Maîtriser les risques de l'infogérance
10% de réduction sur vos envois d'emailing --> CLIQUEZ ICI
Retour à l'accueil, cliquez ici
Source : http://www.ssi.gouv.fr/IMG/pdf/2010-12-03_Guide_externalisation.pdf Externalisation des systèmes d’information MAÎTRISER LES RISQUES DE L’INFOGÉRANCEExternalisation des systèmes d'information Introduction Dans le domaine des systèmes d'information, le recours à l’externalisation est devenu une pratique courante qui présente un certain nombre d’avantages, mais aussi de risques qu’il convient d’évaluer avant de prendre cette décision. Il convient à cet égard de ne pas opposer sécurité et externalisation. En effet, le recours à un prestataire peut permettre de pallier l'absence ou l'insuffisance de moyens internes, à condition que le prestataire s'engage sur la sécurité. Les risques en matière de sécurité des systèmes d’information peuvent être liés au contexte de l’opération d’externalisation mais aussi à des spécifications contractuelles déficientes ou incomplètes. Forte de ce constat, l’ANSSI a donc entrepris de rédiger un guide, poursuivant les objectifs suivants : faire prendre conscience aux décideurs informatiques des risques en matière de sécurité des systèmes d’information (SSI) liés à toute opération d’externalisation ; fournir une démarche cohérente de prise en compte des aspects SSI lors de la rédaction du cahier des charges d’une opération d’externalisation ; fournir un ensemble de clauses types ainsi qu’une base d’exigences de sécurité, à adapter et personnaliser en fonction du contexte particulier de chaque projet d’externalisation. La démarche fournie dans ce guide vise à réduire les risques associés à une opération d’externalisation. 1Externalisation des systèmes d'information Avant-propos L'Agence nationale de la sécurité des systèmes d'information (ANSSI) publie un certain nombre de méthodes, guides et bonnes pratiques afin d’aider les organismes du secteur public et du secteur privé à gérer la sécurité de leurs systèmes d'information (SI). Les publications de l’ANSSI sont diffusées sur son site Internet : http://www.ssi.gouv.fr/publications/ Toutes remarques sur ce guide peuvent être adressées à conseil@ssi.gouv.fr 2Externalisation des systèmes d'information Table des matières INTRODUCTION........................................................................................1 AVANT-PROPOS........................................................................................2 LA DÉMARCHE D’EXTERNALISATION.........................................................5 TERMINOLOGIE...................................................................................................5 TYPOLOGIE DE L’INFOGÉRANCE.................................................................................5 LES RISQUES INHÉRENTS À L’EXTERNALISATION......................................7 RISQUES LIÉS À LA PERTE DE MAÎTRISE DE SON SYSTÈME D'INFORMATION.....................................7 Risques liés à la sous-traitance......................................................................................7 Risques liés à la localisation des données......................................................................7 Risques liés aux données à caractère personnel.............................................................8 Risques liés aux choix techniques du prestataire.............................................................9 RISQUES LIÉS AUX INTERVENTIONS À DISTANCE...............................................................10 Champ d’application..................................................................................................10 Risques inhérents aux interventions distantes................................................................11 Recommandations .....................................................................................................11 Mise en œuvre d’une passerelle sécurisée...................................................................12 RISQUES LIÉS À L’HÉBERGEMENT MUTUALISÉ .................................................................13 Champ d’application..................................................................................................13 Risques inhérents à l’hébergement mutualisé...............................................................13 Recommandations......................................................................................................14 L'INFORMATIQUE EN NUAGE OU NÉBULEUSE..................................................................16 PRISE EN COMPTE DE LA SÉCURITÉ DANS LES APPELS D'OFFRES.............19 APPRÉCIER LES RISQUES ET DÉTERMINER LES OBJECTIFS DE SÉCURITÉ.........................................19 RÉDACTION DU CAHIER DES CHARGES........................................................................20 CHOIX DU PRESTATAIRE........................................................................................20 LE PLAN D’ASSURANCE SÉCURITÉ...........................................................23 1. OBJET DU