Produits
Solutions
- Par technologies
  - IAM
  - PAM
  - VDI
  - ZTNA
- Par cas d’usages
  - Télétravail
    
    Afin de s’adapter aux nouveaux usages en matière de mobilité, de télétravail ou d’infogérance, les entreprises et organisations doivent permettre aux collaborateurs d’accéder depuis l’extérieur au SI via une expérience transparente pour l’utilisateur en matière d’ergonomie et de performance, tout en garantissant la sécurité des accès depuis un poste ou un réseau non maîtrisés....
    Lire le cas d'usage
  - Accès de tiers (prestataire, écosystème)
    
    Pour s’assurer de l’adhésion des utilisateurs et de la DSI, toute solution IT doit garantir une expérience d’accès et d’utilisation optimale tout en élevant la sécurité du SI sans que cela soit vécu comme une contrainte par l’utilisateur....
    Lire le cas d'usage
  - Surveillance des accès (traçabilité et audit des accès)
    
    La sécurité des systèmes d’informations (SSI) repose principalement sur celle de son maillon le plus faible qui est également l’élément essentiel : l’humain....
    Lire le cas d'usage
  - Conformité réglementaire
    
    La conformité aux multiples réglementations est parfois perçue comme une contrainte mais elle est pourtant nécessaire pour garantir une sécurité efficace du SI....
    Lire le cas d'usage
  - Agilité de la gestion des accès
    
    Les mouvements de collaborateurs, qu’il s’agisse de turnover, rotation interne ou d’infogérance ou encore les opérations de fusion acquisition nécessitent que la DSI puisse bénéficier d’une réelle agilité dans un souci de fluidification de ces mouvements et d’élévation du niveau de sécurité du SI....
    Lire le cas d'usage
  - Remplacement d’une solution en place
    
    Que ce soit pour garantir la sécurité du SI, optimiser l’expérience de travail ou simplifier la gestion des applications, les entreprises et organisations peuvent être amenées à moderniser et remplacer leurs solutions IT devenues obsolètes et qui ne proposent plus les innovations pour répondre aux enjeux de l’inclusion digitale....
    Lire le cas d'usage
  - Virtualisation de bureau ou d’application
    
    La solution de virtualisation d’applications et des postes de travail aux fonctionnalité avancées adaptée à toutes les organisations, et permettant de tirer le meilleur parti des infrastructures hyperconvergées....
    Lire le cas d'usage
  - « SaaSification » d’applications
    
    La virtualisation d’applications permet aux organisations de rendre disponibles toutes leurs applications métiers en mode SaaS....
    Lire le cas d'usage
  - Le cloud comme un levier
    
    Rendre l’accès aux applications indépendantes des systèmes d’exploitation et devices utilisés par les collaborateurs d’une organisation....
    Lire le cas d'usage
  - Risque digital et protection des données
    
    La multiplication des données au sein des entreprises et organisations, ainsi que leur caractère parfois sensible rend leur protection indispensable contre tout risque de fuite potentiellement dévastateur comme nous le rappellent quotidiennement les unes de la presse....
    Lire le cas d'usage
Partenaires
Ressources
- Événements
- Témoignages clients
- Blog
- Customer Success
  Nous vous proposons des formations adaptées à votre profil, soit en self-service en ligne, que vous pouvez suivre à votre rythme, soit dispensées par un consultant Systancia
  Découvrez nos formations
Systancia

SystanciaBlogVirtualisationEst-il possible d’externaliser l’administration de son SI ?

Est-il possible d’externaliser l’administration de son SI ?

externalisation de l'administration de son SI

Comme indiqué dans quelques-uns de mes articles publiés sur le blog de Systancia ([01], [02]) ou sur mon compte LinkedIn, la sécurité informatique n’est pas une alternative et se doit d’être un axe stratégique pour toute organisation. En effet, à mon sens, la sécurité informatique est essentielle et primordiale afin, entre autres, de protéger le patrimoine informationnel d’une organisation.

