Retour

Le PAM n’exclut pas le PAS

PAS - Plan D'Assurance Sécurité

Avant de commencer à jouer à un jeu de société, il est naturel de lire au préalable ses règles. Dans le cadre d’une prestation d’infogérance, il est important d’établir également entre les parties les « règles du jeu ».

Dans [01], l’ANSSI précise à juste titre que, dans le cadre d’une infogérance, la sécurité ne doit pas être antinomique à l’externalisation. Pour une organisation (dont l’administration de son SI est confiée à un infogéreur), les risques intrinsèques sont généralement liés à la perte de maîtrise de son SI ainsi qu’aux interventions à distance.

Pour cela, un Plan d’Assurance Sécurité (PAS) doit être élaboré – selon un cadre défini par l’organisation administrée (aussi appelée donneur d’ordres) – par l’infogéreur (considéré ici comme un sous-traitant). Le PAS définit les dispositions (contractuelles, méthodologiques, techniques, organisationnelles et procédurales) permettant de répondre aux exigences de sécurité du donneur d’ordre.

A titre illustratif, le PAS du sous-traitant réalisant de l’infogérance pour une organisation doit s’articuler autour de trois temps principaux :

  1. Objet de l’externalisation
  2. Présentation de l’organisation interne mise en place (aussi bien pour la gestion de la sécurité mais également pour les évolutions et l’application du PAS)
  3. Mesures de sécurité mises en œuvre pour chaque exigence

Dans la définition des mesures de sécurité, nous devons retrouver des mesures techniques mais également des mesures organisationnelles liées aux Ressources Humaines du sous-traitant.

A titre illustratif, une solution comme IPdiva Cleanroom de Systancia (qui combine VDI, PAM, VPN et SSO) permet d’apporter une réponse technique aux risques identifiés pour de l’infogérance ([02]).

En effet, cette solution apporte des solutions techniques aux mesures afférentes à la gestion des accès logiques ainsi qu’à la confidentialité et l’intégrité des flux d’administration. De plus, elle répond également techniquement à la gestion (et protection) des mots de passe d’accès aux ressources administrées.

Néanmoins, utiliser une solution comme IPdiva Cleanroom ne dispense pas l’infogéreur d’établir un PAS en collaboration avec l’organisation administrée. L’objectif est in fine de contrôler et de maîtriser l’ensemble des processus (techniques ou organisationnels) lors des tâches externalisées d’administration d’un SI.

Pour finir, il est important de préciser également qu’un document de type PAS permet de rassurer un donneur d’ordres vis-à-vis de son prestataire mais il doit également être lié très étroitement avec la PSSI de l’organisation administrée. C’est un document stratégique en matière de sécurité informatique et de communication.

 

 

Antoine COUTANT – Directeur Cybersécurité

 

Références

[01]        Maîtriser les risques de l’infogérance – Externalisation des systèmes d’information, ANSSI

https://www.ssi.gouv.fr/uploads/IMG/pdf/2010-12-03_Guide_externalisation.pdf

[02]        Le concept de Cleanroom pour une administration sécurisée et sécurisante, Antoine COUTANT, décembre 2018

https://www.systancia.com/le-concept-de-cleanroom-pour-une-administration-securisee-et-securisante/