DOCUMENT....................................................................................24 2. DOCUMENTS DE RÉFÉRENCE...............................................................................24 3. DESCRIPTION DU SYSTÈME EXTERNALISÉ...................................................................24 4. RAPPEL DES EXIGENCES ....................................................................................24 3Externalisation des systèmes d'information 5. ORGANISATION............................................................................................25 6. RESPONSABILITÉS LIÉES AU PAS...........................................................................27 7. PROCÉDURE D’ÉVOLUTION DU PAS......................................................................27 8. APPLICABILITÉ DU PAS.....................................................................................28 9. MESURES DE SÉCURITÉ.....................................................................................29 10. MATRICE DE COUVERTURE DES EXIGENCES DE SÉCURITÉ...............................................30 11. DOCUMENTATION DE SUIVI..............................................................................30 CLAUSES DE SÉCURITÉ............................................................................31 TRANSFERT DU SYSTÈME........................................................................................31 RESPONSABILITÉ.................................................................................................31 OBLIGATIONS DU PRESTATAIRE................................................................................31 COMITÉ DE SUIVI...............................................................................................32 CONFIDENTIALITÉ..............................................................................................32 LOCALISATION DES DONNÉES.................................................................................33 CONVENTION DE SERVICE.....................................................................................33 AUDITS DE SÉCURITÉ...........................................................................................34 APPLICATION DES PLANS GOUVERNEMENTAUX................................................................34 SÉCURITÉ DES DÉVELOPPEMENTS APPLICATIFS..................................................................35 GESTION DES ÉVOLUTIONS....................................................................................35 RÉVERSIBILITÉ....................................................................................................35 RÉSILIATION.....................................................................................................37 ANNEXE 1 : CLAUSE DE CONFIDENTIALITÉ TYPE EN CAS DE SOUSTRAITANCE ..............................................................................................39 ANNEXE 2 : EXIGENCES DE SÉCURITÉ TYPES...........................................41 ANNEXE 3 : BONNES PRATIQUES POUR L'HEBERGEMENT MUTUALISE....49 4Externalisation des systèmes d'information 1 La démarche d’externalisation 1.1 Terminologie L’externalisation (en anglais « outsourcing ») est une démarche consistant à confier à un tiers tout ou partie d’une activité qui jusqu’alors était réalisée en interne. L’infogérance est le terme consacré à l’externalisation appliquée au domaine des systèmes d'information. Selon la définition de l’Agence française de normalisation (AFNOR) 1 , « l’infogérance est un service défini comme le résultat d’une intégration d’un ensemble de services élémentaires, visant à confier à un prestataire informatique tout ou partie du système d'information d’un client, dans le cadre d’un contrat pluriannuel, à base forfaitaire, avec un niveau de services et une durée définis. » 1.2 Typologie de l’infogérance L’infogérance recouvre un large spectre de prestations. Diverses déclinaisons de ce type de service et une multitude d’acronymes ont fait leur apparition : MCO (maintien en condition opérationnelle), TMA (tierce maintenance applicative), ASP (Application Service Provider), SAAS (Software as a service), MSSP (Managed Security Service Provider), etc. En outre, la nature et le contour des prestations associées à ces termes correspondent souvent à des réalités différentes selon les prestataires. Les tâches externalisées peuvent être réalisées dans les locaux du prestataire, lorsque le système du client y est hébergé par exemple, ou au moyen d’une liaison permettant d’intervenir à distance sur le système du client. Les tâches externalisées peuvent également être réalisées dans les locaux du client par des équipes du prestataire en charge de ces travaux. Bien que protéiforme, l’infogérance peut être classée en trois grandes catégories : la gestion d’infrastructures : il peut s’agir de la maintenance d’un parc informatique, de l’hébergement et/ou de l’administration de serveurs, de la supervision d’équipements réseau et de sécurité, de la gestion de baies de stockage ou de solutions de sauvegarde, etc. ; 1 Norme AFNOR Z 67 801-1. 