Maîtriser l’externalisation informatique

L’externalisation informatique (dite aussi « infogérance ») peut parfois permettre de pallier l’absence d’une compétence en interne. Elle présente néanmoins des risques pour les données et les systèmes d’information, qu’il convient de connaître et de maîtriser.


Organisationnel

  • Déterminer, en fonction de la nature de l’entreprise, ses besoins précis en externalisation informatique (Cloud Computing, plateforme logicielle à distance, etc.).
  • Hiérarchiser les objectifs de sécurité de l’entreprise (disponibilité du site internet, hébergement sur des serveurs dédiés, etc.) et, lors des appels d’offres, les intégrer dans le cahier des charges par des clauses détaillées.
  • Demander explicitement aux prestataires répondant aux appels d’offres un plan d’assurance sécurité (PAS).
  • Afin de limiter les risques liés à la perte de maîtrise des systèmes d’information, aux interventions à distance et à l’hébergement mutualisé (lorsque les données de plusieurs entreprises sont hébergées sur le même serveur physique), faire analyser le contrat par des spécialistes (techniques et juridiques).
  • Il existe des risques spécifiques liés au Cloud Computing, ou informatique en nuage : risques pour la confidentialité des données, risques juridiques liés à l’incertitude sur la localisation des données, risques liés à la perte de maîtrise du système d’information, risques liés à l’irréversibilité des contrats. Les contrats proposés dans le cadre des offres génériques ne cadrent généralement ces risques que de façon très insuffisante. Rédiger, en liaison avec des spécialistes (techniques et juridiques), des contrats personnalisés et appropriés aux enjeux de l’entreprise.
  • Privilégier les services de Cloud Computing ayant reçu un label de confiance comme « SecNumCloud » de l'ANSSI.

 

Définitions

Infogérance : externalisation appliquée au domaine des systèmes d’information.

Informatique en nuage (Cloud Computing) : mode de traitement des données d’un client dont l’exploitation s’effectue par internet, sous la forme de services fournis par un prestataire. Dans ce cas de figure, l’emplacement et le fonctionnement du nuage ne sont pas nécessairement portés à la connaissance des clients.

Plan d’assurance sécurité (PAS) : document contractuel garantissant le respect des exigences de sécurité. Le guide édité par l’ANSSI propose un canevas pour la rédaction des objectifs de sécurité devant figurer dans le PAS.

ANSSI : Agence nationale de la sécurité des systèmes d’information.

Liens et téléchargements

Mots clés

Edited on 03/10/2019

Partager