« Infogérance à distance » et sécurité des entreprises…

1 – Quelques récentes affaires sont susceptibles d’inciter des risks managers, DSI, RSSI et chefs d’entreprises à s’interroger à nouveau sur les risques liés à l’externalisation de prestations informatiques (cf. article sur les sous-traitants), surtout si elles sont concernées par des contrats « d’infogérance à distance » (infogérance globale ou partielle) . . .

2 – Mal évaluées au niveau du risque, ces « connexions à distance » de prestataires sur le réseau d’information et de communication d’une entreprise cliente peuvent révéler des vulnérabilités.

Naturellement, ces risques sont amplifiés si l’entreprise cliente présente une sensibilité particulière quant aux informations qu’elle détient (informations « classifiées défense » ou « simplement » sensibles comme des « données à caractère personnel » notamment).

3 – La question se pose donc de savoir si le risque consécutif à cette externalisation (et gestion à distance) a été bien évalué et si les éventuelles vulnérabilités induites ont été prises en compte :

• Vulnérabilité de l’entreprise cliente au niveau de son périmètre général (cf. post « « SECURITE » : CRISE, PARADOXES, PROTECTION DES SAVOIR-FAIRE … ET SOUS-TRAITANT : LE MAILLON FAIBLE ?)

• Brèche dans le périmètre du système d’information de l’entreprise cliente.


 

4 – S’il n’existe aucun doute quant au professionnalisme des juristes et techniciens chargés de l’élaboration des liens contractuels et de la mise en œuvre de la sécurité informatique, (Les différents types de contrats ne seront pas évoqués, comme les mesures techniques de sécurité qui sont multiples et directement liées à la configuration des réseaux et des flux), certains points méritent certainement d’être soulignés compte tenu :

–          de la sensibilité particulière de certains secteurs d’activité et d’un grand nombre d’entreprises,

–          de l’évolution de la loi et de la jurisprudence en terme de responsabilités.

5 – L’objectif de cette synthèse d’étude est donc de poser les questions qui s’imposent dans de telles situations afin d’attirer l’attention sur d’éventuelles « vulnérabilités » mal maîtrisées en terme de sécurité/sûreté et de participer à l’approche d’ « évaluation des risques ».

6 – Pourquoi s’inquiéter ?!


 

–          61 – Certaines informations traitées par l’entreprise cliente revêtent un caractère particulièrement sensible.

–          62 – Elles peuvent être « classifiées défense » et, dans ce cas, relèvent des dispositions de l’Instruction Générale Interministérielle sur la protection du secret de la défense nationale (1300 /SGDN/PSE/SSD du 25 août 2003) détaillant notamment l’organisation générale de la protection et la répartition des compétences, l’habilitation des personnes, la protection des informations … Par ailleurs, les conditions de protection du secret et des informations concernant la défense nationale et la sûreté de l’Etat dans les contrats sont décrites par l’arrêté du 18 avril 2005.

–          63 – Ces informations peuvent être des « données à caractère personnel » (anciennement appelées « données nominatives »). Dans ce cas, la loi informatique et libertés (du 6 janvier 1978 modifiée par la loi du 6 août 2004) impose une « obligation de protection » (article 226-17 du code pénal) par « toutes précautions utiles »  et prévoit même une responsabilité en cas de simple imprudence ou de négligence.  La jurisprudence applique la notion de « bon père de famille » qui peut être ainsi déclinée :

o        des mesures logicielles et techniques (authentification des utilisateurs par un mot de passe individuel, firewall, antivirus, fichiers de journalisation des connexions et conservation des données (cf 72, 73, 74, 75…),

o        des mesures organisationnelles (politique de sécurité (cf 71) , formation/sensibilisation (cf 8), charte (cf. 8), plans sauvegardes…),

o        des mesures juridiques (Cf 76, 77, 78).

–          64 – Il est peut-être utile de rappeler que le responsable du traitement de données reste le client (gestionnaire dans ce cas) et assure de ce fait toutes les obligations légales afférentes au respect de la sécurité des données personnelles. C’est à l’entreprise cliente de prescrire au prestataire les mesures de sécurité que celui-ci doit respecter. En cas de problème, c’est la responsabilité pénale du client qui sera recherchée.

