Produits
Solutions
- Par technologies
  - IAM
  - PAM
  - VDI
  - ZTNA
- Par cas d’usages
  - Télétravail
    
    Afin de s’adapter aux nouveaux usages en matière de mobilité, de télétravail ou d’infogérance, les entreprises et organisations doivent permettre aux collaborateurs d’accéder depuis l’extérieur au SI via une expérience transparente pour l’utilisateur en matière d’ergonomie et de performance, tout en garantissant la sécurité des accès depuis un poste ou un réseau non maîtrisés....
    Lire le cas d'usage
  - Accès de tiers (prestataire, écosystème)
    
    Pour s’assurer de l’adhésion des utilisateurs et de la DSI, toute solution IT doit garantir une expérience d’accès et d’utilisation optimale tout en élevant la sécurité du SI sans que cela soit vécu comme une contrainte par l’utilisateur....
    Lire le cas d'usage
  - Surveillance des accès (traçabilité et audit des accès)
    
    La sécurité des systèmes d’informations (SSI) repose principalement sur celle de son maillon le plus faible qui est également l’élément essentiel : l’humain....
    Lire le cas d'usage
  - Conformité réglementaire
    
    La conformité aux multiples réglementations est parfois perçue comme une contrainte mais elle est pourtant nécessaire pour garantir une sécurité efficace du SI....
    Lire le cas d'usage
  - Agilité de la gestion des accès
    
    Les mouvements de collaborateurs, qu’il s’agisse de turnover, rotation interne ou d’infogérance ou encore les opérations de fusion acquisition nécessitent que la DSI puisse bénéficier d’une réelle agilité dans un souci de fluidification de ces mouvements et d’élévation du niveau de sécurité du SI....
    Lire le cas d'usage
  - Remplacement d’une solution en place
    
    Que ce soit pour garantir la sécurité du SI, optimiser l’expérience de travail ou simplifier la gestion des applications, les entreprises et organisations peuvent être amenées à moderniser et remplacer leurs solutions IT devenues obsolètes et qui ne proposent plus les innovations pour répondre aux enjeux de l’inclusion digitale....
    Lire le cas d'usage
  - Virtualisation de bureau ou d’application
    
    La solution de virtualisation d’applications et des postes de travail aux fonctionnalité avancées adaptée à toutes les organisations, et permettant de tirer le meilleur parti des infrastructures hyperconvergées....
    Lire le cas d'usage
  - « SaaSification » d’applications
    
    La virtualisation d’applications permet aux organisations de rendre disponibles toutes leurs applications métiers en mode SaaS....
    Lire le cas d'usage
  - Le cloud comme un levier
    
    Rendre l’accès aux applications indépendantes des systèmes d’exploitation et devices utilisés par les collaborateurs d’une organisation....
    Lire le cas d'usage
  - Risque digital et protection des données
    
    La multiplication des données au sein des entreprises et organisations, ainsi que leur caractère parfois sensible rend leur protection indispensable contre tout risque de fuite potentiellement dévastateur comme nous le rappellent quotidiennement les unes de la presse....
    Lire le cas d'usage
Partenaires
Ressources
- Événements
- Témoignages clients
- Blog
- Customer Success
  Nous vous proposons des formations adaptées à votre profil, soit en self-service en ligne, que vous pouvez suivre à votre rythme, soit dispensées par un consultant Systancia
  Découvrez nos formations
Systancia

SystanciaBlogCybersécuritéLe PAM n’exclut pas le PAS

Le PAM n’exclut pas le PAS

Avant de commencer à jouer à un jeu de société, il est naturel de lire au préalable ses règles. Dans le cadre d’une prestation d’infogérance, il est important d’établir également entre les parties les « règles du jeu ».

Dans [01], l’ANSSIL’agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) est une organisation gouvernementale française.... More précise à juste titre que, dans le cadre d’une infogérance, la sécurité ne doit pas être antinomique à l’externalisation. Pour une organisation (dont l’administration de son SI est confiée à un infogéreur), les risques intrinsèques sont généralement liés à la perte de maîtrise de son SI ainsi qu’aux interventions à distance.
Pour cela, un Plan d’Assurance Sécurité (PAS) doit être élaboré – selon un cadre défini par l’organisation administrée (aussi appelée donneur d’ordres) – par l’infogéreur (considéré ici comme un sous-traitant). Le PAS définit les dispositions (contractuelles, méthodologiques, techniques, organisationnelles et procédurales) permettant de répondre aux exigences de sécurité du donneur d’ordre.
A titre illustratif, le Plan d’Assurance Sécurité du sous-traitant réalisant de l’infogérance pour une organisation doit s’articuler autour de trois temps principaux :

Objet de l’externalisation
Présentation de l’organisation interne mise en place (aussi bien pour la gestion de la sécurité mais également pour les évolutions et l’application du PAS)
Mesures de sécurité mises en œuvre pour chaque exigence

Dans la définition des mesures de sécurité, nous devons retrouver des mesures techniques mais également des mesures organisationnelles liées aux Ressources Humaines du sous-traitant.
A titre illustratif, une solution comme Systancia Cleanroom de Systancia (qui combine VDI, PAM, VPN et SSO) permet d’apporter une réponse technique aux risques identifiés pour de l’infogérance ([02]).
En effet, cette solution apporte des solutions techniques aux mesures afférentes à la gestion des accès logiques ainsi qu’à la confidentialité et l’intégrité des flux d’administration. De plus, elle répond également techniquement à la gestion (et protection) des mots de passe d’accès aux ressources administrées.
Néanmoins, utiliser une solution comme Systancia Cleanroom ne dispense pas l’infogéreur d’établir un Plan d’Assurance Sécurité en collaboration avec l’organisation administrée. L’objectif est in fine de contrôler et de maîtriser l’ensemble des processus (techniques ou organisationnels) lors des tâches externalisées d’administration d’un SI.
Pour finir, il est important de préciser également qu’un document de type PAS permet de rassurer un donneur d’ordres vis-à-vis de son prestataire mais il doit également être lié très étroitement avec la PSSI de l’organisation administrée. C’est un document stratégique en matière de sécurité informatique et de communication.

Références

[01] Maîtriser les risques de l’infogérance – Externalisation des systèmes d’information, ANSSI

[02] Le concept de Cleanroom pour une administration sécurisée et sécurisante, Antoine COUTANT, décembre 2018

Publié le 01 mars 2019 par Systancia

Thématiques

PAM Cybersécurité CIO CISO CTO

Le PAM n’exclut pas le PAS

Références

Ne manquez pas ces évènements :

Accès distant : vous êtes-vous posé ces 10 questions cruciales?

Offrez la meilleure expérience à vos utilisateurs à privilèges

Faites progresser votre PAM avec vos usages

Ces articles pourraient vous intéresser :

Le visage humain de l’environnement de travail

Gestion des comptes à privilèges : 5 recommandations clés pour protéger votre SI

Télétravail : comment protéger les entreprises contre la recrudescence des cyberattaques