Archives janvier 2011

A l’occasion du colloque annuel du CDSE (Club des Directeurs de Sécurité des Entreprises), une conférence a été organisée sur le thème de : la « virtualisation » de l’entreprise représente-t-elle un risque ?
Plusieurs points de vue se sont confrontés sur le sujet.
Selon Patrick Pailloux, directeur de l’Anssi : « Il faut couper court à l’idée selon laquelle externalisation et sécurité s’opposent. Cela peut être au contraire un moyen de mieux gérer la sécurité, en cas d’absence de compétence dans l’entreprise. Par exemple, personne n’aurait à l’idée de développer son propre antivirus ». Cela dit le directeur de l’Anssi ajoute que : « L’externalisation est extrêmement mal pratiquée du point de vue de la sécurité » et il cite l’exemple de l’externalisation de serveurs informatiques qui sont parfois partagés avec des entreprises qui ont des exigences de sécurité informatique inférieures, ce qui peut permettre une attaque. Dans ce contexte le « cloud computing » incite à plus de prudence car l’on ne maîtrise pas l’endroit où sont les données.
Pour Vivek Barinath, directeur exécutif d’Orange business services, il y a une « vraie tendance économique à ce que cette technologie se développe ». Cela requiert d’être attentif à « la sécurisation des données au repos et pendant le transfert », à l’ « authentification des utilisateurs », ou encore aux « processus de réponse aux incidents ».
Mais l’avocat Alain Bensoussan, spécialiste du droit numérique, juge que le cloud computing, « ce n’est pas de l’informatique dans les nuages, mais dans le brouillard » : « La virtualisation et l’externalisation préoccupent les spécialistes du droit des contrats ». Selon lui, plusieurs droits doivent être garantis par un contrat d’externalisation, et notamment le droit à la transparence, « pour savoir en temps réel où sont les données », le « droit au contrôle immédiat » ou encore le « droit à la sûreté : le fournisseur doit démontrer que son système est sûr ». Enfin Pascal Brier, directeur adjoint d’Altran, considère que pour l’entreprise il est nécessaire de « définir l’aspect critique de l’élément à externaliser ». Dans cette perspective, son entreprise met en place un « scoring ». Il insiste également sur la dimension « explicite de la sécurité », dont les critères peuvent varier entre donneur d’ordre et prestataire.

Eric Przyswa, www.risk-05.com, risk05 site de décryptage et de recherche sur les risques contemporains

La société de conseil PricewaterhouseCoopers a publié en décembre dernier un rapport  « sur la sécurité de l’information à l’échelle internationale ». Selon cette étude « Les entreprises semblent avoir des difficultés à sortir des schémas traditionnels pour maîtriser les risques liés aux nouvelles technologies (réseaux sociaux, objets nomades et cloud computing) ». Price Waterhouse Coopers a sondé par internet, en février et mars 2010, 12 840 entreprises réparties dans 135 pays, dont 37 % en Asie, 30 % en Europe et 17 % en Amérique du Nord et selon PWC France, « seules 40 % des entreprises (29 % en France) ont mis en place des mécanismes de sécurité pouvant traiter les risques liés aux réseaux sociaux, blogs […] et autres nouveaux médias internet accessibles depuis les entreprises ». « Par rapport à ces risques portant notamment sur la divulgation d’informations sensibles et l’atteinte à l’image de marque, la proportion des entreprises ayant mis en place des mesures de sécurité n’a pas augmenté depuis l’année dernière et diminue même pour la France », relève PWC. Parmi les sociétés sondées, « seules 23 % (12 % en France) » ont en effet affirmé avoir « défini une politique de sécurité prenant en compte l’utilisation de réseaux sociaux ou de technologies web 2.0 ». Cette tendance est stable à l’international, mais en baisse en France : les entreprises étaient 14 % à avoir défini une politique de sécurité en la matière en 2009. « Les impacts liés aux incidents de sécurité (pertes financières, vol de données, compromission de l’image) ont doublé voire triplé sur les quatre dernières années » selon le type d’atteintes, constate PWC France. « En France notamment, les pertes financières ont doublé depuis l’année dernière ». Mais ces évolutions sont à relativiser car : « Les entreprises disposent dorénavant de données plus fiables sur leurs incidents de sécurité, ce qui peut expliquer les progressions croissantes des mesures d’impacts ». Par exemple, 40 % des sondés disaient ignorer le nombre d’incidents de sécurité dont leur entreprise a été victime au cours des douze derniers mois lors de l’enquête réalisée 2007, ils ne sont plus que 23 % en 2010. Autre explication de l’augmentation de l’impact financier des incidents, selon PWC : la professionnalisation de ces attaques, qui relèvent « plus de l’intelligence économique, de l’espionnage industriel, d’actions politiques ou de démarches crapuleuses que d’une volonté de s’amuser ou se faire remarquer, comme cela a pu être le cas il y a quelques années ». Toutefois « Alors que 45 % des entreprises interviewées (43 % en 2009) constatent une augmentation des risques liés à la sécurité de l’information et que les impacts métiers liés aux incidents progressent, près d’une entreprise sur deux a dû restreindre ses investissements et différer des projets sécurité », précise PWC. L’enquête révèle malgré tout que 52 % des sondés se disent « optimistes » quant à l’augmentation de leurs dépenses de sécurité pour les douze mois à venir, contre 38 % lors de la précédente étude. Selon le cabinet cette budgétisation doit d’autre part ne pas « être dans un rôle d’opposant systématique, mais doit se placer en accompagnement » pour le déploiement des technologies liées aux réseaux sociaux et au web 2.0.

