Externalisation du système d’information : quels dangers ?

L’infogérance et les risques habituels de la sous-traitance

En tant que sous-domaine de l’externalisation, l’infogérance est soumise aux mêmes dangers que beaucoup d’autres situations dans lesquelles une partie de l’activité est déléguée à une autre entreprise. Si une entreprise ne se protège pas suffisamment, grâce au contrat d’externalisation notamment, elle risque en effet de perdre la main sur ses données et sur la gestion de son SI. Cela peut se traduire de différentes manières :

• manque de transparence sur la sécurité et sur les procédures lorsque le prestataire fait lui-même appel à des sous-traitants pour certaines parties de son activité;
• dépendance vis-à -vis du prestataire, par exemple lorsqu’il fournit des applications ou logiciels propriétaires ou si son offre n’assure pas la portabilité des différents services informatiques (particulièrement problématique lorsque l’on veut confier cette prestation à une autre entreprise ou repasser en gestion interne);
• nécessité de mettre en place des accords validés par les deux parties avant de réaliser des actions clés ou de mettre en place des mesures de sécurité par exemple, avec le risque que le prestataire ne soit pas en mesure de répondre aux attentes de son client, que ce soit à cause de problèmes financiers, techniques ou humains;
• défaillance du prestataire, qui pourrait remettre en cause le bon fonctionnement de l’entreprise cliente, malgré des précautions prises pour définir la responsabilité de chaque partie;
• service fourni inadapté aux besoins lorsque le prestataire ne joue pas son rôle de conseil;
• assistance et suivi défaillants, remettant en cause le bon fonctionnement de l’entreprise, voire la sécurité du système.

Les différents dangers quant à la sécurité des données

La particularité de l’infogérance est qu’elle touche à un secteur d’activités sensible, car la performance du SI conditionne parfois tout le fonctionnement d’une entreprise et, car on a affaire à de nombreuses données importantes, voire confidentielles. L’infogérance doit permettre d’améliorer ce niveau de sécurité en faisant confiance à des experts, mais il ne faut pas oublier que tout un ensemble de précautions doit être pris pour limiter tous les autres risques inhérents.

Les risques pour la sécurité avec l’infogérance à distance

Pour des raisons pratiques et économiques, il n’est pas rare que le prestataire intervienne à distance pour l’administration, la gestion et la maintenance des systèmes d’informations de ses clients. Mais malheureusement, cela n’est pas sans risques. En effet, la télémaintenance peut générer plusieurs types de failles :

• risque plus important d’intrusion extérieure dans le système, résultant de la nécessité de passer par une connexion via le réseau internet et/ou de l’existence de codes d’accès qui ne sont pas suffisamment protégés;
• danger émanant des techniciens qui assurent la prestation, qui par négligence, manque de formation ou malveillance, peuvent avoir accès à des données jugées confidentielles, voire les télécharger et les transmettre à des tiers;
• de plus grandes difficultés à établir un registre des interventions de maintenance et donc à assurer la traçabilité de ces dernières.

Tous ces problèmes peuvent avoir de lourdes conséquences pour la société cliente ou l’institution publique, que ce soit à cause de secrets industriels qui risquent d’être divulgués, de fuite de données confidentielles sur ses propres clients/bénéficiaires, d’un équipement qui devient inopérant suite à une attaque, etc. Toutefois, cela peut être évité en mettant en place les moyens techniques et les procédures adéquats avant de décider que tout ou partie de l’infogérance se réalisera à distance.

Les problèmes posés par l’hébergement mutualisé

Dans le cadre de l’infogérance, une solution économique pour les hébergeurs est d’opter pour un hébergement mutualisé. Autrement dit, un même serveur est alloué pour plusieurs types de services afférents au système d’information (applications web, sites, messagerie, etc.) et pour plusieurs utilisateurs différents. Il en découle plusieurs risques, classés en 3 catégories :

• la perte de disponibilité : suite à une attaque informatique visant à rendre indisponible un service, il est possible que tous les autres services du serveur deviennent aussi inaccessibles;
• la perte d’intégrité : le même problème se pose puisque si un service est plus vulnérable qu’un autre, il peut créer une porte d’entrée sur l’ensemble du serveur et mener à du vol de données et à tout autre type d’actions malveillantes;
• la perte de confidentialité : le partage de ressources sur un serveur commun rend plus probable l’échange non consenti de données entre les différentes entreprises clientes.

Pour maîtriser au mieux ce risque, il est primordial de définir les solutions mises en place en cas d’attaque, mais aussi de prévenir toute forme d’incident à l’aide d’un système de sécurité adapté. Une autre solution est d’opter pour un serveur dédié, qui n’est pas partagé et qui répond au mieux aux besoins du client. Cela n’empêche pas pour autant de sécuriser ces serveurs dédiés comme il se doit, car ils ne sont pas à l’abri de quelconques incidents.

Les possibles difficultés à répondre aux obligations légales

Les prestataires en charge de la gestion et de l’administration de systèmes d’information sont soumis à un cadre légal strict et précis, mis en application par l’Union européenne. Cela concerne notamment la sécurité des données, que ce soit via la mise en place de zones d’accès sécurisées, d’un plan de sauvegarde, de mises à jour régulières pour pallier les failles, etc.

La société qui fait appel à ce type de prestataire a aussi pour devoir de s’assurer qu’il répond à l’ensemble des obligations sur les systèmes d’information et l’exploitation des données, ainsi qu’aux obligations spécifiques à son secteur d’activité (en particulier dans le domaine de la santé ou de la finance). Néanmoins, cela peut s’avérer assez complexe si le prestataire d’infogérance opte pour le Cloud Computing pour l’hébergement des données. Pourquoi ? Tout simplement, car la localisation des données dans un nuage public est rendue impossible par leur migration quasi constante. Cela pose problème, car l’Union européenne impose aux entreprises d’être toujours en capacité de déterminer où sont stockées leurs données et de pouvoir les protéger comme il se doit.  

De plus, cela peut devenir problématique lorsque des audits ou des contrôles judiciaires doivent être effectués.

Le Cloud Computing ne doit pas pour autant être diabolisé, mais il faut être conscient de ses défauts pour maîtriser au mieux le risque. S’assurer que les données les plus sensibles (données à caractère personnel notamment) restent localisées en Europe et que le prestataire met en œuvre des protocoles de confidentialité est donc essentiel.

L’infogérance, finalement trop risquée ?

Toutes ces mises en garde ne doivent pas remettre entièrement en cause les avantages de l’infogérance. Il s’agit plutôt ici de faire prendre conscience que les systèmes d’information sont complexes et vitaux pour les entreprises, et qu’il ne faut en aucun cas négliger leur niveau de sécurité. L’étude précise des besoins et de longues discussions avec le prestataire d’infogérance sont des étapes indispensables pour bénéficier d’un service de qualité, qui assure la sécurité du SI, de l’entreprise et de ses partenaires.

Nous vous recommandons ces autres pages :

• Quels sont les avantages de l’infogérance ?
• Comment bien choisir son prestataire d’infogérance ?
• A quels services complémentaires faire appel en infogérance ?
• Comment réussir son infogérance ?
• L’importance du contrat d’infogérance