Assises de la sécurité : des entreprises plus matures ?
De plus en plus d’entreprises de toutes tailles et tous secteurs semblent s’intéresser désormais aux services de sécurité externalisés. L’effet d’une prise de conscience ?
Les demandes affluent. C’est ce que glisse un prestataire de services de sécurité adossé à l’un des opérateurs télécoms nationaux. Et d’expliquer que, depuis un an, le marché lui semble considérablement se développer : « des entreprises de toutes tailles, de tous secteurs, nous sollicitent. Nous sommes débordés. » L’effet d’une prise de conscience de l’importance de la menace ? Oui, estime-t-il, tout en soulignant des approches différentes. Dans certains cas, c’est le manque de ressources compétentes, en interne, qui motive le recours à des services externalisés. Mais cela peut-être également une recherche de mutualisation de ressources, au travers d’un prestataire, par exemple pour des tâches de supervision. Une approche qu’observe également un autre prestataire également adossé à un opérateur télécoms. Mais tous deux s’accordent sur un point : les grands comptent veulent conserver la maîtrise, en interne, de la sécurité. Alors pourquoi eux-aussi recourent-ils plus en 2014 aux services de sécurité externes ? Pour le second prestataire, l’explication est à chercher dans une évolution des mentalités : « les incidents tels que celui dont a été victime Target ont montré que la conformité ne suffit pas. » Une démonstration de grande ampleur reproduite cette année. Dès lors, pour lui, « les grands comptes cherchent à travailler sur leur préparation » à d’éventuels incidents. Mais la tâche est lourde et complexe. Elle implique de nombreux acteurs dans les entreprises, impose un dialogue associant IT, sécurité, et métiers, le tout pour conduire des inventaires et des réflexions très étendues touchant à l’infrastructure qu’aux processus métiers. « C’est lourd, cela prend beaucoup de temps. » Et le résultat n’apparaît pas en un clin d’œil, et ne s’obtient surtout pas qu’en installant des boîtes. Bref, un travail certes technique mais à la composante organisationnelle considérable.
Un paysage complexe
Chez Steria, Florent Skrabacz, responsable de l’activité sécurité, est plus nuancé. Pour lui, le marché est surtout marqué par une segmentation trouvant son origine dans des cultures différentes. « Dans le domaine de l’énergie par exemple, très régalien, la culture de l’externalisation n’est pas forcément très ancrée. » Et d’identifier là un profil d’entreprises qui chercheront à faire évoluer leurs méthodes, à accéder aux bonnes compétences, mais tout en s’attachant à conserver « une maîtrise assez forte des ressources », quand d’autres « sont dans des modèles d’externalisation très poussée » avec aussi bien « des éléments qui relèvent de l’analyse de risque, des référentiels de sécurité, d’implémentation de la sécurité, de la conformité fonctionnelle et technique, de la sécurité opérationnelle, et au milieu de tout cela, de la gestion de crise. » Les véritables changements, Florent Skrabacz les relève surtout dans ses rapports aux directions des achats qui discutent moins sur les prix désormais que sur les modèles économiques. Et après quelques années de pression très forte sur les prix, il estime que « le marché est en train de revenir à des prix, sur certaines prestations, plus équilibrés. »
Des directions impliquées
De son côté, Gérôme Billois, responsable de la practice sécurité de Solucom, constate « un vrai basculement, chez ceux qui se sont faits vraiment attaquer ainsi que ceux qui se sont fait un petit peu attaquer… et mesurent ce qu’ils risquent. » Ce qu’il traduit par des plans d’investissement de dizaines de millions d’euros, « voire jusqu’à 100 M€. Des choses que l’on ne voyait jamais avant, et qui passent de surcroît en comité exécutif, avec l’appui du directeur général. » Une situation qui tranche avec celle encore majoritaire il y a seulement quelques années où les RSSI peinaient à obtenir un minimum de budget…
Là, l’objectif est ambitieux. Il s’agit de « changer la donne, reprendre le contrôle de son SI, repartir sur des bases saines. » Parce que pour Gérôme Billois, « c’est souvent là le problème. » A cela s’ajoutent selon lui des projets « stratégiques, sur des zones de risque particulière, comme les utilisateurs dits VIP, certaines entités métiers avec beaucoup de R&D. On observe cela chez les industriels, dans la banque. » Mais le phénomène semble moins marqué dans « la distribution ou encore la santé », faute de budgets…
Sans trop de surprise, la demande en services externalisés lui apparaît particulièrement forte dans « la détection/réaction pour profiter au maximum de l’expertise. » Mais également des économies d’échelle autorisées par une forme de mutualisation de ressources : « pour faire du 24/7, ce n’est pas une personne qu’il faut embaucher, c’en sont huit. Il n’y a pas beaucoup d’entreprises aujourd’hui qui en ont les moyens. »