Remerciez-le!

Remerciez @Admin pour avoir partagé cet document gratuitement, de la manière la plus simple, en partageant sur les réseaux sociaux.

Externalisation des systèmes d’information ou infogérance L’externalisation app

Externalisation des systèmes d’information ou infogérance L’externalisation appliquée au domaine des systèmes d’information s’appelle l’infogérance. Le recours à l’infogérance présente des avantages (absence de compétences en interne, flexibilité face aux évolutions du SI ou nécessité de rationaliser les coûts) mais aussi des risques qu’il convient d’identifier. L’infogérance peut induire des risques pour le système d’information comme pour les données. Types d’infogérance L’infogérance recouvre un large spectre de prestations, classées en trois catégories : - la gestion d’infrastructures - la gestion des applications - l’hébergement de services Trois grands domaines de risques sont identifiés par l’ANSSI - risques liés à la perte de maîtrise du système d’information o le prestataire peut recourir à un sous-traitant voire à une sous-traitance en cascade o s’assurer que l’ensemble des lieux d’hébergement répondent aux obligations légales et réglementaires et aux exigences de sécurité fixées par le chef d’entreprise o vérifier que les obligations légales spécifiques aux données à caractère personnelles sont respectées o les choix techniques du prestataire doivent être en conformité avec les exigences de sécurité du chef d’entreprise et la réversibilité des données doit être garantie - risques liés aux interventions à distance o vulnérabilités liés aux dispositifs de télémaintenance o intrusion dans le système par une personne non autorisée o l’abus de droit d’un technicien du prestataire - risques liés à l’hébergement mutualisé o perte de disponibilité o perte d’intégrité o perte de confidentialité L’analyse des risques Cette analyse doit permettre de bien évaluer la nature et la gravité des impacts de l’ensemble des risques identifiés. Elle peut mettre en évidence le fait que certaines fonctions ou informations particulièrement sensibles ne doivent pas être externalisées. Les Chefs d’entreprises doivent être très vigilants dans la rédaction du cahier des charges. Leur responsabilité est engagée en cas de perte de données à caractère personnel et ils encourent des sanctions pénales en cas de non respect des dispositions de la loi du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés. Ces exigences conduisent à la rédaction d’un document contractuel avec le prestataire : le plan d’assurance sécurité. Focus sur une forme particulière d’infogérance : Le Cloud computing – l’informatique en nuage Le Cloud est une forme d’infogérance dans laquelle l’emplacement et le fonctionnement du nuage ne sont pas portés à la connaissance des clients. Le Cloud permet de consommer et d’acheter des services en utilisant des serveurs informatiques répartis dans le monde entier et lié à un réseau comme l’Internet. L’avantage consiste pour les utilisateurs à pouvoir accéder de manière évolutive à de nombreux services en ligne sans avoir à gérer l’infrastructure informatique. Le Cloud s’articule autour de 4 critères clés : - la mutualisation des ressources - le paiement à l’usage - la modularité - la standardisation des fonctions proposées. Le Cloud doit être parfaitement encadré juridiquement notamment sur les risques ayant trait : - à la localisation des données - à la disponibilité des données - à la conformité légale - à la confidentialité - à la sécurité des données - à la perte de maîtrise de son SI - à la mutualisation des ressources Comme le souligne l’ANSSI, il est plus difficile de se prémunir de ces risques que dans l’infogérance classique. En effet, le client souscrit le plus souvent à des offres par validation d’un contrat type, qu’il est souvent impossible de personnaliser en y intégrant des clauses particulières en matières de sécurité. Document réalisé par le Comité Opérationnel de Sécurité Économique Contact : Corinne Marbach Mobile : 06 07 26 17 05 ou corinne.marbach@direccte.gouv.fr Sources et pour en savoir plus - Consultez le guide « Maîtriser les risques de l’infogérance » rédigé par l’Agence Nationale de la Sécurité des Systèmes d’information (ANSSI) :http://www.ssi.gouv.fr/ - Visitez le site du CIGREF : http://www.cigref.fr - Lettre d’information Caprioli Associés : Technologies, Information et Propriétés Intellectuelles n°10 : http://www.caprioli-avocats.com uploads/s1/ infogerance-et-cloud-pdf.pdf