Les services de sécurité managés (Managed Security Services) constituent un secteur émergent du marché de la sécurité qui se consolident autour de trois types d’acteurs.
Tel est l’avis du cabinet 451 Research dans une note qu’il vient de publier intitulée Managed security providers : navigating the players. Les services managés sont déjà connus dans d’autres activités. Ils aident les DSI à transférer des opérations informatiques spécifiques à un fournisseur de services – un aspect de plus en plus courant du passage de l’infrastructure et des services d’hébergement locaux et hors site. Le fournisseur de services assume à son tour la responsabilité permanente de la gestion, de l’administration et de la surveillance des systèmes et des fonctions informatiques sélectionnés pour le compte de l’utilisateur, généralement par l’intermédiaire de centres d’opérations à distance.
La sécurité est l’une des fonctions informatiques qui peuvent être prises en charge par un fournisseur de services. Elle est devenue si complexe et multiforme qu’elle s’est développée en tant que secteur spécialisé de services managés pour prendre en compte le manque d’expertise en matière de sécurité dans de nombreuses organisations pour se protéger contre de plus en plus Des menaces complexes, des attaques et des exigences de conformité. Les MSS gagnent en ampleur (de la technologie utilisée et des fonctions traitées), tandis que les types et le niveau de service varie considérablement entre les fournisseurs. Dans son traditionnel quadrant magique, le Gartner a sélectionné une quinzaine de fournisseurs dont quatre figurent dans le carré le plus prestigieux, celui des leaders : IBM, Secureworks, Verizon et Symantec. A noter la présence des deux fournisseurs français dans ce quadrant magique avec Atos et Orange Business Service.
Pour le cabinet 451 Research, trois types de fournisseurs de services managés (MSSP ou Managed Security Services Providers) dominent actuellement ce marché : le fournisseur de technologie qui offre également des services, le spécialiste des services « pure player » et le fournisseur hybride à la recherche de nouvelles activités. La neutralité des fournisseurs reste un trait important dans cet espace, ainsi que certains principes communs observés dans d’autres domaines des services gérés, y compris la transparence, la capacité de partenariat et les relations stratégiques. Alors que de nouveaux types de menaces à la sécurité – tant cybernétiques que législatives – accélèrent la demande de produits et services de sécurité qui poussent à des offres plus sophistiquées, les fournisseurs de services de sécurité gérée deviendront une part de plus en plus importante de l’écosystème de l’infrastructure numérique.
Pour le cabinet, les fournisseurs services de sécurité managés offrent les mêmes avantages que les fournisseurs de services gérés traditionnels – coûts prévisibles et contrôlables, expertise, soutien et réduction des risques. Cependant, tous les MSSP ne sont pas identiques. Il y a plusieurs variétés qui doivent être reconnus – chacun avec leurs propres avantages et inconvénients – afin de comprendre l’espace MSS et ce qui est offert.
Les premiers sont des MSSP qui dépendent fortement du développement et de la fourniture de technologies de sécurité – des entreprises telles que Symantec, Alert Logic, Rapid7 et Fortinet. Ces fournisseurs sont généralement orientés vers quelques domaines ou fonctions spécifiques dans l’espace de sécurité managé. Certains de ces fournisseurs sont encore plus spécialisés, en se concentrant sur la fourniture d’outils pour des marchés spécifiques tels que le commerce de détail ou de soins de santé, ou pour répondre aux efforts de conformité spécifiques et les exigences avec des règlementations telles que HIPAA ou PCI. Bien que ces prestataires puissent également fournir d’autres services de sécurité au-delà de la technologie, leur pilier est les technologies de services de sécurité qu’ils développent et livrent à leurs clients.
À l’autre extrémité du spectre de l’espace MSSP sont les fournisseurs de type « pure player ». Ces fournisseurs se concentrent généralement sur la prestation de services de sécurité sans développer leur propre technologie. Cette approche orientée service offre une large gamme d’options de portefeuille allant de la surveillance et de la gestion des dispositifs et systèmes de sécurité (Systèmes de détection d’intrusion et pare-feu) à la fourniture de services de gestion des correctifs, prestations de service.
Les services typiques vont de la sous-traitance complète des programmes de sécurité aux services spécialisés qui se concentrent sur un élément spécifique de la sécurité de l’entreprise (par exemple, la sécurité du périmètre, la surveillance des menaces, la protection des données, la conformité réglementaire ou la réponse aux incidents). La plupart de ces fournisseurs sont agnostiques. Beaucoup offrent des services sur place, selon les besoins, mais peuvent avoir des zones de couverture régionales ou locales limitées.
Il existe une troisième catégorie de fournisseurs qui se situent entre les fournisseurs de technologies et les sociétés de services. Les MSSP hybrides sont nombreux et ont souvent leurs racines dans d’autres secteurs. Les entreprises de télécommunications, les prestataires de services gérés, les intégrateurs de systèmes, les VAR et autres sont entrés dans l’espace MSSP. La plupart de ces fournisseurs commencent à offrir des MSS en tirant parti de leurs relations avec leur clientèle existante et se sont par la suite diversifiés, en utilisant MSS comme une occasion d’acquérir de nouveaux clients pour leurs services de base traditionnels. Parmi ce type de fournisseurs on peut citer Tata Communications, CenturyLink, IBM, Hewlett Packard Enterprise (HPE) et RackSpace.
Un des défis majeurs pour beaucoup de ces MSSP hybrides est leur manque potentiel de neutralité des fournisseurs – l’objectivité est de plus en plus critique lors de la livraison de services managés adaptés tout en maintenant le statut de conseiller de confiance. La neutralité des fournisseurs est un élément clé pour de nombreuses entreprises qui recherchent un niveau d’objectivité qui mène à la meilleure combinaison de services et de technologies.