SaaS : Sécurité as a Service !
12/05/2008
- La sécurité
- La confidentialité des données.
Les utilisateurs autorisés à aller sur le Web disposent donc de 2 PC et doivent passer de l’un à l’autre en permanence !
Comment basculer vers des solutions SaaS dans ce contexte ? Difficile de généraliser ce doublement des PC, surtout quand il a plusieurs centaines d’utilisateurs potentiels !
Merci Postini ! (Racheté par Google il y a quelques mois).
Leur annonce de cette semaine m’a permis de trouver une réponse immédiate à cette question du double PC !
Le nouveau service annoncé se nomme “Google Web Security for Enterprise”.
Il fait partie de ce que l’on nomme aussi : SaaS, Sécurité as a Service.
On va très vite assister à un déficit de lettres dans la famille XaaS ! Après les PaaS - Platform as a Service - , HaaS, Hardware as a Service -, DaaS - Data as a Service... toutes les lettres de l’alphabet vont être utilisées.
Il existe déjà une vidéo de 2 minutes sur YouTube qui parle de XaaS ; la consécration !
Google Web Security for Enterprise
On y retrouve toutes les fonctions que propose un pare-feu classique :
- Filtrage des virus.
- Filtrage des URL suspectes.
- Anti phishing.
- Analyse des contenus.
- ...
Tous les détails de l’offre ne sont pas encore connus, en particulier en ce qui concerne les prix en Europe. Les premières informations dont je dispose font état d’un coût de $3 par mois et par utilisateur.
Le coût d’une excellente sécurité Web devrait donc être proposé autour de :
Sécurité as a Service = 2 € / personne / mois
Se protéger des multiples dangers du Web
Comme les 1 400 millions de personnes qui utilisent quotidiennement le Web, je souhaite disposer d’un niveau de sécurité raisonnable.
Je récuse les deux positions extrêmes, aussi absurdes l’une que l’autre :
- Rechercher la sécurité parfaite, qui conduit à l’immobilisme et n’a aucun sens. En voiture, j’attache ma ceinture de sécurité, mais ne suis jamais à l’abri d’un chauffard.
- Prétendre qu’il n’y a pas de problèmes sérieux de sécurité et que se protéger est inutile.
Pour obtenir un niveau de sécurité Web raisonnable, les entreprises ont maintenant deux options :
- gérer la sécurité elles-mêmes.
- Utiliser des solutions SaaS, Sécurité as a Service.
Sécurité Web, prise en charge par les entreprises
Ces solutions fonctionnent bien ; complétées par des IpVPN, réseaux privés virtuels Internet, elles permettent déjà d’utiliser des solutions SaaS avec sécurité.
- Les fournisseurs SaaS garantissent la sécurité de leurs serveurs (1 sur le schéma), mieux que l’immense majorité des entreprises sont capables de le faire.
- Les échanges avec les fournisseurs SaaS se font en mode sécurisé HTTPS (2), et garantissent bien la protection pendant le transport de données.
- C’est à l’entreprise (3) de prendre en charge toutes les autres fonctions de sécurité nécessaires pour se protéger des dangers bien connus du Web.
SaaS : Sécurité as a Service
Pour une entreprise, quels sont les avantages potentiels, intrinsèques à la démarche SaaS, de confier sa sécurité Web à un prestataire externe ?
- Profiter de l’expertise des plus grands acteurs du Web. La connaissance que peuvent avoir Google, Yahoo, Amazon ou Microsoft des risques inhérents au Web est supérieure, et de loin, aux compétences que je pourrais acquérir et garder en interne.
En mutualisant ces efforts, les grands acteurs de la “Sécurité as a Service” peuvent garantir à leurs milliers de clients une efficacité maximale.
- Disponible pour les entreprises de toute taille. Gérer efficacement des équipements, des logiciels et des professionnels de la sécurité en interne sont des activités que seules les grandes entreprises peuvent prendre en charge.
- Réduction des coûts. Pour les rares entreprises qui pourraient se permettre le luxe de maintenir en interne la gestion de la sécurité Web, les coûts complets seraient au minimum 10 fois supérieurs à ceux proposés par les professionnels de la “Sécurité as a Service”, qui peuvent proposer des prix attractifs tout en ... gagnant très bien leur vie !
- Sécurité disponible partout, sur tout objet d’accès Web. Les utilisateurs ont accès à cet excellent niveau de sécurité en tous lieux, y compris depuis chez eux ou un cybercafé sans avoir besoin d’équipements complexes et chers.
Encore un paradoxe de plus : la meilleure sécurité contre les dangers du Web sera, est maintenant ... sur le Web.
Sécurité as a Service, un composant de plus
Cette annonce conforte encore, s’il en était besoin, ma préférence pour la démarche “composants” et ma grande défiance pour toute approche “intégrée” des Systèmes d’Information !
L’offre de sécurité “Google Web Security for entreprise”, "Powered by Postini” est un ... composant de plus dans la panoplie des outils que je peux décider d’utiliser... ou pas.
- Cette offre peut venir en complément d’une solution Google Apps ou de solutions “legacy” Microsoft Exchange hébergées.
- Je peux choisir d’utiliser aussi les solutions de Postini pour sécuriser ou archiver mes courriels, mais personne ne m’y oblige.
L’offre de “Securité as a Service” de Google n’est pas la seule ; quelques jours auparavant, Yahoo a signé un accord avec McAfee pour proposer des services de sécurité similaires.
À tout moment, dans un délai raisonnable, je peux décider de changer mon prestataire “Securité as a Service” sans que tout mon système d’Information ne s’écroule comme un château de cartes.
Les domaines où les logiciels classiques, à installer sur ses propres serveurs, resteront une option raisonnable voient leur nombre se réduire à vue d’œil. Combien en restera-t-il, demain ?
Web 2.0 : la sécurité au top !
Avec cette annonce “Sécurité as a Service” de Google, c’est l’un des derniers freins sérieux à la généralisation, à la banalisation des solutions “On the Cloud” qui se débloque.
J’ose espérer que, à la fin de l’année 2008, ils ne seront plus qu’une poignée à croire encore que les solutions SaaS “On the Cloud” n’ont pas d’avenir.
La météo est vraiment au beau fixe, pour les Entreprises 2.0 !
Entreprises 1.0, dépêchez-vous de prendre ce virage si vous ne voulez pas rester sur le bord de la route, empêtrées dans vos solutions archaïques, lourdes, chères, et ... mal sécurisées !