WHITEPAPER: Guide d achat des solutions de sécurité hébergée

Transcription

1 WHITEPAPER: Guide d achat des solutions de sécurité hébergée Guide d achat des solutions de sécurité hébergée Les 10 questions que doivent se poser les responsables informatiques

2

3 Guide d achat des solutions de sécurité hébergée Sommaire Présentation de la sécurité hébergée La sécurité hébergée est-elle adaptée à notre entreprise? Quels sont les problèmes que nous essayons de résoudre? Existe-t-il des analyses objectives et indépendantes de la sécurité hébergée? Comment évaluer un fournisseur de solutions de sécurité hébergée? Quels sont les points les plus importants à prendre en compte pour la sécurité? Comment évaluer une solution de sécurité hébergée d un point de vue technique? Quelles sont les implications financières et commerciales de la sécurité hébergée? Comment la tarification s effectue-t-elle? Comment établir une analyse de rentabilité pour la sécurité hébergée? Comment la société Symantec.cloud se positionne-t-elle par rapp ort à la concurrence?.... 5

4 Présentation de la sécurité hébergée La sécurité des informations reste la principale préoccupation des DSI à travers le monde 1. C est parfaitement compréhensible. Tout comme la priorité absolue du gouvernement est la défense du territoire, le département informatique doit protéger les secrets industriels et l image de marque de l entreprise, ainsi que ses employés et ses systèmes. Les risques liés à la messagerie électronique et à Internet comprennent les programmes malveillants, le spam, l espionnage électronique, les pannes matérielles et les vols de données. Ce n est pas parce que nous considérons la messagerie et l accès à Internet comme acquis qu ils sont pour autant sécurisés. Un message électronique sur 281 contient un virus ou une attaque de phishing. Symantec.cloud Intelligence détecte sites Web frauduleux chaque jour. 75 % de tous les messages électroniques sont désormais du spam 2. Négliger la sécurité informatique peut coûter cher. Chaque incident de sécurité majeur peut ainsi coûter à l entreprise entre 100 et et, selon l enquête sur les failles de sécurité menée en 2008 par le gouvernement, 72 % des sociétés britanniques de 50 à 500 employés ont subi en moyenne 15 incidents par an 3. Dans ce contexte, quatre problèmes soulignent l importance de la sécurité hébergée : Les entreprises manquent souvent de ressources et compétences internes pour faire face à la grande variété des menaces sur la sécurité en ligne. Ce n est guère surprenant : il est difficile de recruter une équipe entière d experts et coûteux de la conserver. La sécurité de la messagerie électronique, le filtrage du spam, le contrôle du contenu, l archivage, le chiffrement et la continuité sont des processus dont la gestion en interne est longue et coûteuse. Il en va de même pour la sécurité Web et la messagerie instantanée sécurisée. Il y a une surenchère permanente de la part des cybercriminels. Les menaces évoluent et se multiplient constamment et, excepté pour les sociétés spécialisées dans la sécurité informatique, il peut s avérer très difficile de suivre une telle évolution. Il suffit aux cybercriminels d avoir de la chance une seule fois, alors que vous devez avoir de la chance à chaque fois. Les départements informatiques à travers le monde sont contraints de réduire les coûts et de maximiser les investissements dans les technologies à la base de la croissance de leur entreprise. L externalisation de ces services à un prestataire spécialisé peut améliorer la sécurité, faire baisser les coûts et libérer des ressources internes pour les consacrer au coeur de métier de l entreprise. Sur un marché de plus en plus saturé, il peut s avérer difficile de choisir entre les divers fournisseurs et d être assuré de bénéficier des avantages attendus. Le prix n est qu un élément de l équation. Après tout, personne ne demande le neurochirurgien le moins cher. C est pourquoi nous avons conçu ce guide d achat : pour aider les entreprises à évaluer les différents fournisseurs et services et à choisir le plus apte à répondre à leurs besoins. 1 See also US research: article/489131/security_tops_it_budget_priorities 2 Figures for March 2009 from MessageLabs Intelligence 3 Security Breaches Survey: 1