–          65 – La délégation de pouvoir impose notamment un cadre de relations hiérarchiques organisées. Elle ne peut s’appliquer entre une société cliente et le salarié d’un tiers. Le fait d’ « infogérer » tout ou partie du SI ne décharge par les préposés de l’entreprise cliente de leur propre responsabilité.

–          66 – La responsabilité civile respective de l’infogérant et du client est régie par le contrat.

7 – Les questions essentielles :

Les moyens mis en oeuvre sur les systèmes d’information du prestataire utilisés pour s’interfacer avec le système d’information de l’organisme ne sont pas nécessairement adaptés, cohérents, voire compatibles, avec les moyens de sécurité déjà en place. Les personnes utilisant et manipulant le système d’information ne sont pas toujours connues de l’organisme. Sur le plan technique, les « privilèges d’accès » accordés au prestataire pour réaliser sa tâche sont, en général, particulièrement étendus en terme de sécurité et peuvent être utilisés pour s’introduire dans l’intégralité du système d’information.

–          71 – Dans l’élaboration de sa politique globale de sécurité, l’entreprise cliente a-t-elle prise en compte le périmètre GENERAL de sa structure ? Ce périmètre comprend l’entreprise dans son intégralité, les services excentrés, les partenaires contractuels, sous-traitants concernés par la chaîne de confidentialité…  (Pour mémoire, la POLITIQUE DE SECURITE (défense) dans l’entreprise est l’ensemble,  formalisé dans un DOCUMENT APPLICABLE, des directives, procédures, codes de conduire, règles organisationnelles et techniques, ayant pour objectif la protection du patrimoine informationnel de l’entreprise). Dans le cas présent, ce périmètre est important car il influence les  « brèches » dans le périmètre du systèmes d’information, espace de responsabilité. Une connexion à distance dans un système d’information doit être considéré comme un vulnérabilité supplémentaire et prise en compte (technique et organisationnelle – cf. 63) ) comme telle.

–          72 – Pour quel motif précis et quand cet accès direct peut-il être utilisé ?

–          73 – Qui a le droit d’utiliser cet accès direct (nominativement) ? (habilitations bien définies (cf.62), codes d’accès strictement personnels, engagement contractuel de confidentialité de ces codes, mise en œuvre d’une authentification forte ?, obligation pour le prestataire d’informer immédiatement de l’existence d’une fraude). Comment peut-on être sûr que cette entreprise ne va pas sous-traiter la maintenance à distance ? (moyens techniques, contractuels)

–          74 – A quoi ont accès ceux qui utilisent cet accès direct ? (limites d’accès dans le système d’information). Accès à des données classifiées ? DCP ? Périmètre technique défini par contrat et par mesures techniques (cf 62) ?

–          75 – Garde-t-on la trace de ces données de connexion ? (date, heure, identification / authentification, navigation, importation/exportation, modifications …) (Administration de la preuve numérique – traçabilité, imputabilité – Cf 63)

–          76 – L’entreprise cliente  s’est-elle impliquée directement dans l’organisation de la sécurité du prestataire et de cette connexion à distance (Cf 64) ?

–          77 – Cette  stratégie de protection/défense  peut notamment se développer autour  de  (Cf 63) :

o        la vérification régulière de la crédibilité, de la solvabilité et de la fiabilité des futurs partenaires et le suivi de l’évolution de ces paramètres (stratégie de veille),

o        la stratégie organisationnelle et l’élaboration d’un document de référence «politique de protection des informations» confiées à l’organisme (notamment les informations présentant une classification ou une mention particulière de protection) (stratégie organisationnelle),

o        la contractualisation de l’engagement des parties vis-à-vis des informations échangées (contrôle de l’absence de codes malveillants, règles de protection physique et logique des supports d’information et des moyens de connexion et de communication), stratégie organisationnelle développée pour lutter notamment contre le risque opérationnel,  appliquées en interne, le support d’échange et les moyens de protection contre la divulgation, l’intégrité …, et la vérification régulière de ces moyens (stratégie de sécurité juridique).