Eric Przyswa, www.risk-05.com, risk05 site de décryptage et de recherche sur les risques contemporains

L’Anssi (Agence nationale de la sécurité des systèmes d’information) a publié en décembre un Guide de l’externalisation. Patrick Pailloux, directeur général de l’agence observe « le développement d’offres d’externalisation de plus en plus globalisantes, telles que le cloud computing , ce qui implique une augmentation des risques ». Le risque apparait alors dans le recours à un service informatique sous-traitant et selon Patrick Pailloux « sans prise en compte de la sécurité : aucune règle de sécurité n’est définie, aucun patch [correctif] n’est prévu en cas de problème, il n’est parfois pas possible de joindre le prestataire le vendredi soir, lorsque survient une attaque… ». Le document de l’Anssi liste notamment les principaux « risques inhérents à l’externalisation » dans le domaine informatique, et insiste sur la « prise en compte de la sécurité dans les appels d’offres ». Parmi les risques en question il y a  la « perte de maîtrise » des données confiées : « Un prestataire peut changer d’hébergeur, décider de transférer les données à l’étranger, et ainsi ne plus être conforme au contrat initial, par exemple ». L’intervention à distance peut également être risquée : « Si une entreprise dispose d’un contrat de gestion à distance de son photocopieur, qu’est-ce qui lui garantit que les données photocopiées ne sont pas récupérées par le prestataire ? ».  Pour souligner l’importance du contrat entre donneur d’ordre et prestataire, Patrick Pailloux prend l’exemple du site internet Wikileaks et sa situation d’hébergement au 2/3 décembre : « L’entreprise qui redirigeait l’adresse internet ‘wikileaks.org’ vers les serveurs de Wikileaks a suspendu son service car elle a estimé qu’elle subissait trop d’attaques, et le site n’est plus accessible à partir de cet URL. Wikileaks n’avait donc pas mis de clause de continuité du service dans son contrat ». Face à ces failles, le guide préconise une « étude de risque qui doit permettre de déterminer les objectifs de sécurité permettant de rendre les risques acceptables. » L’Anssi propose également aux donneurs d’ordres d’exiger un « plan d’assurance sécurité » dans leurs contrats d’infogérance : ce « document contractuel […] décrit l’ensemble des dispositions spécifiques que les candidats s’engagent à mettre en œuvre pour garantir le respect des exigences du donneur d’ordre ». « Un exemple de ‘plan d’assurance sécurité’ est proposé dans le guide, il est possible de faire un ‘copier-coller’ ». Le guide de l’Anssi propose également plusieurs « clauses de sécurité » à insérer dans des contrats d’externalisation. « L’idéal, pour nous, serait que les prestataires s’approprient ce guide, et puissent ainsi affirmer que leurs services correspondent aux exigences de sécurité de l’Anssi », note Patrick Pailloux. Selon lui, le guide « a vocation à évoluer. Nous sommes preneurs de l’ensemble des retours sur notre travail ». Le directeur général de l’Anssi indique que cet ouvrage a été élaboré en collaboration avec « les administrations, qui ont reçu un projet guide depuis l’été et ont fait part de leurs commentaires ». En matière d’infogérance, Patrick Pailloux recommande « a minima, de choisir un prestataire européen ». Ainsi, les données stockées seront protégées par la directive européenne sur la protection des données personnelles. Il indique en outre que l’Anssi va mettre au point un label de sécurité a la possibilité de  : « D’ici quelques mois, nous allons mettre en place un dispositif de labellisation des prestations d’audit en matière de sécurité des systèmes d’information, et nous espérons étendre cette démarche. Mais cela demande du temps ».

Eric Przyswa, www.risk-05.com, risk05 site de décryptage et de recherche sur les risques contemporains

Pub

A propos du blog

Risk05 s’intéresse aux nouvelles formes de risques économiques, liés en particulier à Internet et à la mondialisation. Un des secteurs privilégiés d'analyse sera les industries créatives.

A propos de l’auteur

Commentaires récents

  • BLONDEY Patrick a commenté sur L’O.C.B.C. ou l’art de la traque: Vous nous dite traquer le trafique d'oeuvres d'art! Nous sommes Galeriste dans le jura, un département proche de la Suisse...

S'abonner au flux de ce blog

[De quoi s'agit-il?]

BlogRoll

A LA UNE EN CE MOMENT SUR

adsense