Sécurité informatique (2) : rapport de l’Anssi

L’Anssi (Agence nationale de la sécurité des systèmes d’information) a publié en décembre un Guide de l’externalisation. Patrick Pailloux, directeur général de l’agence observe « le développement d’offres d’externalisation de plus en plus globalisantes, telles que le cloud computing , ce qui implique une augmentation des risques ». Le risque apparait alors dans le recours à un service informatique sous-traitant et selon Patrick Pailloux « sans prise en compte de la sécurité : aucune règle de sécurité n’est définie, aucun patch [correctif] n’est prévu en cas de problème, il n’est parfois pas possible de joindre le prestataire le vendredi soir, lorsque survient une attaque… ». Le document de l’Anssi liste notamment les principaux « risques inhérents à l’externalisation » dans le domaine informatique, et insiste sur la « prise en compte de la sécurité dans les appels d’offres ». Parmi les risques en question il y a  la « perte de maîtrise » des données confiées : « Un prestataire peut changer d’hébergeur, décider de transférer les données à l’étranger, et ainsi ne plus être conforme au contrat initial, par exemple ». L’intervention à distance peut également être risquée : « Si une entreprise dispose d’un contrat de gestion à distance de son photocopieur, qu’est-ce qui lui garantit que les données photocopiées ne sont pas récupérées par le prestataire ? ».  Pour souligner l’importance du contrat entre donneur d’ordre et prestataire, Patrick Pailloux prend l’exemple du site internet Wikileaks et sa situation d’hébergement au 2/3 décembre : « L’entreprise qui redirigeait l’adresse internet ‘wikileaks.org’ vers les serveurs de Wikileaks a suspendu son service car elle a estimé qu’elle subissait trop d’attaques, et le site n’est plus accessible à partir de cet URL. Wikileaks n’avait donc pas mis de clause de continuité du service dans son contrat ». Face à ces failles, le guide préconise une « étude de risque qui doit permettre de déterminer les objectifs de sécurité permettant de rendre les risques acceptables. » L’Anssi propose également aux donneurs d’ordres d’exiger un « plan d’assurance sécurité » dans leurs contrats d’infogérance : ce « document contractuel […] décrit l’ensemble des dispositions spécifiques que les candidats s’engagent à mettre en œuvre pour garantir le respect des exigences du donneur d’ordre ». « Un exemple de ‘plan d’assurance sécurité’ est proposé dans le guide, il est possible de faire un ‘copier-coller’ ». Le guide de l’Anssi propose également plusieurs « clauses de sécurité » à insérer dans des contrats d’externalisation. « L’idéal, pour nous, serait que les prestataires s’approprient ce guide, et puissent ainsi affirmer que leurs services correspondent aux exigences de sécurité de l’Anssi », note Patrick Pailloux. Selon lui, le guide « a vocation à évoluer. Nous sommes preneurs de l’ensemble des retours sur notre travail ». Le directeur général de l’Anssi indique que cet ouvrage a été élaboré en collaboration avec « les administrations, qui ont reçu un projet guide depuis l’été et ont fait part de leurs commentaires ». En matière d’infogérance, Patrick Pailloux recommande « a minima, de choisir un prestataire européen ». Ainsi, les données stockées seront protégées par la directive européenne sur la protection des données personnelles. Il indique en outre que l’Anssi va mettre au point un label de sécurité a la possibilité de  : « D’ici quelques mois, nous allons mettre en place un dispositif de labellisation des prestations d’audit en matière de sécurité des systèmes d’information, et nous espérons étendre cette démarche. Mais cela demande du temps ».

Eric Przyswa, www.risk-05.com, risk05 site de décryptage et de recherche sur les risques contemporains

0 trackback

Voici la liste de liens se référant à cette note : Sécurité informatique (2) : rapport de l’Anssi.

URL de trackback de cette note : http://blogs.lexpansion.com/risk05/2011/01/03/securite-informatique-2-rapport-de-lanssi/trackback/

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

*

Vous pouvez utiliser ces balises et attributs HTML : <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>

Pub

A propos du blog

Risk05 s’intéresse aux nouvelles formes de risques économiques, liés en particulier à Internet et à la mondialisation. Un des secteurs privilégiés d'analyse sera les industries créatives.

A propos de l’auteur

Commentaires récents

  • BLONDEY Patrick a commenté sur L’O.C.B.C. ou l’art de la traque: Vous nous dite traquer le trafique d'oeuvres d'art! Nous sommes Galeriste dans le jura, un département proche de la Suisse...

S'abonner au flux de ce blog

[De quoi s'agit-il?]

BlogRoll

A LA UNE EN CE MOMENT SUR

adsense