5Externalisation des systèmes d'information la gestion des applications : on peut regrouper dans cette catégorie les activités de support fonctionnel, de maintenance préventive ou corrective, et de gestion des évolutions 2 . Les applications éligibles sont souvent des applications web ou des progiciels de gestion intégrée (« ERP » en anglais) ; l’hébergement de service : le prestataire héberge pour le compte de son client une application utilisée comme un service, accessible le plus souvent par le biais d’un navigateur web ou d’un application spécifique. Dans ce cas, le client n’est pas gestionnaire de l’application qu’il exploite pour traiter ses données et s’affranchit totalement des moyens pour la mettre en œuvre. Avec l’apparition des services web, les fournisseurs d’applications hébergées peuvent également fournir à leurs clients une solution plus modulaire, en mettant à leur disposition un service interrogeable à distance et complètement intégrable au sein des applications distantes. 2 Il est préférable de parler de « gestion des évolutions » que de « maintenance évolutive ». En effet, l’AFNOR définit la maintenance comme l’ensemble des actions permettant de maintenir ou de rétablir un bien dans un état spécifié, ou dans un état où il est en mesure d’assurer un service déterminé. 6Externalisation des systèmes d'information 2 Les risques inhérents à l’externalisation 2.1 Risques liés à la perte de maîtrise de son système d'information 2.1.1 Risques liés à la sous-traitance Pour répondre à un appel d’offres, un candidat peut se présenter seul, au sein d’un groupement avec une ou plusieurs entreprises, ou encore recourir à la sous-traitance. Le titulaire du marché peut donc sous-traiter l’exécution de certaines parties de ce dernier, à condition toutefois d’avoir obtenu du pouvoir adjudicateur l’acceptation de chaque sous-traitant et l’agrément de ses conditions de paiement. Même si le titulaire reste personnellement responsable de toutes les obligations résultant du marché, il convient de vérifier que le ou les sous-traitants disposent des capacités techniques et financières nécessaires à la bonne exécution des prestations. Il convient également de s’assurer qu’une sous-traitance en cascade ne conduira pas à rendre inefficaces les contraintes de sécurité exigées du titulaire du marché. En fonction de la nature des prestations sous-traitées et du besoin de sécurité identifié, le donneur d’ordres doit se réserver le droit de récuser tout sous-traitant ne présentant pas les garanties suffisantes pour exécuter les prestations conformément aux exigences de sécurité. 2.1.2 Risques liés à la localisation des données Il convient de s’assurer que l’ensemble des lieux d’hébergement (site principal, site(s) de secours, de sauvegarde, etc.) répondent d’une part aux exigences de sécurité du donneur d’ordres, et d’autre part aux obligations légales et réglementaires, notamment en ce qui concerne la protection des données à caractère personnel. Il en va de même des sites de télémaintenance s’ils peuvent accéder aux données. Certains types d’infogérance ne permettent pas de localiser avec certitude les données hébergées. Ce peut être le cas de solutions d’hébergement reposant sur des infrastructures réparties, telles que l'informatique en nuage (voir page 16). 7Externalisation des systèmes d'information De telles solutions peuvent dans certains cas améliorer la disponibilité du système d'information, mais constituent souvent un facteur d’aggravation des risques d’atteinte à la confidentialité des données. De manière générale, le risque de divulgation d’informations sensibles dans une opération d’infogérance doit être systématiquement évalué. Là encore, l’analyse de risques doit permettre de bien évaluer la nature et la gravité des impacts consécutifs à une divulgation d’informations et de prendre une décision en connaissance de cause. Une localisation de données non maîtrisée peut comporter d’autres risques : difficulté à exercer un droit de regard et de contrôle sur les personnels du prestataire ; difficulté à effectuer un audit de sécurité de l’infrastructure sous-jacente ; difficulté à répondre à d’éventuelles injonctions de la justice, pour des raisons fiscales par exemple, ou d’autres raisons d’ordre juridique. 2.1.3 Risques liés aux données à caractère personnel En outre, le transfert des données à caractère personnel en dehors des frontières de l’Union européenne est réglementé par la directive européenne 95/46/CE et la loi n°78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés. À ce titre, il convient de déterminer si le destinataire du transfert intervient en qualité de « responsable de traitement » ou de « sous-traitant » (au sens de la loi du 6 janvier 1978 modifiée). En effet, cette qualification a des implications importantes en termes de responsabilité. Comme il n'est pas toujours évident de faire la distinction entre ces deux notions, la Commission Nationale de l'informatique et des Libertés (CNIL) a récemment apporté un éclairage sur leurs rôles