5 1. La sécurité hébergée est-elle adaptée à notre entreprise? La sécurité hébergée est une solution valable pour la plupart des entreprises. Les services de Symantec.cloud garantissent des systèmes de messagerie et des sites Web sains aux entreprises de tous secteurs et de toutes tailles (d une start-up de 5 personnes à une multinationale du Fortune 500). Mais certains indicateurs suggèrent que l adoption d une solution de sécurité hébergée peut générer des économies et des avantages immédiats. En voici quelques-uns : La sécurité est une question prioritaire pour votre entreprise.. Par exemple, vous devez vous conformer aux réglementations de votre secteur ou à la législation en matière de protection des données. Ou votre protection actuelle a été mise à l épreuve et le résultat n a pas été concluant. Vous voulez bénéficier de la meilleure sécurité possible, mais vous ne disposez pas des ressources nécessaires pour faire face à la surenchère permanente des spammeurs et auteurs de programmes malveillants? L intervention d une société de sécurité spécialisée peut être d une aide précieuse. Votre système est difficile à gérer. Vous passez énormément de temps à vous occuper de vos systèmes de messagerie électronique et de sécurité Web? Vous disposez d un ensemble hétéroclite de solutions de protection contre les programmes malveillants, d anti-spam, de filtrage de contenu, d archivage, de chiffrement et de continuité? Vous avez des difficultés à générer des rapports précis? Les utilisateurs se plaignent du spam, des messages mis en quarantaine par erreur ou des programmes malveillants? La sécurité hébergée peut répondre à ces préoccupations et réduire la charge administrative. Les systèmes redondants reviennent cher.. Avez-vous plusieurs sites qui ont chacun leur groupe de serveurs de sécurité sur site? Chaque groupe de serveurs est-il dupliqué pour assurer la continuité des activités? L externalisation élimine une grande partie de ce problème de duplication sans pour autant nuire au niveau de sécurité ou de disponibilité. La pression pour réduire les coûts est énorme. Le département informatique de votre entreprise est-il contraint de faire plus avec un budget identique ou réduit? La sécurité hébergée peut réduire le coût total de la sécurité à long terme, plus particulièrement lorsque les coûts d achat et de maintenance du matériel et les coûts réels de la maind oeuvre sont pris en compte. Des contrats de niveau de service doivent être établis. Les sociétés de sécurité hébergée vont établir des contrats de niveau de service robustes pour leurs services, qui couvrent des aspects tels que la disponibilité ou la détection du spam et des programmes malveillants. Elles vont permettre aux départements informatiques internes d offrir ces accords de niveau de service à l entreprise dans son ensemble. 2. Quels sont les problèmes que nous essayons de résoudre? Vous ne voulez pas payer pour des services dont vous n avez pas besoin, mais il vous faut un service qui peut évoluer en même temps que vos besoins. Les services de sécurité hébergée couvrent généralement les domaines suivants : Courrier électronique : protection contre les programmes malveillants, filtrage du contenu, filtrage du spam, chiffrement, continuité, archivage Internet : protection contre les programmes malveillants, filtrage du contenu Messagerie instantanée : sécurité, filtrage du contenu Etudiez soigneusement les problèmes auxquels votre entreprise est confrontée et les domaines dans lesquels vous pouvez déployer une solution de sécurité hébergée. Assurezvous que les fournisseurs potentiels proposent une gamme complète de services qui vous seront utiles dès aujourd hui mais également dans un avenir proche. 2

6 3. Existe-t-il des analyses objectives et indépendantes de la sécurité hébergée? L activité SaaS (Software as a Service), dans laquelle les services sont externalisés et fournis via Internet, n est plus une nouveauté. Selon Gartner, neuf entreprises sur dix envisagent d accroître l utilisation d une solution SaaS 4 et près de la moitié (40 %) l utilisent depuis au moins trois ans. Lorsque vous évaluez les options de sécurité hébergée, consultez une analyse objective (telle que le Magic Quadrant de Gartner) pour connaître les entreprises proposant la meilleure technologie et le meilleur service. Par ailleurs, reportez-vous aux références et aux études de cas dans votre secteur et aux distinctions professionnelles. Recherchez également une analyse objective de l offre de sécurité proposée. Par exemple, Symantec.cloud a commandé une étude indépendante à John Leach 5 afin de comparer divers produits antivirus du commerce aux services de Symantec.cloud. 4. Comment évaluer un fournisseur de solutions de sécurité hébergée? Il existe un certain nombre de fournisseurs de services de sécurité hébergée. Quels aspects faut-il prendre en compte pour les évaluer? Symantec.cloud vous recommande de comparer les points suivants : Contrats de niveau de service, notamment en ce qui concerne la disponibilité, la détection des virus et du spam, etc. Quelle compensation le fournisseur offre-t-il s il ne parvient pas à respecter ses engagements? Support. Quels niveaux de support le fournisseur propose-t-il? Le support est-il disponible 24h/24 et 7j/7? Dans différentes langues? Quelle proportion de questions sont résolues dès le premier appel? Provenance et priorités. Chaque fournisseur a sa propre histoire et ses priorités. Par exemple, Symantec.cloud est un pionnier de la sécurité hébergée du courrier électronique. Les prix sur le long terme. Le facteur prix est important mais un prix très faible la première année peut être contrebalancé par des prix plus élevés les années suivantes. Vous devez connaître le prix à long terme du service. Fidélité de la clientèle. Quelle proportion de clients reste fidèle au fournisseur sur plusieurs années? Faites preuve d indulgence à l égard des sociétés relativement nouvelles sur le marché lorsque vous examinez cette question. Sécurité financière. Quelles sont les chances pour que la société soit encore sur pied dans les années à venir? S agit-il d une société cotée en bourse? Quelles informations financières publie-t-elle? Références. Le fournisseur a-t-il des clients de référence avec des besoins similaires aux vôtres? 5. Quels sont les points les plus importants à prendre en compte pour la sécurité? Lorsqu il est question de protéger votre entreprise, l approximatif n a pas sa place. Evaluez les fournisseurs en fonction de leur engagement en matière de sécurité : Fiabilité. Leur technologie est-elle efficace? Quels niveaux de service proposent-ils pour la détection du spam et des virus? Dépendent-ils de produits d analyse tiers uniquement ou possèdent-ils aussi leur propre technologie pour l analyse des messages électroniques et des sites Web? The Accuracy Project, décembre

