Gérard Rio

En préambule, Nicolas Arpagian a rappelé qu’une récente étude de Forrester montrait que 56% des RSSI s’interrogeaient sur la sécurité du Cloud. A l’ANSSI, un livre blanc a été publié sur le thème de l’externalisation qui met en avant des recommandations sur ce sujet. Ce RSSI, issu d’un grand compte, estime que lorsqu’on a bien travaillé avec son fournisseur, l’externalisation a des atouts. Toutefois, la difficulté est de trouver le prestataire compétent. Il a remarqué que du fait de la difficulté de recruter en interne des collaborateurs bien formés au déploiement de solutions de sécurité, en particulier pour les firewalls, la messagerie… donc pour les produits de sécurité les plus courants, la solution de l’externalisation a des avantages. Cela permet entre autres de pouvoir faire travailler ses équipes sur de nouveaux sujets. Bien sûr, l’externalisation n’exclut pas d’avoir des équipes pour faire le suivi de l’infogérant. Pour cet autre RSSI du domaine de l’aéronautique, l’externalisation a des atouts en termes d’OPEX, mais aussi lorsque l’on a besoin d’un support 24/7... Par contre, il faut éviter d’avoir recours à l’infogérance lorsque l’on perd la maîtrise d’une technologie. Toutefois, il a recommandé de procéder à une analyse des risques liés à cette externalisation, en particulier au niveau de la propriété des données que l’on va externaliser. A partir de cette dernière, on saura quelle partie de la sécurité on pourra externaliser. Bien sûr, il faudra essayer si possible de négocier son contrat. Pour Maître Etienne Drouard, tout se négocie, mais à condition d’avoir la maîtrise des éléments que l’on veut externaliser. Pour lui, un contrat de travail mal rédigé peut être plus dangereux qu’un contrat d’externalisation bien négocié. Il faut, bien sûr, s’y prendre à l’avance et prendre son temps. Si on n’a pas de marge de manœuvre sur les termes d’un contrat, on peut en avoir sur la précision de l’offre, les prix, les clauses suite à des changements des conditions économiques… donc de nature de la prestation.

Ce RSSI a été confronté à une ré-internalisation au moment du lancement d’un service du fait des coûts, sans de grandes conséquences pour son entreprise. Il a aussi eu le cas où la partie à externaliser n’était pas assez rentable pour l’infogéreur qui a donc refusé le contrat. L’ANSSI a d’ailleurs conseillé de se méfier des coûts liés à cette activité. Il faut encore se méfier des offres où rien n’est négociable, comme la confidentialité et le stockage… voire même, le cas échéant, il est préférable de refuser de souscrire à de telles offres, ont recommandé l’ensemble des intervenants. Ce RSSI du monde de l’aéronautique a préconisé de mettre en place des indicateurs, mais aussi des systèmes d’alerte en cas d’incident… Il a recommandé de bien vérifier qui sont les sous-traitants du fournisseur de service d’infogérance. Maître Etienne Drouard a confirmé ce point, d’ailleurs la théorie de la responsabilité en ce domaine a évolué dans ce sens. Du point de vue de l’ANSSI, il faut bien vérifier les données que l’on va externaliser dans certains cas, il est préférable de conserver les données les plus stratégiques. En cas de changement d’un des sous-traitants du fournisseur, il faut s’assurer que l’on puisse sortir du contrat. Pour ce faire, il faut l’avoir prévu dans le contrat. Les unités d’œuvre de la sécurité doivent être bien écrites et, pour ce faire, il conseille de travailler avec une bonne MOA qui a la connaissance des fournisseurs. Il faut aussi avoir, du côté infogérant, un bon « T echnical Account Manager ». Pour lui, il n’est pas possible de ne pas avoir d’incidents dans la sécurité et donc, dans un contrat d’infogérance, il y en aura forcément. D’où l’importance d’avoir un bon correspondant technique, quitte même à le former comme il l’a fait récemment. Il a préconisé de faire des visites des locaux, de rencontrer au moins trois clients dans une liste fournie par le fournisseur. Pour ce RSSI du monde de l’aéronautique, il est parfois difficile d’obtenir une liste exhaustive des clients et parfois ce n’est pas utile. Pour l’ANSSI, il est inquiétant d’avoir un prestataire qui n’a jamais eu d’incidents de sécurité. Dans tous les cas, il faut tirer les conclusions d’un incident.

Changement de prestataires, une hygiène nécessaire ?

Pour l’ANSSI il n’est pas nécessaire de changer de prestataires de façon régulière. Maître Etienne Drouard estime que l’on va rarement au tribunal, mais qu’il y a des contentieux. Ce qui est le plus long, c’est la négociation pour sortir du contrat suite à un incident. De ce fait, il n’est pas obligatoire d’avoir des clauses pénales. Si on le fait, c’est bien souvent que l’on a affaibli son prestataire et donc on risque d’avoir une prestation de moins bonne qualité.

Pour ce RSSI du monde de l’aéronautique, l’externalisation c’est un chantier managérial. Ainsi, le RSSI a besoin, une fois de plus, dans ce cadre de faire une analyse de risques avec les métiers. Le RSSI doit avoir une expertise technique pour pouvoir conseiller le management en termes de risque acceptable. Pour cet autre RSSI, cette analyse n’est souvent pas faite, surtout par méconnaissance. Pour lui, dans le domaine de la sécurité, il y a rarement des infogérants compétents : « en général, plus la réponse à l’appel d’offre est volumineuse, moins l’infogérant est compétent. » Il n’a pas confiance dans le cloud car souvent le chiffrement n’est pas proposé, l’hébergement est fait aux États-Unis, donc sans aucune assurance sur la confidentialité des données confiées. Dans tous les cas, rappelle ce RSSI de l’aéronautique, les aspects légaux d’hébergement dans le Cloud à l’extérieur de la France sont réglementés. Pour Maître Etienne Drouard, il s’agit plus d’un problème politique, même si bien sûr le Patriot Act nécessite de se poser ce type de questions. Dans tous les cas, il faudra compter avec la politique européenne sur les données personnelles qui envisage des règles plus strictes en la matière.

En conclusion, 5 conseils sont à retenir : on externalise que ce que l’on connaît ; la sécurité doit intervenir en amont ; une analyse de risques doit être faite dès le départ ; le contrat doit être négocié et le suivi du contrat doit être fait durant toute sa durée.