SaaS : Sécurité as a Service !

Les deux questions qui reviennent le plus, chaque fois que j’anime un séminaire sur les solutions SaaS (Software as a Service) et “On the Cloud”, ont trait à :
- La sécurité
- La confidentialité des données.

J’étais cette semaine en mission de conseil chez un client qui avait une solution “radicale” pour éviter les problèmes de sécurité liés au Web ; les PC qui ont accès au Web n’ont pas accès à l’Intranet, et vice-versa.
Les utilisateurs autorisés à aller sur le Web disposent donc de 2 PC et doivent passer de l’un à l’autre en permanence !
 
Comment basculer vers des solutions SaaS dans ce contexte ? Difficile de généraliser ce doublement des PC, surtout quand il a plusieurs centaines d’utilisateurs potentiels !

Merci Postini ! (Racheté par Google il y a quelques mois). 
Leur annonce de cette semaine m’a permis de trouver une réponse immédiate à cette question du double PC !
Le nouveau service annoncé se nomme “Google Web Security for Enterprise”.

Il fait partie de ce que l’on nomme aussi : SaaS, Sécurité as a Service. 
On va très vite assister à un déficit de lettres dans la famille XaaS ! Après les PaaS - Platform as a Service - , HaaS, Hardware as a Service -, DaaS - Data as a Service... toutes les lettres de l’alphabet vont être utilisées.
Il existe déjà une vidéo de 2 minutes sur YouTube qui parle de XaaS ; la consécration !


Google Web Security for Enterprise

L’offre “Sécurité as a Service” de Google est très simple à comprendre : l’essentiel des protections dont vous avez besoin pour circuler en sécurité sur le Web est proposé comme un service auquel vous souscrivez en sélectionnant le nombre de personnes concernées.

On y retrouve toutes les fonctions que propose un pare-feu classique :
- Filtrage des virus.
- Filtrage des URL suspectes.
- Anti phishing.
- Analyse des contenus.
- ...

Tous les détails de l’offre ne sont pas encore connus, en particulier en ce qui concerne les prix en Europe. Les premières informations dont je dispose font état d’un coût de $3 par mois et par utilisateur.

Le coût d’une excellente sécurité Web devrait donc être proposé autour de :

Sécurité as a Service = 2 € / personne / mois

Se protéger des multiples dangers du Web

 Il existe des centaires de personnes plus compétentes que moi pour parler de la sécurité, ou de l’absence de sécurité du Web.
Comme les 1 400 millions de personnes qui utilisent quotidiennement le Web, je souhaite disposer d’un niveau de sécurité raisonnable.

Je récuse les deux positions extrêmes, aussi absurdes l’une que l’autre :
- Rechercher la sécurité parfaite, qui conduit à l’immobilisme et n’a aucun sens.  En voiture, j’attache ma ceinture de sécurité, mais ne suis jamais à l’abri d’un chauffard.
- Prétendre qu’il n’y a pas de problèmes sérieux de sécurité et que se protéger est inutile.

Pour obtenir un niveau de sécurité Web raisonnable, les entreprises ont maintenant deux options :
- gérer la sécurité elles-mêmes.
- Utiliser des solutions SaaS, Sécurité as a Service.


Sécurité Web, prise en charge par les entreprises

L’essentiel des solutions de sécurité actuelles demande l’installation de logiciels ou d’appliances derrière un pare-feu, dans la célèbre DMZ, Zone démilitarisée.

Ces solutions fonctionnent bien ; complétées par des IpVPN, réseaux privés virtuels Internet, elles permettent déjà d’utiliser des solutions SaaS avec sécurité.

- Les fournisseurs SaaS garantissent la sécurité de leurs serveurs (1 sur le schéma), mieux que l’immense majorité des entreprises sont capables de le faire.

- Les échanges avec les fournisseurs SaaS se font en mode sécurisé HTTPS (2), et garantissent bien la protection pendant le transport de données.

- C’est à l’entreprise (3) de prendre en charge toutes les autres fonctions de sécurité nécessaires pour se protéger des dangers bien connus du Web.