respectifs : le responsable de traitement se caractérise par son autonomie dans la mise en place et la gestion d'un traitement ; le sous-traitant, quant à lui, a pour mission d'exécuter des tâches sur les instructions et sous la responsabilité du responsable de traitement. Tout traitement de données personnelles par un sous-traitant, ou transfert de données personnelles d'un responsable de traitement à un sous-traitant, ne peut être réalisé que sur instruction du responsable de traitement et à condition qu'un contrat garantissant les mesures de sécurité et de confidentialité mises en place par le sous-traitant soit signé. Un modèle de clause pouvant être utilisé en cas de sous-traitance figure en annexe 1. Enfin, certaines données font l'objet d'une réglementation spécifique. 8Externalisation des systèmes d'information Les hébergeurs de données de santé sont par exemple tenus à des obligations de sécurité précises, définies notamment par le Code de la santé publique. Ces derniers doivent disposer d'un agrément délivré par le ministère de la santé. Les établissements de crédit sont eux aussi assujettis à des garanties spécifiques de sécurité. Dans tous les cas, il convient de vérifier que les obligations légales spécifiques peuvent être respectées dans l’environnement d’externalisation et, dans l’affirmative, de veiller à leur bonne exécution par le prestataire d’externalisation. En effet, il faut garder à l’esprit que le donneur d'ordres, en tant que responsable de traitement, encourt des sanctions pénales en cas de non-respect des dispositions de la loi du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés. 2.1.4 Risques liés aux choix techniques du prestataire La nécessité de faire évoluer le système, pour diverses raisons (obsolescence, montée en charge, nouvelles fonctionnalités demandées), peut nécessiter la mise en œuvre de nouvelles solutions logicielles ou matérielles. Les choix du prestataire peuvent souffrir de limitations en termes de sécurité, notamment pour des raisons économiques, ce qui pourrait entraîner son incapacité à satisfaire certaines exigences de sécurité du donneur d’ordres. Il convient par conséquent de prévoir que le contrat permette de valider les choix du prestataire, après que ce dernier ait apporté la justification de la conformité avec les exigences de sécurité. En outre, il faut être particulièrement vigilant sur l’utilisation d’applications propriétaires peu répandues ou de certaines fonctionnalités développées par le prestataire, greffées sur des applications standard. En effet, le prestataire peut à tout moment décider de ne plus maintenir une application ou d’abandonner une fonctionnalité offerte auparavant. Les applications utilisées doivent être dans la mesure du possible interopérables (a minima compatibilité assurée avec les systèmes d’exploitation et bases de données les plus courants). Il convient de s’assurer que les données peuvent être restituées à tout moment dans un format standard, et si possible ouvert, gage de leur intégration future dans d’autres applications. La description précise de cette restitution (conditions, délais, formats) doit figurer dans le contrat. De façon générale, la question de la réversibilité doit être une préoccupation permanente du donneur d’ordres. Quelles que soient les évolutions du système, il doit 9Externalisation des systèmes d'information être en mesure d’en reprendre l’exploitation à son compte, ou de la confier à un autre tiers de son choix, et ce, à tout moment et sans difficulté particulière. 2.2 Risques liés aux interventions à distance 2.2.1 Champ d’application L’infogérance implique souvent la mise en place de liaisons permettant d’intervenir à distance. En évitant le déplacement d’un ou plusieurs techniciens, les interventions à distance permettent une réduction significative des coûts et des délais d’intervention. Les principaux modes d’intervention à distance sont : le télédiagnostic : supervision d’équipements réseau et sécurité, diagnostic d’anomalies sur une application, etc. ; la télémaintenance : réalisation, après le diagnostic, des opérations à distance sur le dispositif ; la télédistribution : mise à jour d’une application à distance. Les interventions à distance concernent d’abord les moyens informatiques : serveurs, postes de travail ; baies de stockage (SAN, NAS, sauvegardes) ; équipements réseau, sécurité ; imprimantes, photocopieurs ; progiciels de gestion intégrée ; etc. Mais aussi les systèmes de servitude et d’environnement : climatisation ; onduleurs ; autocommutateurs téléphoniques privés (PABX) ; surveillance des accès ; ascenseurs ; etc. Dans certains cas, la mise en œuvre d’une liaison permettant d’intervenir à distance est indispensable, notamment en cas de besoin élevé en disponibilité du système d'information. On peut citer en exemple le support de solutions de stockage de données ou le télédiagnostic d’un progiciel de gestion intégrée sur un système en production. 