7 Recherche sur les menaces. Possèdent-ils leur propre département de recherche sur les menaces? Son financement est-il suffisant? Publient-ils les résultats de leur recherche? Quelle réputation ont leurs chercheurs et analystes dans l ensemble du secteur? Analyse des menaces convergentes. Le fournisseur est-il en mesure de vérifier si les liens intégrés dans les messages électroniques renvoient à des sites Web frauduleux? Faux positifs. Lorsqu un message légitime est classé par erreur dans la catégorie spam, il est possible qu il n atteigne pas son destinataire. C est une défaillance. Quels niveaux de service le fournisseur propose-t-il à l égard des faux positifs? Comment les faux positifs sont-ils traités? Les utilisateurs peuvent-ils accéder à une file d attente et débloquer les messages eux-mêmes? Validation par des tiers. Le service du fournisseur est-il assorti d un label de sécurité tiers, tel que le label CCT (CSIA Claims Tested)? 6. Comment évaluer une solution de sécurité hébergée d un point de vue technique? Au-delà des services eux-mêmes, il vous faut étudier l entreprise qui les fournit et notamment les points suivants : Envergure. Le fournisseur dispose-t-il des ressources nécessaires pour garantir la continuité de l activité? Combien de clients a-t-il? Combien de datacenters exploite-t-il? Continuité. Quels sont les plans de continuité en place? Quel sort votre système de messagerie électronique ou accès Internet va-t-il subir en cas d inondation d un de ses datacenters? Brevets. L entreprise possède-t-elle des brevets et une technologie exclusive à l appui de ses allégations (et pas seulement un nom de produit ingénieux)? Facilité de gestion. La gestion du service est-elle aisée? Normes internationales. L entreprise possède-t-elle la certification ISO pour la sécurité informatique? Cet audit externe des pratiques de sécurité garantit que vos informations seront toujours protégées pendant qu elles seront à la garde du fournisseur. Facteur humain. La confiance est essentielle. Est-il facile de travailler avec le fournisseur? L appréciez-vous? Est-ce que vous lui faites confiance? Un interlocuteur a-t-il été désigné? 7. Quelles sont les implications financières et commerciales de la sécurité hébergée? Face aux restrictions budgétaires, les départements informatiques doivent démontrer le potentiel de réduction des coûts de tout nouveau projet. Contrairement à de nombreuses innovations, la sécurité hébergée ne nécessite pas de dépenses d investissement initiales. La plupart des fournisseurs travaillent sur la base d un prix fixe par utilisateur. De cette manière, les coûts sont en corrélation avec le nombre d utilisateurs. Il s agit d un coût opérationnel prévisible et non d une dépense d investissement fluctuante. 8. Comment la tarification s effectue-t-elle? Certains hébergeurs proposent une offre fixe de services à un prix défini, tandis que d autres disposent d une gamme d options, ce qui vous permet de choisir les fonctionnalités de votre choix. Lorsque vous comparez les prix, assurez-vous que les offres sont similaires. Inutile de payer des fonctionnalités dont vous n avez pas l utilité. 9. Comment établir une analyse de rentabilité pour la sécurité hébergée? Une proposition commerciale portant sur l introduction d une solution de sécurité hébergée doit inclure les éléments suivants : 4

