Livre Blanc Wallix sur la Gestion sécurisée du SI par des prestataires externes

En cinq chapitres, le Livre Blanc de Wallix traite à la fois des difficultés opérationnelles engendrées par le recours à des prestataires extérieurs, des solutions existantes et surtout d’une méthodologie pragmatique de mise en œuvre.

 

I. Les difficultés opérationnelles engendrées par le recours à des prestataires informatiques

Aujourd’hui, les entreprises doivent ouvrir leur système d’information à un nombre toujours plus important de prestataires extérieurs, d’abord pour réduire le budget informatique – ce qui se traduit par le recours à des prestataires externes pour des compétences qui ne font pas partie du coeur de métier de la DSI - ensuite pour gagner en rapidité dans le déploiement de nouvelles solutions. Parmi ces différents types de prestataires figurent par exemple :

• · des éditeurs de logiciels métiers devant intervenir sur leurs applicatifs
• · des infogérants assurant la gestion de tout ou partie des infrastructures et / ou des applications
• · Des « outsourcers » en charge du support technique (exemple : SSII spécialisée dans le support et le tuning Oracle)
• · Des consultants spécialisés dans un domaine applicatif spécifique (ex : expert CRM ou ERP)

Toute forme d’externalisation comporte deux désavantages principaux à court terme qui sont la perte de contrôle et la perte de compétence. A long terme, la difficulté est de conserver la maîtrise des coûts d’externalisation. Pour ce qui est de l’infogérance informatique s’ajoutent des risques en terme de sécurité, de conformité réglementaire (compliance) et de gestion des accès.

 

a) Risques de sécurité

Les prestataires sont indispensables au bon fonctionnement du système d’information mais ils ne sont pas salariés de l’entreprise et présentent donc des risques potentiels particulièrement importants pour l’entreprise (fuite d’informations, destruction de données sensibles …). De plus, sans traçabilité des actions, il devient difficile de connaitre les causes et les responsables d’un éventuel dysfonctionnement.

Un certain nombre d’études récentes confirme les risques inhérents aux privilèges dont disposent les administrateurs IT – que ces administrateurs soient internes ou bien prestataires.

La conjoncture économique actuelle accroit donc de façon très importante les risques de fuite d’informations.

Le recours à des prestataires externes - pour administrer tout ou partie des équipements d’un Système d’Information – démultiplie ces risques en raison :

- du très rapide turn-over existant chez de nombreux prestataires – qui accroit les risques de fuite d’information suite au départ d’un administrateur IT du prestataire

- de la difficulté pour le client de s’assurer de la probité du personnel d’un prestataire – avec un risque démultiplié dans le cas d’un prestataire disposant d’équipes situées dans des pays à faible revenu compte tenu de la valeur marchande des informations accessibles

Enfin, le personnel IT de l’entreprise doit également pouvoir se connecter à distance – que ce soit en cas d’astreinte ou simplement de déplacement, avec des problématiques de connexion identiques à celles des prestataires externes.

 

b) Problème de conformité aux exigences réglementaires

L’accès aux systèmes et aux applications sensibles est soumis à des règles d’audit très strictes : les accès doivent être protégés par des mots de passe, ces mots de passes étant soumis à des règles rigoureuses. Les comptes doivent être créés par des personnels habilités, ils doivent disparaître dès lors que l’utilisateur change de rôle dans l’entreprise.

En complément, les entreprises doivent pouvoir fournir la preuve que ces règles sont respectées. C’est un travail très coûteux de mise en place de process. Ces process sont associés à l’identité de l’utilisateur et à son rôle dans l’entreprise. Que dire donc d’un utilisateur qui n’a pas d’identité dans l’entreprise et dont le rôle est défini par un contrat d’infogérance et non pas par une fonction dans l’entreprise ?

 

Les prestataires externes accèdent à des comptes à privilèges très sensibles, mais la prise en compte et le suivi de leur activité sont très complexes parce qu’ils ne font pas partie des employés et donc réclament la mise en oeuvre de rôles et de processus spécifiques.

 

c) Coûts de mise en oeuvre et de maintenance

La mise en place d’un contrat d’infogérance est longue et nécessite la coopération de plusieurs services. Il faut par exemple ouvrir un accès au coeur du système d’information, ce qui nécessite la participation des responsables systèmes, des responsables réseau, sécurité…

La clôture d’un accès à la fin du contrat d’infogérance est tout aussi compliquée à mettre en oeuvre. Qui plus est, cette fois ci, il n’y a personne pour réclamer la mise en oeuvre… avec donc un risque élevé de conserver ouverts des accès qui auraient du être fermés depuis bien longtemps.

Enfin, les responsables informatiques doivent régulièrement lancer des audits afin de s’assurer que les accès ont été bien refermés après les connexions des prestataires externes….

 

d) Le cas des comptes partagés

Au confluent des questions de conformité, de sécurité et de coût de maintenance se trouve le problème des comptes partagés. L’existence de comptes partagés est bien souvent devenue une nécessité pour de nombreuses sociétés. Créer des comptes individualisés pour effectuer des opérations de maintenance est un casse tête, mais plus il y a d’opérateurs qui utilisent un compte partagé plus il est difficile de maintenir une politique de mots de passe et plus il est difficile de savoir qui a utilisé le compte.

Les sociétés qui souhaitent externaliser la maintenance de leur système doivent faire face à un choix difficile : soit créer des comptes à privilèges dédiés à leurs prestataires, soit compromettre la sécurité et la conformité de leurs systèmes.

Etc.

 

Vous pouvez télécharger le livre blanc : www.wallix.fr/index.php/demos/telechargez-le-livre-blanc