–          78 – Ces contrats devraient comprendre un volet SSI qui spécifie clairement les engagements du prestataire et de chacun de ses personnels concernés. Ils devront notamment spécifier très précisément :

o        Le périmètre et contenu exact des prestations attendues (obligation de moyens ou de résultat lorsque la reprise d’activité est essentielle),

o        les exigences de sécurité avec engagement du prestataire, la confidentialité, l’imputabilité d’éventuels incidents (traçabilité), la continuité du service, le délai de reprise, en cas de panne, une éventuelle clause de non retour des disques durs défectueux,

o        les procédures de contrôle du respect de ces exigences,

o        la possibilité d’évolution des exigences et des procédures, en conformité avec une évolution de la politique de sécurité ou de ses déclinaisons opérationnelles, et l’obligation pour le prestataire de se conformer à ces évolutions,

o        Les obligations des parties à l’égard de la loi informatique et libertés,

o        La prévision de l’évolution du contrat, la réversibilité (clause de retour) et les clauses de fin de contrat,

o        la nature des responsabilités et convention de preuve.

8 – Par ailleurs, outre la charte d’utilisation du système d’information et d’échange de données,  dont le canevas doit répondre à certaines exigences, des séances de sensibilisation/formation devraient être régulièrement organisées pour l’ensemble des personnels concernés (dés la mise en œuvre, puis tous les 2 ans au maximum), sur :

–          l’éthique (sens des responsabilités, respect de l’intérêt général, objectif d’atteindre une démarche de sécurité proactive),

–          la culture sécurité/sûreté (sécurité du système d’information / sûreté aéroportuaire), le traitement des incidents,

–          la culture juridique (droits et devoirs des acteurs de l’entreprise face au système d’information et aux données sensibles).

 

9 – Enfin, dans une démarche d’ « intelligence économique territoriale » (I.E.T.), encadré par une circulaire du ministère de l’Intérieur du 13/9/2005,  le plan régional de sécurité économique doit permettre d’identifier et d’accompagner les « entreprises sensibles ».

 

L’objectif de ce plan de sécurité est notamment d’impliquer les structures institutionnelles (services du Minefi, DCRI, Gendarmerie…) dans l’évaluation du niveau de protection des entreprises et dans la sensibilisation des responsables aux enjeux de l’intelligence économique.

 

Cette action semble aujourd’hui s’étendre tout naturellement à un grand nombre de PME qui, bien que n’étant pas concernées directement par l’un des secteurs stratégiques initialement prévus, présente tout de même une certaine sensibilité (d’origine interne ou externe).

 

Joseph Triquell

Publicités

3 réflexions au sujet de « « Infogérance à distance » et sécurité des entreprises… »

  1. Bonjour,

    Et le risque premier est la méconnaissance par les administrateurs en place de la configuration réelle de la sécurité et des droits d’accès du système d’information. Dans certaines situations, j’ai pu voir qu’en fait l’infogérance de certains systèmes avait amené le niveau de sécurité global a être baissé localement pour un projet pourtant stratégique pour l’entreprise, à cause de prestataires d’infogérance divers et non coordonnés par la DSI de l’entreprise.

    E.F.

    1. tout à fait de cet avis aussi,
      d’ailleurs, certaines DSI restent enfermées dans le strictement « technique » et peinent à s’intégrer dans une stratégie GLOBALE de protection de l’entreprise, stratégie dans laquelle la DSI doit être le moteur d’ailleurs, comme le prône d’ailleurs le CIGREF depuis quelques années.

  2. […] Le client reste le responsable du traitement de données et assure de ce fait toutes les obligations légales afférentes au respect de la sécurité des données personnelles. C’est en effet à l’entreprise cliente de prescrire au prestataire les mesures de sécurité que celui-ci doit respecter. En cas de problème, c’est la responsabilité pénale du client qui sera recherchée. (Cf post sur ce blog :  «Infogérance à distance » et sécurité des entreprises») […]

Répondre

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion /  Changer )

Photo Google

Vous commentez à l'aide de votre compte Google. Déconnexion /  Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion /  Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion /  Changer )

Connexion à %s