10Externalisation des systèmes d'information 2.2.2 Risques inhérents aux interventions distantes Les risques dépendent des caractéristiques des dispositifs utilisés et du contexte dans lequel ils sont mis en œuvre. Voici un certain nombre de vulnérabilités fréquemment liées aux dispositifs de télémaintenance : liaison établie de façon permanente avec l’extérieur ; mots de passe par défaut (connus dans le monde entier) ou faibles ; présence de failles dans les interfaces d’accès ; systèmes d’exploitation des dispositifs non tenus à jour ; absence de traçabilité des actions ; personnels responsables de ces dispositifs non conscients des problèmes de sécurité ou mal formés ; interconnexion de systèmes sécurisés de confiance à des systèmes de niveau faible (internet par exemple). L’exploitation de vulnérabilités sur un dispositif de télémaintenance est susceptible de faciliter les intrusions dans le système d'information et d'affecter ainsi la sécurité de l’ensemble du SI. Les principaux risques liés aux dispositifs dédiés aux interventions à distance sont : l'intrusion dans le système d'information par une personne non autorisée (exploitation d’un mot de passe faible, d’une faille ou d’une porte dérobée) avec des conséquences plus ou moins graves selon les motivations de l’attaquant et sa capacité à ne pas être détecté : indisponibilité de l’équipement pouvant entraîner l’indisponibilité du système d'information ; atteinte à la confidentialité ou à l’intégrité des données présentes sur le système d'information ; l'abus de droits d’un technicien du centre de support lors d’une intervention : accès à des données confidentielles ou téléchargement massif de ces dernières ; modification de données sur le système d'information, éventuellement sans laisser de traces (absence de fonction de traçabilité ou possibilité d’effacer les traces à postériori). 2.2.3 Recommandations Il est recommandé de demander aux candidats de recenser et de justifier les dispositifs de télémaintenance qu’ils envisagent de mettre en œuvre sur le système du client. 11Externalisation des systèmes d'information Il doit leur être également demandé un descriptif des dispositifs de télémaintenance et des mesures de sécurité techniques et organisationnelles proposés : la sécurité de la liaison : réseau public ou ligne spécialisée, type de VPN, etc. ; les dispositifs techniques de sécurité : filtrage des accès réseau, droits d’accès, etc. ; les mesures organisationnelles, les procédures retenues pour déclencher une intervention ; les mécanismes d’authentification des techniciens assurant le support ; la traçabilité des actions ; la protection des accès aux données confidentielles en cas d’utilisation sur un système de production ; les éventuels rapports d’audit et plans d’action afférents. Une analyse de risques est nécessaire pour formaliser des objectifs de sécurité ainsi que des mesures adaptées au contexte. Selon la complexité et les enjeux de sécurité du SI, elle pourra être complétée par les documents suivants : un document de procédures d’exploitation de sécurité, fixant les modalités générales d’exploitation de sécurité des dispositifs de télémaintenance ; des fiches réflexes permettant de garantir la bonne application des procédures d’exploitation de sécurité par les personnels en charge de l’utilisation ou de l’administration des dispositifs de télémaintenance ; un protocole d’accord entre le client et la société en charge de la télémaintenance pour formaliser des procédures spécifiques. 2.2.4 Mise en œuvre d’une passerelle sécurisée Afin que les dispositifs de télémaintenance présentent les garanties suffisantes au regard des risques qu’ils font peser sur le système d'information, il est vivement recommandé de prevoir une passerelle sécurisée dédiée à la télémaintenance. La mise en place d’une telle passerelle doit permettre de répondre aux objectifs de sécurité suivants : authentifier la machine distante et la personne en charge du support ; prévenir l’exploitation de vulnérabilités ou de portes dérobées sur le dispositif de télémaintenance ; garantir la confidentialité et l’intégrité des données sur le SI ; assurer une traçabilité de confiance des actions effectuées par le technicien du centre de support ; garantir l’innocuité de la fonction de télémaintenance vis-à-vis du système faisant l’objet du télédiagnostic ainsi que des systèmes connexes ; garantir l’absence de fuite d’informations vers l’extérieur. 12Externalisation des systèmes d'information Il est recommandé de faire procéder à un audit de la passerelle pour vérifier que les mesures de sécurité sont effectives et en adéquation avec les objectifs de sécurité. 2.3 Risques liés à l’hébergement mutualisé 3 2.3.1 Champ d’application L’hébergement mutualisé consiste à héberger plusieurs services sur un seul et même serveur, afin de rationaliser les ressources. Dans la majorité des cas, les services concernés sont des sites Web, des services de messagerie ou des bases de données. Les clients n’ont pas accès directement aux serveurs ou aux ressources mutualisées en tant qu’administrateurs. La configuration est réalisée puis gérée par l’hébergeur ou une société tierce. 