatique. En fait, ce rachat n'était peut-être pas exactement celui dont IBM avait besoin, ou n'était pas en phase avec les évolutions du marché et les évolutions stratégiques de Big Blue.
De fait, Brian Truskowski, directeur général d’ISS, souligne que ce spécialiste de la sécurité « était une entreprise très orientée produits », avec ses appliances Proventia notamment, mais qu’il s’agit, désormais, « de se tourner vers les services ». Une petite révolution culturelle – déjà engagée –, qui s’appuie sur IBM Global Technology Services (GTS), mais doit s’accélérer. IBM GTS compterait déjà près de 4 000 clients à travers le monde pour lesquels il gèrerait pas moins de 6 milliards d’événements de sécurité chaque jour via 9 centres de supervision (dont 4 fonctionnant en continu et 5 autres de manière intermittente, dont celui de Bruxelles).
Infogérance et SaaS
Pour Brian Truskowski, le marché est demandeur : « cela répond une problématique consistant à réduire les dépenses d'investissement au profit des dépenses de fonctionnement. Cela concerne des entreprises de toutes tailles et de toutes industries. » Il y a là, bien sûr, une logique économique liée à la crise, mais pas seulement : « pour certaines organisations, et en particulier les plus grandes, le choix du service peut être motivé par le manque de compétences internes. » Pour Dave Ostrowski, responsable marketing produits chez ISS, c’est bien simple : « disposer d’une équipe dédiée à la sécurité IT est un luxe. » Un luxe qu’il quantifie : entre 80 000 et 100 000 $ par an de salaire outre-Atlantique pour un spécialiste à plein temps. Conséquence logique : « les organisations cherchent à consolider leurs équipements – IPS et pare-feu, par exemple – et à industrialiser leur exploitation. » Selon IBM, le passage à l’infogérance permettrait de réaliser environ 50 % d’économies sur les coûts d’exploitation – pour une équipe de 10 personnes devant gérer 12 pare-feu et 6 IDS.
Et Greg Adams, directeur d’IBM chargé de l’offre de produits et services, de souligner que la sécurité as a service fait désormais son chemin dans les organisations de taille moyenne après avoir initialement séduit les grandes entreprises. Une analyse que d'autres spécialistes du secteur comme Finjan, Cisco ou encore MessageLabs ne contrediront probablement pas.
Virtualisation et Cloud computing
Sur le plan technologique et au vu des évolutions du marché, IBM entend se concentrer sur la virtualisation et le Cloud computing en 2010. John Pirc, directeur chez ISS en charge de la ligne de produits Proventia, estime que le marché de la sécurité pour les environnements virtualisés devrait profiter d’une « croissance à deux chiffres ». Du fait notamment du besoin de traiter de nouvelles menaces : des menaces techniques, liées à l’hyperviseur et aux machines virtuelles, mais aussi organisationnelles, relatives à l’administration de l’environnement de production. Si le projet Phantom doit apporter prochainement un début de réponse aux menaces techniques – au moins pour les environnements VMware car, même si Xen est parfois évoqué furtivement par IBM, aucune date n’est avancée pour l’extension de Phantom à cet hyperviseur –, c’est peut être du côté des synergies entre l’offre Tivoli et l’expertise d’ISS - sur lesquelles IBM entend travailler en 2010 - qu’il faudra aller chercher les solutions relatives aux menaces organisationnelles. Mais, là encore, IBM entend aborder la question sous l’angle des services, avec ses prestations relatives à la gestion des identités et des accès (IAM).
Prochaine mise à jour du portail Web d’infogérance |
C’est en 2010 qu’IBM prévoit de lancer la version 4.0 du portail Web qu’il met à la disposition des clients de ses services d’infogérance de l’infrastructure de sécurité. Cette mouture doit notamment intégrer AppScan OnDemand, la version SaaS de Rational AppScan, la solution maison d’identification de failles des applications Web. Une évolution qui, si l’on suit le discours de Dan Holden, chef de produit X-Force chez ISS, doit au moins répondre partiellement à la problématique de l’adoption de l’Open Source pour les applications Web : « je connais de très grandes entreprises qui utilisent l’Open Source pour leurs sites et qui se demandent pourquoi elles ont des problèmes… » Se défendant de vouloir dénigrer le logiciel libre, dont il se dit fervent supporter, Dan Holden explique qu' « avec l’Open Source, vous devez vous assurer de suivre constamment les informations relatives aux correctifs et les appliquer. » Un effort qui ne ferait peut-être pas l’objet d’une totale attention, alors « que les grands éditeurs peuvent plutôt pousser les correctifs ». Un raccourci sans doute un peu sommaire quand on sait que de plus en plus de piles libres disposent elles-aussi de mécanismes de mise à jour et que la réactivité des communautés face aux problèmes de sécurité a de quoi en apprendre à bien des éditeurs "propriétaires". |