La migration vers le cloud qui augmente de 24,5%. Cette actualité va imposer un changement de paradigme en termes de sécurité, un cadre devant être mis en place afin d’assurer la protection des données en dehors du périmètre de l’entreprise (externalisation).
Numeum, l’organisation professionnelle de l’écosystème numérique en France, estime la taille du marché du numérique à 60,9 milliards d’euros en 2022, en croissance de 7,5% par rapport à 2021. Si les éditeurs de plateformes cloud connaissent une croissance de 11,3%, le conseil en technologies une croissance de 7,4% et les ESN une croissance de 5,1%, le plus remarquable est la migration vers le cloud qui augmente de 24,5% en raison de la crise du Covid-19.
De nombreuses entreprises choisissent l’externalisation de la sécurité de leur Système d’Information (SI), par manque de compétences internes, pour confier leur sécurité à des spécialistes (dans le cadre d’une certification ISO 27001 par exemple) ou pour réduire les coûts.
Il existe plusieurs types d’externalisation en raison de la complexité des Systèmes d’Information : le MCO (Maintien en Condition Opérationnelle) garantit la disponibilité du SI, le MCS sa sécurité, la TMA (Tierce Maintenance Applicative) concerne l’externalisation de la maintenance des applications métier. On pourrait également citer l’ASP (Application Service Provider), le SaaS (Software as a Service), l’IAAS (Infrastructure as a Service) pour l’hébergement, et le MSSP (Managed Security Service Provider) les services managés en matière de sécurité.
Le Règlement Général sur la Protection des Données (RGPD) précise que même si le SI est externalisé, l’entreprise reste responsable de la protection de ses données.
Le recours à l’externalisation pouvant entraîner quelques risques, il est important de mettre en place un cadre de gestion des risques en définissant les valeurs métiers et les actifs à externaliser du Système d’Information. Une fois ce périmètre délimité, les menaces gravitant autour sont étudiées ainsi que leur impact.
Le couple (menace ; vraisemblance) permet de caractériser l’environnement de risque et l’exposition aux risques sur le projet d’externalisation. Le plan de gestion des risques inclut les mesures à mettre en place en fonction des risques identifiés.
Au moment du choix de son prestataire, il est important de vérifier sa maturité SSI. Cela se fait en identifiant les critères de sa sélection (certification PASSI pour un audit de sécurité du SI, ISO 27001, audit de maturité par exemple pour choisir un prestataire présentant un niveau de risque acceptable), puis en réalisant une due diligence pour évaluer sa sécurité.
Dans l’étape de contractualisation, le service juridique peut intervenir pour identifier et inclure des clauses de sécurité dans le contrat portant sur la protection des données, la gestion des incidents, la réalisation d’audit, par exemple. Il peut aussi ajouter une annexe sécurité ou un Plan d’Assurance Sécurité pour engager encore plus le prestataire. Le contrat doit bien définir les obligations et les responsabilités en matière de SSI de part et d’autre et un interlocuteur privilégié, un SPOC (Single Point of Contact), pour les thématiques liées à la cybersécurité.
Le succès d’un projet d’externalisation de la sécurité du SI repose sur la surveillance de la relation avec le prestataire.
La clause de contrôle dans un contrat permet de faire un point régulier sur le niveau de sécurité fournit par le prestataire, pour vérifier son respect du contrat et des exigences définies.
Il est également possible de mettre en place un processus de surveillance et d’audit régulier, sous forme de questionnaire sécurité envoyé au prestataire, à remplir avec preuves à l’appui, de control self assessment qui responsabilise le sous-traitant, ou d’entretiens. Des cabinets spécialisés peuvent également intervenir.
Une stratégie de continuité d’activité bien définie permet d’être rassuré sur la continuité de l’activité informatique externalisée en cas d’incident majeur ou mineur. Pour cela, il faut identifier les parties prenantes en cas de crise, établir un processus de qualification et de réponses à incidents, pour s’assurer que le prestataire intervienne et communique sans délai selon un protocole établi, et tester régulièrement le processus de gestion des incidents.
Même en cas d’externalisation d’un service, l’entreprise est responsable de ce service et des traitements opérés sur les données des clients. C’est pourquoi il est important de savoir qui a accès aux données, comment (accès sécurisé ou non, local ou distant), et où, notamment pour le respect du RGPD en cas d’externalisation hors Europe ou autre, de connaître le processus de maintenance et de gestion des patchs : vérifier si cette dernière est incluse dans le contrat sans surcoût, prêter attention aux délais des patchs et à la fréquence de revue d’application.
Pour tout changement pouvant avoir un impact sur la gestion de la sécurité, il est primordial d’en être informé pour pouvoir le contrôler. Il est possible de vérifier les certifications de sécurité et les labels des éditeurs de logiciels qui parfois les rendent disponibles sur leurs sites Internet.
Le chiffrement de données est possible même sur le cloud, ce qui protège les données mises dans des cloud, notamment étrangers, qui revendiqueraient un droit de regard en cas revendication d’un risque sur leur sécurité nationale.
Pour finir, un plan de sauvegarde est indispensable pour ne pas perdre ses données en cas de sinistre chez son hébergeur. Pour résumer, une bonne externalisation passe par un bon encadrement, l’identification des besoins et critères de sécurité, et une amélioration continue.
La sécurité doit être prise en compte dès le départ, avant même la contractualisation, pendant la contractualisation et durant toute la durée de vie de l’externalisation. Il faut identifier les enjeux liés à cette externalisation, les exigences à mettre en place et comment les surveiller.
Oussama Rais, consultant gouvernance chez Akerva
Paru dans Be a Boss, le mardi 3 octobre 2023