8 Une analyse des dépenses d investissement et des coûts opérationnels liés à vos systèmes actuels, y compris des coûts cachés tels que l impact du spam sur la productivité et le manque à gagner engendré par l affectation de ressources informatiques rares à l administration des systèmes. Le détail des tâches externalisées à la société de sécurité hébergée, y compris les coûts attendus au fil du temps et les économies prévues. Une analyse des risques qui examine les menaces et les niveaux de sécurité actuels, ainsi que les améliorations prévues une fois le changement effectué. Une proposition quant à la façon dont les économies réalisées sur la main-d oeuvre ou les coûts seront affectées à d autres tâches. Un plan de mise en oeuvre de la solution de sécurité hébergée. Par exemple, que vont devenir les serveurs internes qui ne sont plus utiles? Un calcul du coût total de possession et du retour sur investissement attendus pour s assurer que le projet cadre bien avec les directives de gouvernance d entreprise et qu il apporte un réel changement. 10. Comment la société Symantec.cloud se positionne-t-elle par rapp ort à la concurrence? Symantec.cloud est un pionnier du marché et le leader dans le domaine de la sécurité hébergée. Les raisons de choisir les services de Symantec.cloud sont nombreuses. En voici quelques-unes: Stabilité. Désormais partie intégrante de Symantec, une société de sécurité informatique cotée au NASDAQ (SYMC) avec une capitalisation boursière dépassant les 14 milliards de dollars 6, Symantec.cloud se distingue par sa stabilité financière, ses ressources et son expérience. Confiance. Des millions d utilisateurs dans plus de entreprises dans 86 pays font confiance aux services de Symantec.cloud. ICI, Tesco et Eurostar comptent parmi nos clients. Notre taux de fidélisation des clients est supérieur à 95 %. Expertise. Notre technologie Skeptic propriétaire est en développement depuis Elle est le fruit du travail d experts réputés dans le domaine de la sécurité, comme Mark Sunner, Alex Schipp, Matt Sergeant, Paul Fletcher et Paul Wood. Fiabilité. Symantec.cloud assure un niveau de service de 100 % contre les virus connus et inconnus qui affectent le courrier électronique et fournit des contrats de niveau de service robustes couvrant la disponibilité, le filtrage du spam, etc. Sécurité. Jugez plutôt : Symantec.cloud a obtenu la certification ISO27001 et ses produits ont reçu le label CCT décerné par le gouvernement britannique au travers du CSIA (Central Sponsor of Information Assurance). Le SC Magazine nous a attribué le prix de la meilleure solution de protection contre les programmes malveillants. Et Gartner nous a classés parmi les leaders dans son analyse Magic Quadrant. Support. Le portail ClientNet de Symantec.cloud est appuyé par une assistance téléphonique multilingue 24h/24 et 7j/7 et par un support par courrier électronique avec une présence internationale. 5 5 Market cap correct 25th April 2009

9 Bureaux EUROPE HEADQUARTERS 1270 Lansdowne Court Gloucester Business Park Gloucester GL3 4AB United Kingdom Main +44 (0) Fax +44 (0) Freephone +44(0) DACH Wappenhalle, Konrad-Zuse-Platz 2-5, München, Deutschland Tel +49(0) Support +44(0) NETHERLANDS WTC Amsterdam Zuidplein 36/H-Tower NL-1077 XV Amsterdam Netherlands Tel +31 (0) Fax +31 (0) LONDON 3rd Floor 40 Whitfield Street London, W1T 2RH United Kingdom Main +44 (0) Fax +44 (0) Freephone +44(0) NORDICS Business Center Nord Lyngbyvej Copenhagen Denmark Tel Fax Support FRANCE 17 avenue de l Arche Tour Egée Courbevoie France Tel +33 (0) Support +44 (0) AMERICAS UNITED STATES 512 Seventh Avenue 6th Floor New York, NY USA Toll-Free ASIA PACIFIC HONG KONG Room 3006, Central Plaza 18 Harbour Road Tower II Wanchai Hong Kong Main: Fax: Support: AUSTRALIA Level Kent Street Sydney NSW 2000 Australia Main: Fax: Support: CANADA 170 University Avenue Toronto ON M5H 3B3 Canada Toll-Free SINGAPORE 6 Temasek Boulevard #11-01 Suntec Tower 4 Singapore Main: Fax: Support: JAPAN Akasaka Intercity Akasaka Minato-ku Tokyo Japan Main: Fax: Support:

10

11 About Symantec.cloud More than 31,000 organisations ranging from small businesses to the Fortune 500 across 100 countries use Symantec.cloud s MessageLabs services to administer, monitor and protect their information resources more effectively. Organisations can choose from 14 pre-integrated applications to help secure and manage their business even as new technologies and devices are introduced and traditional boundaries of the workplace disappear. Services are delivered on a highly scalable, reliable and energy-efficient global infrastructure built on 14 data centers around the globe. A division within Symantec Corporation, Symantec.cloud offers customers the ability to work more productively in a connected world. For specific country offices and contact numbers, please visit our website: World Headquarters MessageLabs 1270 Lansdowne Court Gloucester Business Park Gloucester, GL3 4AB United Kingdom +44 (0) Copyright 2011 Symantec Corporation. All rights reserved. Symantec and the Symantec Logo are trademarks or registered trademarks of Symantec Corporation or its affiliates in the U.S. and other countries. Other names may be trademarks of their respective owners. 2/