Est-il possible d’externaliser l’administration de son SI ? Comme indiqué dans quelques-uns de mes articles publiés sur le blog de Systancia ([01], [02]) ou sur mon compte LinkedIn, la sécurité informatique n’est pas une alternative et se doit d’être un axe stratégique pour toute organisation. En effet, à mon sens, la sécurité informatique est essentielle et primordiale afin, entre autres, de protéger le patrimoine informationnel d’une organisation. Intéressons-nous aujourd’hui uniquement à l’externalisation (aussi appelée outsourcing) de l’administration d’un réseau ou d’une partie d’un réseau. En effet, par manque de ressources humaines ou financières, le comité exécutif d’une organisation peut décider de confier l’administration de son SI ou d’applications dédiées à un prestataire externe, à un infogéreur.L’externalisation est un moyen rapide d’améliorer la performance, de réduire des coûts ou d’accroître la flexibilité mais elle ne doit pas être mise en œuvre sans un minimum de sécurité et de garanties. Externaliser l’administration ne dédouane pas ni ne déresponsabilise l’organisation infogérée.Les questions à se poser dans le cas d’une administration informatique sous-traitée sont les suivantes (liste non exhaustive) : Est-ce que le périmètre d’action confié à mon prestataire externe est bien défini ?Qu’est-ce qui a de la valeur pour mon organisation ?Quels sont les risques encourus ?Dans quelle mesure est-ce que je maîtrise ces risques ?Quelles sont les menaces redoutées ?Quelles sont les « mesures de sécurité » prises par mon prestataire ?Est-ce que mon prestataire est (ou doit être) limité dans ses actions ?Dans quelle mesure est-ce que je peux contrôler, surveiller, maîtriser mon prestataire ?Comment dois-je gérer (et protéger) les identifiants et authentifiants de connexion ?Comment ne pas perdre la maîtrise de mon SI ?Est-ce que mon prestataire est sensibilisé à la sécurité dans le domaine informatique ?Etc. Dans toute gestion des risques, la boucle « se connaître – s’estimer – s’assurer – se rassurer » doit être en permanence au cœur des réflexions et actions. Pour répondre à une partie des questions précédentes, l’article [03] évoque le Plan d’Assurance Sécurité comme étant une étape importante à mettre en place dans une relation infogéré/infogéreur.Dans les articles [04] et [05], j’ai présenté la solution Systancia Cleanroom qui permet d’apporter une réponse à la problématique de l’administration à distance et donc à l’infogérance contrôlée, maîtrisée, surveillée et supervisée.Le principe de la solution Systancia Cleanroom est de mettre à disposition d’un utilisateur à pouvoirs des environnements virtualisés (qui sont contrôlés, maîtrisés et initialisés à chaque connexion) pour effectuer des tâches d’administration de ressources de manière sécurisée ainsi que journalisée et surveillée.Cette solution disruptive permet donc de protéger et de superviser des travaux d’utilisateurs à pouvoir mais également de garantir la sécurité du patrimoine informationnel d’une organisation infogérée.Confier à un tiers l’administration de tout ou d’une partie de son SI est donc possible en toute sécurité d’un point de vue technique (avec une solution comme Systancia Cleanroom) mais ne doit pas exempter l’organisation infogérée de s’assurer du respect des bonnes pratiques de sécurité ainsi que d’une collaboration sans faille avec son prestataire externe. Dans le domaine de la cybersécurité, le maître mot est « confiance » et il n’est pas antinomique avec des travaux d’administration externalisés. Enfin, la vigilance du donneur d’ordres doit se concrétiser par la rédaction de clauses contractuelles les plus explicites et exhaustives possibles dont l’application et le suivi rigoureux conditionnent le succès de cette collaboration. Références [01] La sécurité n’est pas une entrave[02] Il était une fois en Cyberland[03] Le PAM n’exclut pas le PAS[04] Comment sécuriser le poste de travail des administrateurs informatiques ?[05] Le concept de Cleanroom pour une administration sécurisée et sécurisante