Intéressons-nous aujourd’hui uniquement à l’externalisation (aussi appelée outsourcing) de l’administration d’un réseau ou d’une partie d’un réseau. En effet, par manque de ressources humaines ou financières, le comité exécutif d’une organisation peut décider de confier l’administration de son SI ou d’applications dédiées à un prestataire externe, à un infogéreur.
L’externalisation est un moyen rapide d’améliorer la performance, de réduire des coûts ou d’accroître la flexibilité mais elle ne doit pas être mise en œuvre sans un minimum de sécurité et de garanties. Externaliser l’administration ne dédouane pas ni ne déresponsabilise l’organisation infogérée.
Les questions à se poser dans le cas d’une administration informatique sous-traitée sont les suivantes (liste non exhaustive) :

Est-ce que le périmètre d’action confié à mon prestataire externe est bien défini ?
Qu’est-ce qui a de la valeur pour mon organisation ?
Quels sont les risques encourus ?
Dans quelle mesure est-ce que je maîtrise ces risques ?
Quelles sont les menaces redoutées ?
Quelles sont les « mesures de sécurité » prises par mon prestataire ?
Est-ce que mon prestataire est (ou doit être) limité dans ses actions ?
Dans quelle mesure est-ce que je peux contrôler, surveiller, maîtriser mon prestataire ?
Comment dois-je gérer (et protéger) les identifiants et authentifiants de connexion ?
Comment ne pas perdre la maîtrise de mon SI ?
Est-ce que mon prestataire est sensibilisé à la sécurité dans le domaine informatique ?
Etc.

Dans toute gestion des risques, la boucle « se connaître – s’estimer – s’assurer – se rassurer » doit être en permanence au cœur des réflexions et actions. Pour répondre à une partie des questions précédentes, l’article [03] évoque le Plan d’Assurance Sécurité comme étant une étape importante à mettre en place dans une relation infogéré/infogéreur.
Dans les articles [04] et [05], j’ai présenté la solution Systancia Cleanroom qui permet d’apporter une réponse à la problématique de l’administration à distance et donc à l’infogérance contrôlée, maîtrisée, surveillée et supervisée.
Le principe de la solution Systancia Cleanroom est de mettre à disposition d’un utilisateur à pouvoirs des environnements virtualisés (qui sont contrôlés, maîtrisés et initialisés à chaque connexion) pour effectuer des tâches d’administration de ressources de manière sécurisée ainsi que journalisée et surveillée.
Cette solution disruptive permet donc de protéger et de superviser des travaux d’utilisateurs à pouvoir mais également de garantir la sécurité du patrimoine informationnel d’une organisation infogérée.
Confier à un tiers l’administration de tout ou d’une partie de son SI est donc possible en toute sécurité d’un point de vue technique (avec une solution comme Systancia Cleanroom) mais ne doit pas exempter l’organisation infogérée de s’assurer du respect des bonnes pratiques de sécurité ainsi que d’une collaboration sans faille avec son prestataire externe. Dans le domaine de la cybersécurité, le maître mot est « confiance » et il n’est pas antinomique avec des travaux d’administration externalisés. Enfin, la vigilance du donneur d’ordres doit se concrétiser par la rédaction de clauses contractuelles les plus explicites et exhaustives possibles dont l’application et le suivi rigoureux conditionnent le succès de cette collaboration.

Références

[01]       La sécurité n’est pas une entrave

[02]       Il était une fois en Cyberland

[03]       Le PAM n’exclut pas le PAS

[04]       Comment sécuriser le poste de travail des administrateurs informatiques ?

[05]       Le concept de Cleanroom pour une administration sécurisée et sécurisante

Publié le 12 mars 2019 par Systancia

Thématiques

PAM Cybersécurité CIO CISO CTO

Est-il possible d’externaliser l’administration de son SI ?

Références

Ne manquez pas ces évènements :

Accès distant : vous êtes-vous posé ces 10 questions cruciales?

Offrez la meilleure expérience à vos utilisateurs à privilèges

Faites progresser votre PAM avec vos usages

Ces articles pourraient vous intéresser :

Réseau d’administration : 6 risques auxquels le PAM peut répondre

Une gestion des identités simplifiée et sécurisée : clef de voute de votre stratégie zero-trust