2.3.2 Risques inhérents à l’hébergement mutualisé Les risques proviennent du fait que le service hébergé est plus ou moins étroitement lié à d’autres services, certains étant plus vulnérables que les autres. D’autre part, les attaques ciblant une des ressources mutualisées (réseau, logiciel, matériel) pourront avoir des conséquences sur l’ensemble des services co-hébergés. Du point de vue de la sécurité des systèmes d'information, les principaux risques liés au co-hébergement et leurs répercussions sont les suivants : perte de disponibilité : une attaque par déni de service provoque l'indisponibilité du serveur hébergeant la cible de l'attaque. Si plusieurs services sont hébergés sur le même serveur, les services qui n'étaient pas pris pour cible, de même que les équipements présents sur le chemin critique (pare-feu, routeurs, etc.) peuvent être indirectement victimes de l'attaque ; les ressources reposent sur un matériel qui n'est pas contrôlé par le propriétaire de la ressource, mais par l'hébergeur. Il se peut qu'un problème matériel non contrôlé ait une répercussion à plus ou moins long terme sur la ressource confiée à l'hébergeur ; perte d'intégrité : les vulnérabilités permettent souvent, par exécution de code arbitraire, de s'introduire sur dans le système : installation d'une porte 3 Ce paragraphe s’inspire de la note d’information publiée sur le site du CERTA (Centre d’expertise gouvernemental de réponse et de traitement des attaques informatiques), n° CERTA- 2005-INF-005, relative aux bonnes pratiques concernant l’hébergement mutualisé. 13Externalisation des systèmes d'information dérobée, défiguration de site web, vol d'informations, rebond d'attaques, etc. Si un des services hébergés est pris pour cible d'une telle attaque, l'exécution de code peut toucher l'ensemble des services ; un changement de logiciel (voulu ou non) peut avoir une répercussion indirecte sur un service hébergé (non compatibilité, erreurs, etc.) ; perte de confidentialité : le fait de voir les services partager le même environnement physique peut conduire à des croisements d'information (contenu des fichiers clients de plusieurs sites dans la même base de données, ou le même sous répertoire, etc.). Les risques auxquels s’expose un service co-hébergé sont donc augmentés de façon significative dans un environnement non maîtrisé. Par ailleurs, l’hébergement mutualisé introduit par nature des obstacles au traitement des incidents : manque de réactivité dû à la difficulté de trouver un interlocuteur dédié chez l’hébergeur ; mauvaises conditions d’analyses dues aux impacts éventuels sur les autres services hébergés (refus ou impossibilité d’isoler du réseau la machine physique qui héberge le service victime de l’attaque) ; refus de l’hébergeur de communiquer les journaux d’événements du serveur et des équipements périphériques, pour respecter la confidentialité des autres services. 2.3.3 Recommandations L’hébergement sur une machine spécifique doit être privilégié. Il convient de préciser que, sauf demande explicite, une solution d’hébergement mutualisé sera prioritairement retenue par l’hébergeur. Si toutefois le choix d’un hébergement mutualisé est retenu, il convient de bien analyser les conséquences de toutes les attaques potentielles, et de prévoir dans le contrat les actions permettant un traitement efficace d’un incident, notamment la récupération de tous les journaux et l’isolement du réseau sans extinction des machines impliquées. Si le prestataire met en œuvre des techniques de virtualisation des serveurs, il doit fournir à l'hébergé des compartiments logiques et physiques suffisamment étanches ainsi que des moyens de contrôle. 14Externalisation des systèmes d'information En cas de recours à un co-hébergement, la réversibilité du contrat d’hébergement est primordiale. En outre, quatre domaines méritent de faire l’objet de prescriptions explicites, en coordination avec le service juridique : les journaux d’événements ; le suivi du service hébergé (mises à jour, maintenances, sauvegardes, etc.) ; les modalités de prévention d’une attaque ; la réaction suite à incident. Ces quatre domaines sont détaillés en annexe 3. 15Externalisation des systèmes d'information 16 L'informatique en nuage ou nébuleuse ? Champ d’application L’informatique en nuage (en anglais cloud computing) est définie par le Journal Officiel du 6 juin 2010 comme « un mode de traitement des données d’un client, dont l’exploitation s’effectue par l’internet, sous la forme de services fournis par un prestataire ». Comme le précise également la définition du JO, il s’agit d’une « forme de gérance informatique dans laquelle l’emplacement et le fonctionnement du nuage ne sont pas portés à la connaissance des clients ». Les architectures de cloud computing mettent généralement en œuvre des technologies de calcul distribué et de virtualisation. Par extension, le cloud computing tend à désigner toutes les offres de services qui s’appuient sur de telles architectures, accessibles via Internet ou