2. Vaut-il mieux choisir un seul vendeur de sécurité stratégique, ou plutôt rassembler les meilleures solutions de différents constructeurs ?
Dossier par Vivien Derest avec IDG news service, 610 mots
Un grand débat émerge alors que Cisco et d'autres visent à s'approprier le domaine de la sécurité. Est-il préférable de choisir un seul vendeur de sécurité stratégique, ou vaut-il mieux assembler les meilleures solutions proposées par différents constructeurs ?
Le grand débat ces derniers temps est de savoir s'il est préférable de choisir un vendeur de sécurité stratégique qui apporte la majorité des produits de sécurité et de services dont l'entreprise pourrait avoir besoin, ou d'opter plutôt pour différents produits spécifiques, ce qui inclut ceux proposés par des starts-up ?
Pas d'avantage en termes d'intégration
« Ma préférence irait à un seul vendeur stratégique. », avance Rick Haverty, directeur de l'infrastructure des systèmes d'informations au centre médical de l'Université de Rochester. Cisco est le vendeur réseau stratégique pour l'URMC (Centre Médical de l'Université de Rochester), qui vient de retenir IronPort, une appliance de filtrage Web, et filiale de Cisco.
Mais il ajoute ne pas avoir encore vu l'avantage qu'avoir un vendeur unique est supposé apporter en termes d'intégration des produits, comme une console de gestion commune par exemple. « Ils n'en sont tout simplement pas encore là », estime-t-il.
Des solutions de chiffrement spécialisées
Quoi qu'il en soit, l'URMC cherche aussi des produits spécialisés afin de pourvoir aux besoins de l'organisation, se tournant vers des vendeurs de sécurité tels que Voltage pour le chiffrement des e-mails avec ses partenaires commerciaux, ou Check Point pour son chiffrement PointSec complet du disque dur des postes de travail. Rick Haverty considère n'avoir à faire que des choix pragmatiques pour la sécurité de l'entreprise, tout simplement.
Autre cas, Brad Blake, le directeur IT du centre médical de Boston, annonce que le point de vue de son employeur, est de prendre les meilleurs produits spécialisés pour les applications cliniques, mais de préférer un vendeur stratégique (ou deux) en ce qui concerne la sécurité.
Un budget allégé ?
La raison principale selon lui est que l'approche d'un vendeur stratégique de sécurité peut aider à réduire le budget, et donne l'avantage d'une plateforme de gestion commune.
Photo : IDG News Service
Le centre médical de Boston considère que McAfee est un vendeur stratégique car il utilise son large portefeuille de produits de sécurité et sa console ePolicy Orchestrator pour les piloter.
ArcSight est aussi considéré comme un vendeur critique car sa plateforme de gestion de la sécurité de l'information peut combiner les journaux d'historiques en provenance de plusieurs sources afin de les analyser.
Demande à être convaincu
Bien que le centre Médical de Boston ressemble un peu à un "Magasin Cisco", le fournisseur de soins n'a pas été assez impressionné jusqu'ici pour adopter jusqu'aux produits sécurité Cisco.
George Japak, patron d'ICSA Labs, qui teste une gamme variée de produits de sécurité, déclare que Cisco empile les couches de pare-feu et d'antivirus à l'intérieur des commutateurs et des routeurs. De plus en plus, les plus grosses entreprises dépendantes des équipements Cisco choisissent ce constructeur de manière à réduire la complexité de leurs réseaux.
Toujours garder une alternative
Mais il soutient qu'on ne peut pas donner de passe-droits aux vendeurs stratégiques de sécurité et qu'ils doivent rester responsables de toutes les nouvelles fonctionnalités de sécurité qu'on leur confie. « Vous pouvez avoir un vendeur principal de sécurité tout en en gardant d'autres dans votre manche. », résume George Japak.
Gaby Dowling, responsable de la sécurité IT pour le cabinet d'avocats Proskauer Rose, pense qu'il n'est pas logique de considérer quoi que ce soit comme étant "stratégique" si le vendeur et le produit ne peuvent s'adapter rapidement à un environnement de menaces évolutif. « Juste le fait que différents produits viennent du même vendeur ne veut pas forcément dire qu'ils vont bien s'intégrer, selon mon expérience. », conclut-elle.
Illustration : D.R.
- I. 1. Devez-vous surveiller vos employés de près ?
- II. 2. Vaut-il mieux choisir un seul vendeur de sécurité stratégique, ou plutôt rassembler les meilleures solutions de différents constructeurs ?
- III. 3. A quel point devons-nous avoir peur des statistiques de sécurité ?
- IV. 4. Les questions de sécurité retardent-elles l'adoption du Cloud computing ?
- V. 5. L'informatique mobile est-elle le talon d'Achille de votre politique de sécurité ?
- VI. 6. Comment gérer les risques qui viennent des réseaux sociaux ?
- VII. 7. Les processus de sécurité pourront-ils être finalement automatisés ?