Quelle sécurité à l’heure de l’ouverture du SI ?

Il n&rsquo;y a plus de doute, l&rsquo;information est aujourd&rsquo;hui au cœur des organisations et son &laquo; partage &raquo; est devenu incontournable&hellip; &Eacute;changer l&rsquo;information avec ses clients, ses fournisseurs ou ses pairs, c&rsquo;est bonifier la qualit&eacute; de ses donn&eacute;es, am&eacute;liorer ses processus, &ecirc;tre plus efficace dans son business, etc. Autrement dit, la question n'est plus &laquo; Doit-on &ldquo;ouvrir&rdquo; son SI ? &raquo;, mais &laquo; Comment l'ouvrir de la fa&ccedil;on la plus s&eacute;curis&eacute;e possible et avec le moins d&rsquo;impact sur les aspects fonctionnels ? &raquo;. &Agrave; l&rsquo;heure du cloud, de l&rsquo;externalisation, de l&rsquo;ouverture grandissante des syst&egrave;mes et des &eacute;changes, les risques pesant sur l&rsquo;information ont &eacute;volu&eacute;. La &laquo; cha&icirc;ne &raquo; composant l&rsquo;information n&rsquo;est plus seulement interne ; elle repose maintenant sur des partenaires (fournisseurs ou sous-traitants), certains pouvant &ecirc;tre critiques (par exemple un h&eacute;bergeur informatique, un &eacute;diteur d&rsquo;une application RH en SaaS, etc.) pour l&rsquo;organisation (on parle alors de Prestataires de services externes essentiels &ndash; PS2E). Dans ce cadre, il est primordial de se poser quelques bonnes questions pour s&eacute;lectionner les bons &ndash; les meilleurs&hellip; &ndash; partenaires du point de vue de la s&eacute;curit&eacute; de l&rsquo;information. Toutefois, l&rsquo;exp&eacute;rience montre que si les m&eacute;canismes de s&eacute;lection des prestataires r&eacute;pondent toujours &agrave; des exigences fonctionnelles (ce qui est normal), la s&eacute;curit&eacute; de l&rsquo;information en est souvent le parent pauvre, quand elle n&rsquo;en est pas totalement exclue&hellip; &Agrave; ce titre, les chiffres identifi&eacute;s dans l&rsquo;&eacute;dition 2018 de l&rsquo;&eacute;tude MIPS [1] du CLUSIF [2] sont &eacute;vocateurs. Bien que pr&egrave;s de la moiti&eacute; des entreprises de plus de 100 salari&eacute;s (44 %) disent avoir plac&eacute; tout ou partie de leur syst&egrave;me d&rsquo;information sous contrat d&rsquo;infog&eacute;rance (externalisation de tout ou partie de son syst&egrave;me informatique chez un prestataire tiers), seules 62 % d'entre elles exercent un suivi r&eacute;gulier de cette infog&eacute;rance gr&acirc;ce &agrave; des indicateurs de s&eacute;curit&eacute; de l&rsquo;information et 45 % font des audits sur cette infog&eacute;rance. De m&ecirc;me, 48 % des entreprises ont recours &agrave; des solutions en cloud (priv&eacute; &agrave; 44 %, public &agrave; 18 % et hybride &agrave; 31 % ; les 7 % restants &laquo; ne savent pas &raquo; !), mais 23 % seulement ont d&eacute;fini une &laquo; politique d&rsquo;utilisation du cloud &raquo; identifiant les crit&egrave;res li&eacute;s au choix d&rsquo;un partenaire (voir Sch&eacute;ma 1). Au final, dans une majorit&eacute; des cas, le RSSI [3] n&rsquo;est g&eacute;n&eacute;ralement pas consult&eacute; par les m&eacute;tiers pour le choix du prestataire&hellip; Ces donn&eacute;es montrent le chemin restant &agrave; parcourir sur ces sujets, du point de vue de la s&eacute;curit&eacute; de l&rsquo;information&hellip; Et le risque dans tout cela ? En s&eacute;curit&eacute; de l&rsquo;information, le risque se d&eacute;finit comme la composante d&rsquo;une menace pesant sur un bien qui serait vuln&eacute;rable. Deux exemples sont pr&eacute;sent&eacute;s dans le Sch&eacute;ma 2. Les biens (avec leurs vuln&eacute;rabilit&eacute;s) et les menaces sont multiples et quasi infinis. De ce fait, les risques pesant sur l&rsquo;information le sont aussi. Alors, concr&egrave;tement, quels sont les risques li&eacute;s &agrave; une gestion &laquo; al&eacute;atoire &raquo; des partenaires ? Dans notre exemple, les &laquo; biens &raquo; correspondent aux partenaires (ou aux services produits par eux), alors voyons ce qu&rsquo;il en est des vuln&eacute;rabilit&eacute;s et des menaces. Le Tableau 1 en pr&eacute;sente quelques-unes, &agrave; valeur d&rsquo;exemple. Par ailleurs, lorsqu&rsquo;un risque est av&eacute;r&eacute; (par exemple si l'inondation survient&hellip;), il aura un impact en termes de DICP (disponibilit&eacute;, int&eacute;grit&eacute;, confidentialit&eacute; et preuve, incluant la tra&ccedil;abilit&eacute;) sur le &laquo; syst&egrave;me &raquo; impact&eacute;. Cet impact implique, quant &agrave; lui, une cons&eacute;quence pour l&rsquo;entreprise qui entra&icirc;nera une perte sur un ou plusieurs des domaines suivants : financier, juridique, social, etc. Alors, comment faire pour identifier, au mieux, les risques que font peser les fournisseurs/partenaires (a minima les plus critiques) sur une entreprise ? Pour cela, rien de mieux que de r&eacute;aliser une analyse des