un autre réseau, qu’elles soient publiques ou restreintes à une communauté (« nuage communautaire ») ou encore à usage interne de l’entreprise (« nuage privé »). Les offres proposées dans ce type d’architecture sont de trois types : Infrastructure as a Service : fourniture de ressources matérielles abstraites, typiquement des machines virtuelles, permettant d’installer à distance le système d’exploitation et les applications de son choix ; Platform as a Service : fourniture de plateformes permettant le développement d’applications à partir d’interfaces de programmation (API) déployées et configurables à distance ; Software as a Service : fourniture d’applications directement utilisables à distance. ? Les risques de l’informatique en nuage Compte tenu des principes et des technologies mis en œuvre dans l’informatique en nuage, on retrouve la plupart des risques de l’infogérance « classique ».Externalisation des systèmes d'information 17 Risques liés à la localisation des données : En Europe, le cadre juridique de protection des données à caractère personnel s’appuie sur le principe suivant : il doit être possible de constater à tout moment la localisation des données (principe de territorialité). Or, le plus souvent dans un nuage public, cette localisation est impossible. En effet, les données peuvent être déplacées très rapidement, d’un État à un autre, en fonction des ressources disponibles au sein des infrastructures du prestataire. L’impossibilité de localiser les données dans les nuages publics pose le problème de la compétence des juridictions et du droit applicable. L’impossibilité de réaliser des audits, parfois imposés par un cadre réglementaire, ne permet pas de vérifier la mise en œuvre des mesures de sécurité. En l’absence d’un niveau homogène de protection des données personnelles, et de garantie quant aux mesures de sécurités mises en œuvre, la confidentialité des données est incertaine. Risques de perte de maîtrise de son SI : perte de gouvernance : en utilisant les services d’une infrastructure d’informatique en nuage, le client concède au prestataire un contrôle total, y compris sur la gestion des incidents de sécurité ; dépendance technologique : les offres ne garantissent pas toujours la portabilité des données, des applications ou des services. Il paraît difficile dans ces conditions d’envisager un changement de prestataire ou de réinternaliser le système. Risques liés à la mutualisation des ressources : isolation défaillante : les mécanismes de séparation des ressources (stockage, mémoire) peuvent être défaillants et l’intégrité ou la confidentialité des données compromises ; effacement incomplet ou non sécurisé : il n’y a aucune garantie que les données soient réellement effacées ou qu’il n’existe pas d’autres copies stockées dans le nuage. Enfin, il est plus difficile de se prémunir de ces risques que dans l’infogérance classique. En effet, le client souscrit le plus souvent à des offres par validation d’un contrat type, qu'il est souvent impossible de personnaliser en y intégrant des clauses particulières en matière de sécurité.Externalisation des systèmes d'information 18 ? Recommandations On portera une attention particulière à l’appréciation des risques, en particulier en ce qui concerne les données dites « sensibles » (données à caractère personnel, médicales, financières, secrets industriels, etc.). Il faut être conscient des risques que comporte l’externalisation des services d’une messagerie d’entreprise ou d’une suite bureautique auprès d’un prestataire d’informatique en nuage. Les informations échangées ou traitées par ce biais (pièces jointes, agendas des décideurs, etc.) peuvent revêtir un caractère « sensible », et sont susceptibles d’intéresser la concurrence (intelligence économique). Comme expliqué précédemment, en l’absence de cadre juridique international adapté à l’informatique en nuage, il est préférable de s’assurer que les données à caractère personnel restent localisées sur des serveurs exclusivement situés dans l’Union européenne – voire en France – et de prévoir les moyens de contrôle de cette obligation. Enfin il est recommandé d’étudier attentivement les conditions des offres, en particulier le régime juridique auquel sont soumises les données et les mesures mises en œuvre pour assurer leur confidentialité.Externalisation des systèmes d'information 3 Prise en compte de la sécurité dans les appels d'offres La démarche présentée ci-dessous doit aboutir à la rédaction d’un Plan d’Assurance Sécurité (PAS) par le titulaire, dont l’objet est de spécifier les dispositions contractuelles prises par ce dernier, pour répondre aux exigences de sécurité du donneur d’ordres. 