La sécurité pour et par le Cloud : la déferlante est proche
Jusqu’à récemment, Ed Maguire était directeur chez Merrill Lynch Technology Investment Banking. Il vient de fonder sa propre société de conseil en investissement dans les entreprises technologiques, MAGNet Strategies. Présent sur le salon RSA Conference fin avril dernier, Ed Maguire n’a pu s’empêcher d’identifier quelques entreprises prometteuses dans le domaine de la sécurisation par et pour le Cloud Computing.
Lors de la dernière RSA Conference, fin avril 2009, à San Francisco, « Cloud » était le buzzword du moment, chaque éditeur s’attachant à inscrire sa marque dans le dernier domaine en croissance du moment. L’une des particularités du marché de la sécurité est que, chaque année, il semble y avoir un nouveau type de menace ou une nouvelle réglementation portant le besoin pour de nouvelles solutions.
Cette année, la conformité PCI stimule fortement la demande des entreprises nord américaines, comme ont pu le faire par le passé des réglementations telles que Gramm-Leach-Bliley, HIPAA, ou encore Sarbanes-Oxley.
Le défi de la virtualisation
La sécurisation des environnements virtualisés reçoit une importante attention mais n’en est qu’à ses débuts. Le défi est en partie lié au fait que la tendance consistant à passer des serveurs virtualisés en production ne progresse pour l’heure qu’à partir d’une base limitée. En outre, la sécurité est, à de nombreux égards, un marché dérivé, fortement dépendant de la manière dont se comportent effectivement les environnements de production ainsi que du besoin d’équilibre stratégies, prévention et disponibilité. Quelques entreprises commencent à apporter des réponses intéressantes à ces problématiques, à l’instar de Reflex, Altor et Catbird Networks. Je m’attends à ce que l’intérêt pour ce domaine se développe très largement au cours des 12 à 18 prochains mois – ce qui permettra aux entreprises de construire et d’éprouver les prochaines solutions de virtualisation avant que n’explose ce marché. En d’autres termes, il y a de grandes chances pour que l’offre arrive à maturité, sur le plan technologique, en même temps que la demande – ce qui n’est pas toujours le cas.
La sécurité en mode hébergé
Le Cloud Computing recouvre de nombreuses technologies, du SaaS à l’informatique en grille, en passant par l’hébergement administré, la virtualisation, l’externalisation ou encore la consolidation de centres de calcul. Le concept consistant à déplacer, au-delà du pare-feu, du code applicatif et des données, sur des ressources provisionnées dynamiquement, répond à des besoins fondamentaux. Mais la mise en œuvre, dans la pratique, reste variable.
L’idée consistant à sécuriser le Cloud renvoie généralement à un service de sécurité hébergé. Les fournisseurs de ce type de services se sont concentrés, depuis des années, à des domaines tels que les pare-feux, la détection d’intrusion et la réaction aux incidents. Le marché a vu quelques tours de financement, de faillites, et même des consolidations, avec le rachat de jeunes entreprises du secteur telles que Riptech, Guardent ou encore Counterpane. Mais le marché reste actif, avec notamment IBM/ISS, Symantec, VeriSign, Perimeter e-Security, SecureWorks, ou encore Integralis. Des entreprises qui restent orientées solutions, avec une attention concentrée sur des outils d’analyse propriétaires.
Sur le strict plan de la technologie, des éditeurs tels que Qualys et AlertLogic se sont concentrés sur la fourniture directe de services aux entreprises en mode hébergé. Tous les deux tirent leurs racines de la gestion des vulnérabilités mais se sont développés en s’ouvrant à la problématique de la conformité PCI. AlertLogic, après un échange avec Mike Turner, son PDG, me paraît bien placé pour adresser les PME. Des entreprises auxquelles font typiquement défaut les ressources internes dédiées à la sécurité et à la conformité.
L’opportunité du Cloud
Et puis il y a un certain nombre d’éditeurs misant sur l’opportunité du Cloud. Sur le terrain de la gestion des identités, il y a par exemple PingIdentity et Symplified, qui cherchent à apporter une réponse à la question de la fédération des identités avec les applications composites ou modulaires. PureWire et ZScaler sont deux concurrents qui veulent sécuriser l’accès à Internet et qui partagent l’ADN de CipherTrust. Et il y a toute une série de petites start-ups qui travaillent encore en secret dont on devrait parler au cours des mois prochains.
Au final, sur RSA Conference, l’intérêt pour les technologies Cloud était bien réel, que l’on parle de nuage interne ou externe, porté notamment par des entreprises cherchant à réduire les coûts de leur SI tout en en augmentant l’efficacité et la souplesse. Cette tendance, qui peut potentiellement conduire à plus de simplicité pour les utilisateurs et à plus d’industrialisation pour les exploitant, va néanmoins amener beaucoup de complexité à court terme. De quoi créer de nouveaux défis pour les spécialistes de la sécurisation des infrastructures.
Analyse initialement publiée sur le blog d’Ed Maguire, adaptée de l’anglais avec l’autorisation de l’auteur.