risques. L&rsquo;utilisation d&rsquo;une m&eacute;thodologie &eacute;prouv&eacute;e est ici un r&eacute;el plus. En effet, la m&eacute;thode apporte exhaustivit&eacute; et pertinence et garantit un r&eacute;sultat reproductible dans le temps (eh oui, il ne faut pas oublier qu&rsquo;un risque &eacute;volue !). En France, les trois principales m&eacute;thodologies d&rsquo;analyse des risques utilis&eacute;es sont MEHARI, EBIOS et ISO 27005. Mais nous ne nous attarderons pas ici sur les concepts et les diff&eacute;rences entre ces m&eacute;thodes (ce n&rsquo;est pas notre sujet du jour&hellip;). Une fois les risques identifi&eacute;s de fa&ccedil;on exhaustive et classifi&eacute;s par ordre de criticit&eacute;, la question est de savoir comment les g&eacute;rer. Quelles sont les bonnes pratiques &agrave; mettre en œuvre ? Deux aspects sont &agrave; prendre en compte : que faire pour les partenaires d&eacute;j&agrave; existants et pour ceux &agrave; venir ? En amont, il sera important de formaliser des proc&eacute;dures de &laquo; gestion des fournisseurs &raquo;, vu de la s&eacute;curit&eacute; de l&rsquo;information : comment les choisit-on, quel suivi assure-t-on et comment les contr&ocirc;le-t-on ? Cela peut, par exemple, se traduire par la formalisation d&rsquo;un PAS (Plan d&rsquo;assurance s&eacute;curit&eacute;) identifiant toutes les exigences de l&rsquo;entreprise au regard de la s&eacute;curit&eacute; de l&rsquo;information, mais aussi les actions de suivi (comit&eacute; s&eacute;curit&eacute;, audit, etc.) qui la lie &agrave; son partenaire. Pour les partenaires existants, l&rsquo;analyse des risques doit permettre d&rsquo;identifier le niveau de criticit&eacute; au regard du fonctionnement de l&rsquo;entreprise. Pour les plus critiques (PS2E), il faudra analyser les contrats et v&eacute;rifier qu&rsquo;ils sont en coh&eacute;rence avec les proc&eacute;dures de &laquo; gestion des fournisseurs &raquo;. Si ce n&rsquo;est pas le cas (par exemple, absence de clause d&rsquo;auditabilit&eacute;), il faudra soit essayer de n&eacute;gocier en cours de contrat la modification de ce dernier, soit le faire au moment du renouvellement ou de la remise en concurrence. Bien entendu, il n&rsquo;est pas toujours possible de faire &eacute;voluer certains contrats, en particulier quand le partenaire est une grande soci&eacute;t&eacute; ou une entreprise en situation de monopole&hellip; Pour les partenaires &agrave; venir, il est important, autant que faire se peut, de travailler avec le RSSI et de formaliser un cahier des charges identifiant les exigences en mati&egrave;re de s&eacute;curit&eacute; de l&rsquo;information. La validation finale du choix du partenaire devra tenir compte de ces exigences. Enfin, parmi les grands principes &agrave; ne pas oublier : &laquo; La confiance n&rsquo;emp&ecirc;che pas le contr&ocirc;le &raquo; ! Bien entendu, il n&rsquo;est pas possible de travailler sereinement sans confiance ; pour autant, les partenaires les plus sensibles doivent aussi &ecirc;tre suivis par l&rsquo;entreprise, afin de maintenir (voire d&rsquo;am&eacute;liorer) en permanence le niveau de s&eacute;curit&eacute; mis en œuvre sur les donn&eacute;es que vous leur confiez ou sur les interconnexions entre vous et eux. 1 &laquo; Menaces informatiques et pratiques de s&eacute;curit&eacute; en France &raquo;, &eacute;tude bisannuelle sur la s&eacute;curit&eacute; de l&rsquo;information dans diff&eacute;rents secteurs (entreprises priv&eacute;es, h&ocirc;pitaux, collectivit&eacute;s territoriales, internautes). Version 2018 : https://clusif.fr/publications/menaces-informatiques-pratiques-de-securite-france-edition-2018-rapport/. 2 Club de la s&eacute;curit&eacute; de l&rsquo;information fran&ccedil;ais. Premi&egrave;re association fran&ccedil;aise ayant pour finalit&eacute; d&rsquo;agir pour la s&eacute;curit&eacute; de l&rsquo;information (https://clusif.fr/). 3 Responsable de la s&eacute;curit&eacute; des syst&egrave;mes d'information.

RECHERCHEZ UN ARTICLE, UNE CHRONIQUE, PARMI L'ENSEMBLE DES PUBLICATIONS

RECHERCHEZ UN AUTEUR

Archive

Relations avec des tiers

Quelle sécurité à l’heure de l’ouverture du SI ?

Prestataires, fournisseurs, sous-traitants, recours au cloud… l’ouverture du système d’information (SI) est aujourd’hui inéluctable. Mais qu’en est-il de la sécurité de l’information ?

À retrouver dans la revue

Paiements

Chahuté, Worldline se bouge

Macro-économie

Dette et déficit publics : comment éviter le précipice

Paiements

DeluPay, une appli alternative aux cartes de paiement

Services financiers spécialisés

Le leasing, notre meilleur atout pour une mobilité décarbonée

Archive

Panorama réglementaire des actifs numériques

Archive

Sberbank : une valeur anéantie à zéro en fonds de portefeuille

Archive

La transformation repose sur des directions responsables et des équipes pluridisciplinaires

Suivez-nous