3.1 Apprécier les risques et déterminer les objectifs de sécurité L’étude préalable doit permettre d’apprécier les risques pesant sur le système d’information dans le contexte spécifique de l’opération d’infogérance, en réalisant une analyse de risques. Les risques ainsi appréciés peuvent être traités selon différentes stratégies : réduction du risque : on pourra traiter de cette façon les risques dont la gravité et/ou la vraisemblance (probabilité d’occurrence) peuvent être considérablement réduites par des mesures agissant sur les composantes du risque (source, impact, vulnérabilités, menace) ; prise du risque : on pourra maintenir les risques ayant une gravité et une vraisemblance faibles, en particulier si le coût des mesures de réduction est élevé ; transfert du risque : en cas de risque financier, une assurance ou toute autre forme de couverture du risque peut être contractée par le donneur d'ordres ; cependant, ce transfert ne peut concerner le risque pénal ; évitement du risque : l’analyse de risques peut mettre en évidence le fait que certaines fonctions ou informations particulièrement sensibles ne doivent pas être externalisées dans le contexte de l’opération envisagée. L’étude des risques doit permettre de déterminer les objectifs de sécurité permettant de rendre les risques acceptables. L’ensemble des objectifs de sécurité ainsi formalisés permet de définir une cible de sécurité servant de cadre au contrat établi avec le futur prestataire, tout en veillant à lui laisser une certaine marge de manœuvre nécessaire au fonctionnement de ses processus internes. 19Externalisation des systèmes d'information 3.2 Rédaction du cahier des charges Après avoir déterminé les objectifs de sécurité, le donneur d'ordres spécifie les exigences de sécurité ainsi que les clauses de sécurité dans le cahier des charges. Les candidats doivent fournir, en réponse à la consultation, un document contractuel appelé Plan d’Assurance Sécurité. Ce document précise les dispositions prises par le futur prestataire pour répondre aux exigences de sécurité du donneur d’ordres pendant toute la durée du contrat. Le Plan d’Assurance Sécurité doit être inclus dans la liste des documents contractuels. Il peut être cité immédiatement après le Plan d’Assurance Qualité. Un plan-type d’assurance sécurité, tel que celui proposé au paragraphe 4, sera joint pour servir de cadre de réponse. Il facilitera ainsi la comparaison entre les différentes offres. Enfin, une clause doit préciser que le prestataire s’engage à exécuter ses obligations selon un Plan d’Assurance Sécurité (PAS), défini en accord avec le donneur d’ordres. Le cas échéant, cette clause doit annuler et remplacer la clause de sécurité générique proposée par le prestataire dans son contrat type. Plan d’Assurance Sécurité : Le titulaire s’engage à exécuter ses obligations en termes de sécurité des systèmes d’information selon le Plan d’Assurance Sécurité, dénommé PAS, décrit en annexe du contrat. Le titulaire est responsable de la rédaction initiale du PAS ainsi que de ses évolutions nécessaires pour satisfaire aux exigences de sécurité du donneur d’ordres pendant toute la durée des prestations. 3.3 Choix du prestataire Il appartient au donneur d’ordres de s’assurer de la recevabilité du Plan d’Assurance Sécurité fourni par les candidats, au regard du plan type et des exigences formulées. Compte tenu de la pondération des différents critères de choix des offres, il est possible que le candidat retenu n’offre pas les meilleures garanties sur la partie sécurité. Dans ce cas, le Plan d’Assurance Sécurité peut éventuellement faire l’objet d’une mise au point avec lui avant la notification du contrat. Le Plan d’Assurance Sécurité proposé par le prestataire, et accepté par le donneur d’ordres en conformité avec ses exigences, est annexé au contrat. Par exemple, dans le cadre d’un marché de l’administration, ces différents documents peuvent être reliés aux cahiers des clauses administratives et techniques particulières (CCAP et CCTP) selon le schéma ci-dessous. 20Externalisation des systèmes d'information 21Externalisation des systèmes d'information 22Externalisation des systèmes d'information 4 Le plan d’assurance sécurité Le Plan d'Assurance Sécurité (PAS) doit être demandé dans l'appel d'offres. Document contractuel, il décrit l'ensemble des dispositions spécifiques que les candidats s'engagent à mettre en œuvre pour garantir le respect des exigences de sécurité du donneur d'ordres. C'est aussi un cadre de réponse : il offre une structure pour la réponse des candidats aux exigences de sécurité, ce qui permet de mieux évaluer la pertinence de la couverture des exigences. Il facilite ainsi la comparaison entre les différentes offres. Une fois le prestataire retenu, le PAS est annexé au contrat. Il se substitue aux éventuelles clauses génériques de sécurité du prestataire. Le plan-type proposé ci-après pourra être joint à l'appel d'offres comme base de rédaction du Plan d’Assurance Sécurité qui sera fourni par les candidats en réponse à la consultation. Les paragraphes en italique constituent des propositions de contenu du Plan d’Assurance Sécurité à fournir par le prestataire d’externalisation. Ils devront être adaptés selon la nature de l’opération d’externalisation. 23Externalisation des systèmes d'information 24 1. Objet du document Ce document décrit les dispositions que. Les participants à ces réunions pour