SaaS : Sécurité as a Service

Dans cette nouvelle vision de la sécurité Web, l’entreprise la confie à des sociétés externes, Google ou autre, qui gèrent les menaces du Web comme un “Service de plus” (4 sur le schéma).

Pour une entreprise, quels sont les avantages potentiels, intrinsèques à la démarche SaaS, de confier sa sécurité Web à un prestataire externe ?

- Profiter de l’expertise des plus grands acteurs du Web. La connaissance que peuvent avoir Google, Yahoo, Amazon ou Microsoft des risques inhérents au Web est supérieure, et de loin, aux compétences que je pourrais acquérir et garder en interne.

- Mises à jour en temps réel des menaces.  L’entreprise n’a plus à courir en permanence après les dernières mises à jour des listes de sites dangereux, des nouveaux virus qui naissent en permanence. 
En mutualisant ces efforts, les grands acteurs de la “Sécurité as a Service” peuvent garantir à leurs milliers de clients une efficacité maximale.

- Disponible pour les entreprises de toute taille.  Gérer efficacement des équipements, des logiciels et des professionnels de la sécurité en interne sont des activités que seules les grandes entreprises peuvent prendre en charge.

- Réduction des coûts.  Pour les rares entreprises qui pourraient se permettre le luxe de maintenir en interne la gestion de la sécurité Web, les coûts complets seraient au minimum 10 fois supérieurs à ceux proposés par les professionnels de la “Sécurité as a Service”, qui peuvent proposer des prix attractifs tout en ... gagnant très bien leur vie !

- Sécurité disponible partout, sur tout objet d’accès Web. Les utilisateurs ont accès à cet excellent niveau de sécurité en tous lieux, y compris depuis chez eux ou un cybercafé sans avoir besoin d’équipements complexes et chers.

Encore un paradoxe de plus : la meilleure sécurité contre les dangers du Web sera, est maintenant ... sur le Web.


Sécurité as a Service, un composant de plus

Cette annonce conforte encore, s’il en était besoin, ma préférence pour la démarche “composants” et ma grande défiance pour toute approche “intégrée” des Systèmes d’Information !

L’offre de sécurité “Google Web Security for entreprise”, "Powered by Postini” est un ... composant de plus dans la panoplie des outils que je peux décider d’utiliser... ou pas.

- Cette offre peut venir en complément d’une solution Google Apps ou de solutions “legacy” Microsoft Exchange hébergées.

- Je peux choisir d’utiliser aussi les solutions de Postini pour sécuriser ou archiver mes courriels, mais personne ne m’y oblige.

L’offre de “Securité as a Service” de Google n’est pas la seule ; quelques jours auparavant, Yahoo a signé un accord avec McAfee pour proposer des services de sécurité similaires. 
À tout moment, dans un délai raisonnable, je peux décider de changer mon prestataire “Securité as a Service” sans que tout mon système d’Information ne s’écroule comme un château de cartes.

 Les fournisseurs de solutions de sécurité classiques ont du souci à se faire, comme tous les éditeurs de logiciels traditionnels, d’ailleurs !

Les domaines où les logiciels classiques, à installer sur ses propres serveurs, resteront une option raisonnable voient leur nombre se réduire à vue d’œil.  Combien en restera-t-il, demain ?


Web 2.0 : la sécurité au top !

Avec cette annonce “Sécurité as a Service” de Google, c’est l’un des derniers freins sérieux à la généralisation, à la banalisation des solutions “On the Cloud” qui se débloque.
La position des dirigeants et des DSI qui s’arqueboutent sur leurs vieilles solutions, leurs anciennes certitudes devient de plus en plus intenable.
J’ose espérer que, à la fin de l’année 2008, ils ne seront plus qu’une poignée à croire encore que les solutions SaaS “On the Cloud” n’ont pas d’avenir. 

J’utilise des solutions “Software as a Service”, “On the Cloud” et je dors... encore plus tranquille grâce à ces nouvelles offres de “Sécurité as a Service”.

La météo est vraiment au beau fixe, pour les Entreprises 2.0 !
Entreprises 1.0, dépêchez-vous de prendre ce virage si vous ne voulez pas rester sur le bord de la route, empêtrées dans vos solutions archaïques, lourdes, chères, et ... mal sécurisées !