Retour

Est-il possible d’externaliser l’administration de son SI ?

externalisation de l'administration de son SI - externaliser l'administration du système d'information

Comme indiqué dans quelques-uns de mes articles publiés sur le blog de Systancia ([01], [02]) ou sur mon compte LinkedIn, la sécurité informatique n’est pas une alternative et se doit d’être un axe stratégique pour toute organisation. En effet, à mon sens, la sécurité informatique est essentielle et primordiale afin, entre autres, de protéger le patrimoine informationnel d’une organisation.

Intéressons-nous aujourd’hui uniquement à l’externalisation (aussi appelée outsourcing) de l’administration d’un réseau ou d’une partie d’un réseau. En effet, par manque de ressources humaines ou financières, le comité exécutif d’une organisation peut décider de confier l’administration de son SI ou d’applications dédiées à un prestataire externe, à un infogéreur.

L’externalisation est un moyen rapide d’améliorer la performance, de réduire des coûts ou d’accroître la flexibilité mais elle ne doit pas être mise en œuvre sans un minimum de sécurité et de garanties. Externaliser l’administration ne dédouane pas ni ne déresponsabilise l’organisation infogérée.

Les questions à se poser dans le cas d’une administration informatique sous-traitée sont les suivantes (liste non exhaustive) :

  • Est-ce que le périmètre d’action confié à mon prestataire externe est bien défini ?
  • Qu’est-ce qui a de la valeur pour mon organisation ?
  • Quels sont les risques encourus ?
  • Dans quelle mesure est-ce que je maîtrise ces risques ?
  • Quelles sont les menaces redoutées ?
  • Quelles sont les « mesures de sécurité » prises par mon prestataire ?
  • Est-ce que mon prestataire est (ou doit être) limité dans ses actions ?
  • Dans quelle mesure est-ce que je peux contrôler, surveiller, maîtriser mon prestataire ?
  • Comment dois-je gérer (et protéger) les identifiants et authentifiants de connexion ?
  • Comment ne pas perdre la maîtrise de mon SI ?
  • Est-ce que mon prestataire est sensibilisé à la sécurité dans le domaine informatique ?
  • Etc.

Dans toute gestion des risques, la boucle « se connaître – s’estimer – s’assurer – se rassurer » doit être en permanence au cœur des réflexions et actions. Pour répondre à une partie des questions précédentes, l’article [03] évoque le Plan d’Assurance Sécurité comme étant une étape importante à mettre en place dans une relation infogéré/infogéreur.

Dans les articles [04] et [05], j’ai présenté la solution IPdiva Cleanroom de Systancia qui permet d’apporter une réponse à la problématique de l’administration à distance et donc à l’infogérance contrôlée, maîtrisée, surveillée et supervisée.

Le principe de la solution IPdiva Cleanroom de Systancia est de mettre à disposition d’un utilisateur à pouvoirs des environnements virtualisés (qui sont contrôlés, maîtrisés et initialisés à chaque connexion) pour effectuer des tâches d’administration de ressources de manière sécurisée ainsi que journalisée et surveillée.

Cette solution disruptive permet donc de protéger et de superviser des travaux d’utilisateurs à pouvoir mais également de garantir la sécurité du patrimoine informationnel d’une organisation infogérée.

Confier à un tiers l’administration de tout ou d’une partie de son SI est donc possible en toute sécurité d’un point de vue technique (avec une solution comme IPdiva Cleanroom) mais ne doit pas exempter l’organisation infogérée de s’assurer du respect des bonnes pratiques de sécurité ainsi que d’une collaboration sans faille avec son prestataire externe. Dans le domaine de la cybersécurité, le maître mot est « confiance » et il n’est pas antinomique avec des travaux d’administration externalisés. Enfin, la vigilance du donneur d’ordres doit se concrétiser par la rédaction de clauses contractuelles les plus explicites et exhaustives possibles dont l’application et le suivi rigoureux conditionnent le succès de cette collaboration.

Antoine COUTANT – Directeur Cybersécurité

Références

[01]       La sécurité n’est pas une entrave, Antoine COUTANT, octobre 2018.

https://www.systancia.com/la-securite-nest-pas-une-entrave/

[02]       Il était une fois en Cyberland, Antoine COUTANT, octobre 2018.

https://www.systancia.com/il-etait-une-fois-en-cyberland-vpn-ssl/

[03]       Le PAM n’exclut pas le PAS, Antoine COUTANT, mars 2019.

https://www.systancia.com/le-pam-nexclut-pas-le-pas/

[04]       Comment sécuriser le poste de travail des administrateurs informatiques ?, Antoine COUTANT, janvier 2018.

https://www.systancia.com/comment-securiser-le-poste-de-travail-des-administrateurs-informatiques/

[05]       Le concept de Cleanroom pour une administration sécurisée et sécurisante, Antoine COUTANT, décembre 2018.

https://www.systancia.com/le-concept-de-cleanroom-pour-une-administration-securisee-et-securisante/