L’externalisation appliquée au domaine des systèmes d’information s’appelle l’infogérance.
Le recours à l’infogérance présente des avantages (absence de compétences en interne,
flexibilité face aux évolutions du SI ou nécessité de rationaliser les coûts) mais aussi des
risques qu’il convient d’identifier.
L’infogérance peut induire des risques pour le système d’information comme pour les données.
Types d’infogérance
L’infogérance recouvre un large spectre de prestations, classées en trois catégories :
- la gestion d’infrastructures
- la gestion des applications
- l’hébergement de services
Trois grands domaines de risques sont identifiés par l’ANSSI
- risques liés à la perte de maîtrise du système d’information
o le prestataire peut recourir à un sous-traitant voire à une sous-traitance en cascade
o s’assurer que l’ensemble des lieux d’hébergement répondent aux obligations légales et réglementaires et aux exigences de sécurité fixées par le chef d’entreprise
o vérifier que les obligations légales spécifiques aux données à caractère personnelles sont respectées
o les choix techniques du prestataire doivent être en conformité avec les exigences
de sécurité du chef d’entreprise et la réversibilité des données doit être garantie
- risques liés aux interventions à distance
o vulnérabilités liés aux dispositifs de télémaintenance
o intrusion dans le système par une personne non autorisée
o l’abus de droit d’un technicien du prestataire
- risques liés à l’hébergement mutualisé
o perte de disponibilité
o perte d’intégrité
o perte de confidentialité
L’analyse des risques
Cette analyse doit permettre de bien évaluer la nature et la gravité des impacts de l’ensemble
des risques identifiés. Elle peut mettre en évidence le fait que certaines fonctions ou
informations particulièrement sensibles ne doivent pas être externalisées.
Les Chefs d’entreprises doivent être très vigilants dans la rédaction du cahier des charges. Leur
responsabilité est engagée en cas de perte de données à caractère personnel et ils encourent des
sanctions pénales en cas de non respect des dispositions de la loi du 6 janvier 1978 modifiée
relative à l’informatique, aux fichiers et aux libertés.
Ces exigences conduisent à la rédaction d’un document contractuel avec le prestataire : le plan
d’assurance sécurité.
Focus sur une forme particulière d’infogérance :
Le Cloud computing – l’informatique en nuage
Le Cloud est une forme d’infogérance dans laquelle l’emplacement et le fonctionnement du
nuage ne sont pas portés à la connaissance des clients. Le Cloud permet de consommer et
d’acheter des services en utilisant des serveurs informatiques répartis dans le monde entier et lié
à un réseau comme l’Internet. L’avantage consiste pour les utilisateurs à pouvoir accéder de
manière évolutive à de nombreux services en ligne sans avoir à gérer l’infrastructure
informatique.
Le Cloud s’articule autour de 4 critères clés :
- la mutualisation des ressources
- le paiement à l’usage
- la modularité
- la standardisation des fonctions proposées.
Le Cloud doit être parfaitement encadré juridiquement notamment sur les risques ayant trait :
- à la localisation des données
- à la disponibilité des données
- à la conformité légale
- à la confidentialité
- à la sécurité des données
- à la perte de maîtrise de son SI
- à la mutualisation des ressources
Comme le souligne l’ANSSI, il est plus difficile de se prémunir de ces risques que dans
l’infogérance classique. En effet, le client souscrit le plus souvent à des offres par validation
d’un contrat type, qu’il est souvent impossible de personnaliser en y intégrant des clauses
particulières en matières de sécurité.
source : " Externalisation des systèmes d’information ou infogérance" Document réalisé par le Comité Opérationnel de Sécurité Économique france; disponible sur :http://www.veille.ma
Aucun commentaire:
Enregistrer un commentaire
ajouter votre commentaire: n'oubliez pas votre commentaire nous intéresse