Le déploiement des solutions de sécurité informatique dans les PME

Les avantages et les inconvénients des différentes approches de déploiement et de maintenance des systèmes de sécurité informatique.

Il est assez logique d’avoir recours à des professionnels pour déployer et effectuer la maintenance des systèmes de sécurité informatique au sein d’une entreprise. Ces experts peuvent être internes ou externes, qu’il s’agisse de fournisseurs de services ou de développeurs de la solution choisie. Chaque approche a des avantages et des inconvénients. Après tout, pour une entreprise le déploiement d’un système de sécurité informatique est un processus assez complexe qui, en plus de l’installation du programme, inclut les phases préparatoires et opérationnelles suivantes :

  1. Analyse des risques de sécurité informatique afin d’identifier les aspects vulnérables, d’évaluer la probabilité des menaces et de dresser une liste des mesures nécessaires.
  2. Développement de politiques de sécurité pour réguler l’accès aux informations et en garantir la protection et l’intégrité.
  3. Choix et mise en place de la solution.
  4. Vérification périodique de la solution pour s’assurer qu’elle est efficace et conforme aux exigences actuelles.
  5. Réponse aux incidents.

Une grande entreprise a certainement un service de sécurité informatique qui effectue toutes ces tâches. En revanche, les PME doivent faire un choix : déployer un système de sécurité interne ou externaliser et travailler avec des sous-traitants tiers.

Le déploiement en interne

En interne signifie qu’un employé, ou un service, est un expert en sécurité informatique et s’y consacre. L’entreprise peut essayer de trouver cette personne sur le marché ou peut essayer de la former. Les avantages et les inconvénients de cette approche sont les suivants :

  • + L’entreprise contrôle le processus de formation et peut l’adapter aux besoins spécifiques de l’entreprise, ou recherche une personne qui a les connaissances nécessaires.
  • + Un employé interne connaît mieux les processus internes de l’entreprise et peut proposer des solutions plus efficaces et plus spécifiques.
  • + Un employé en interne peut répondre plus rapidement aux menaces et aux problèmes.
  • + Les secrets de l’entreprise ne tombent pas dans de mauvaises mains.
  • + Ça peut être plus rentable que l’embauche d’un expert externe, surtout si l’employé fait déjà partie de l’entreprise.
  • + La formation va améliorer le statut professionnel de l’employé, ce qui peut renforcer sa loyauté.
  • – La formation est longue.
  • – L’embauche d’un expert standard peut avoir un coût supérieur à celui d’un sous-traitant et va prendre un certain temps.
  • – L’employé formé sur place va probablement moins bien connaître le domaine de recherche qu’un professionnel en sécurité informatique qui a de l’expérience.
  • – Rien de ne garantit que cette mise en place de savoir-faire soit utile à l’avenir ; cela est particulièrement vrai si la tâche est attribuée à un employé en particulier. Que fera-t-il après le déploiement ?
  • – L’employé formé par l’entreprise peut décider de partir, et il faudra trouver une nouvelle personne ou un sous-traitant pour l’entretien de la solution.

Cette approche est pertinente pour les entreprises en croissance ou qui envisagent de s’agrandir puisqu’elles auront les fondations nécessaires pour leur service de sécurité informatique. En revanche, si l’entreprise n’envisage rien de cela, ou que cette croissance ne se traduit pas par le développement de l’infrastructure, il n’est guère sensé d’investir dans de nouvelles compétences professionnelles.

Le déploiement par des tiers

Le marché regorge de fournisseurs de services qui proposent des solutions clés en main : audit de l’infrastructure, ou encore déploiement et maintenance du système de sécurité informatique. Voici les avantages et les inconvénients de cette option :

  • + L’entreprise gagne du temps. Pas besoin de former ou de chercher quelqu’un.
  • + Un sous-traitant spécialisé a certainement de l’expertise et de l’expérience dans le domaine de la sécurité informatique.
  • + Un sous-traitant peut offrir un vaste éventail de services qui va au-delà des capacités d’un employé en interne.
  • + Les ressources sont utilisées de façon plus efficace puisque toutes les inquiétudes relatives à la mise en place sont externalisées.
  • + Les risques sont moins importants et peuvent être transmis au sous-traitant.
  • – Sur le long-terme, un tiers peut s’avérer plus coûteux qu’un employé en interne.
  • – Le sous-traitant pourrait ne pas comprendre les processus internes de l’entreprise et proposer des solutions peu adaptées.
  • – Le manque de transparence. L’entreprise ne peut pas savoir à quel point le sous-traitant connaît les produits déployés.
  • – Des problèmes de confidentialité peuvent surgir puisque le sous-traitant a accès aux données mais que l’entreprise ne connaît pas les politiques internes de sécurité du sous-traitant.
  • – L’entreprise pourrait devenir dépendante du sous-traitant.
  • – L’entreprise ne comprend pas très bien tout ce qui se passe puisqu’elle ne contrôle pas suffisamment le processus de déploiement et d’assistance.

De façon générale, l’utilisation d’un sous-traitant est une méthode de déploiement du système de sécurité informatique pertinente et courante. Normalement, les fournisseurs de services travaillent avec les développeurs des solutions, sont certifiés, ont un statut de partenaires et offrent certaines garanties. Il y a aussi une troisième solution…

Le déploiement par le fournisseur

Cette approche ressemble à la seconde, mais le déploiement est effectué par le développeur de la solution, avec la garantie d’avoir des employés qui en connaissent les tenants et les aboutissants. Cela signifie ce qui suit :

  • + L’entreprise ne dépend pas d’un tiers. La solution fonctionne tant que le développeur est sur le marché.
  • + La garantie directe du fournisseur réduit davantage les risques.
  • + La configuration et le déploiement des produits sont aussi rapides et efficaces que possible.
  • + Les temps d’arrêt causés par une configuration incorrecte et de longues périodes d’installation sont minimisés.
  • + Le rendement des investissements en sécurité informatique est maximisé puisque la configuration faite par l’expert assure que le produit fonctionne à son plein potentiel.

La plupart des PME n’ont pas besoin d’avoir un expert tiers sur place. Les capacités du serveur sont généralement basées sur le Cloud de nos jours et les systèmes peuvent être contrôlés à distance.

Nous vous proposons Kaspersky Professional Services, notre solution de services groupés pour le déploiement des outils de sécurité informatique Kaspersky. Vous y trouvez un vaste choix de services : analyse de l’infrastructure et des politiques existantes, développement de politiques et suppression des vulnérabilités, déploiement et mise à jour des solutions et chiffrement du stockage des données. Kaspersky a des équipes locales partout dans le monde qui parlent votre langue et ont les connaissances nécessaires. Notre solution de services groupés est parfaite pour les PME puisqu’elle allège la charge de travail du service informatique et peut même éliminer le besoin d’avoir un administrateur système à temps complet.

Conseils