Des prestations intellectuelles 100% conformes et sécurisées : du vœu pieux à la réalité

icon menu smartphone

Assurer la sécurité de l’information parmi sa myriade de prestataires

01. De quoi parle-t-on ?

Nous allons aborder une problématique bien présente dans les directions informatiques des grands groupes, au croisement de la sécurité de l’information et de l’externalisation massive : la sécurité chez les tiers, vaste sujet s’il en est.

Commençons par la situation actuelle. D’une part, le recours à des prestataires dans le monde informatique est partout, et ce depuis de nombreuses années. D’autre part, la sécurité de l’information fait partie des préoccupations clef des DSI. Voilà pour deux portes ouvertes, enfoncées sans pitié.

Considérons maintenant l’environnement dans lequel ces prestataires s’insèrent. Ils doivent gérer ce millefeuille :

En d’autres termes, une complexité très importante. Passons cette réflexion au prisme de la sécurité : une population, relativement importante, va devoir travailler dans votre entreprise, avec une connaissance plus faible de l’environnement et une exposition bien plus faible aux initiatives de sécurité traditionnelles.

En effet, quelle proportion des prestataires accueillis dans l’entreprise signent la charte informatique, l’accord de non divulgation, bénéficient d’une session de sensibilisation ? Et parmi eux, combien en ont réellement pris connaissance ? Nonobstant ces efforts louables, je me permets d’avoir quelques doutes quant à leur efficacité réelle.

Je vous épargne le discours traditionnel sur la montée des menaces, les malwares, le déni de service, les APT, anonymous ou les hackers d’état russes (vu que les hackers chinois sont à présent passés de mode). Si vous êtes en manque de Peur, d’Inconnu et de Doute (FUD, pour nos amis anglophones), téléchargez la présentation du fabricant d’antivirus le plus proche !

Plaisanterie à part, je ne pense pas qu’il soit nécessaire de vous convaincre de la réalité ou du sérieux des menaces contre la sécurité de l’information. Vous pouvez vous faire une excellente idée de la menace en consultant les publications idoines du CESIN [1] ou du CLUSIF [2]

Ne pouvant tout traiter en un seul article, je vais me concentrer ici sur le sujet des prestations informatiques, interagissant directement avec un environnement client. Les prestations en régie ou au forfait sont donc concernées, les grands contrats de tierce maintenance applicative ou de support, beaucoup moins. Pour ces derniers, il est plus facile de définir des périmètres et une limite entre « l’externe » et « l’interne », et d’appliquer les bonnes vieilles recettes de la sécurité périmétrique, si dépassées soient elles [3].

02. Les solutions contractuelles, leurs limites, ou comment gagner en sécurité réelle

Commençons par un élément de solution assez répandu, qui, soyons honnêtes, accuse de sérieuses limites : la galaxie des clauses contractuelles, et son avatar en sécurité : le plan d’assurance sécurité (P.A.S.). Ces initiatives, animées d’une confiance aveugle dans la valeur du contrat, considèrent qu’il suffit d’inscrire des clauses du type « je m’engage à prendre tous les moyens nécessaires pour protéger les données client » pour qu’un prestataire soit doté d’une sécurité à l’état de l’art.

Soyons sérieux. Ces clauses ne sont que très rarement réellement appliquées : la plupart des sociétés prendraient le risque d’avoir un problème demain pour gagner le contrat aujourd’hui.

D’aucuns penseront que ces clauses servent à prouver, en cas de problème, que le prestataire est en tort et qu’il devra réparation à son client. Cette idée ne tient pas pour les problèmes de sécurité de l’information, où les impacts d’un problème peuvent être colossaux. De nombreuses sociétés de service n’auraient à aucun moment les moyens de compenser un grand groupe à la hauteur du préjudice d’un incident grave. Quand bien même on leur prendrait toute leur société, leurs voitures à crédit et leur chien !

Entendons-nous bien : ces clauses contractuelles ne sont certainement pas inutiles, au contraire : la sécurité doit être inscrite noir sur blanc dans les contrats cadres. C’est le point de départ pour obtenir un bon niveau de la part de ses fournisseurs. L’erreur serait d’en rester là.

Une fois ce constat établi, que faire ? Autant ne pas se le cacher : obtenir un bon niveau de sécurité de la part de ses prestataires va nécessiter plus d’implication que de faire signer un contrat qui aura à peu près autant droit à l’attention que la mise à jour #231 des conditions d’utilisation de Candy Crush. Je reviendrai sur nos conseils concrets pour mettre tout cela en place par la suite, commençons par se demander « Quels sujets aborder ? »

Vous pourriez demander l’application des 114 mesures de l’ISO/IEC 27002. Une démarche qui devrait prendre un ou deux ans ! Autant demander tout de suite à ses fournisseurs d’être certifiés ISO/IEC 27001. Entendons-nous bien, c’est probablement une excellente idée de demander l’ISO 27001 à ses fournisseurs … mais si vous, cher(e) lecteur(lectrice), en êtes à ce stade, vous n’avez probablement plus besoin de mes quelques conseils sur le sujet !

Nous allons donc nous arrêter sur cinq sujets importants dans la sécurité chez les tiers :

Commençons par la sensibilisation à la sécurité. Vous avez probablement des règles de sécurité, des guides de bonnes pratiques, une ou plusieurs chartes de bonne utilisation du SI … Il serait dommage que toutes ces ressources de qualité ne servent qu’aux internes. Il est par contre indispensable qu’elles soient présentées de manière adaptée, via un package d’accueil spécifique aux externes par exemple. Il convient également d’intégrer, autant que possible, les externes aux initiatives de sensibilisation existantes. Les en exclure est doublement dommageable, d’abord en privant des utilisateurs du SI de connaissances utiles à la sécurité, ensuite en envoyant un mauvais message, déresponsabilisant. Or, vous le retrouverez souvent dans mes lignes : il est crucial que tous, prestataires compris, prennent conscience de leurs responsabilités dans la sécurisation du SI.

Allons plus loin : ces initiatives visent à développer les compétences en sécurité de chacun, pourquoi ne pas exiger de vos prestataires un niveau minimal en sécurité de l’information ? Demander des preuves à sa société qu’il a été sensibilisé récemment ? Nous devons admettre que la sécurité est à présent une compétence de base dans l’utilisation du SI, à plus forte raison dans des métiers informatiques.

Ensuite, passons à un sujet terre à terre, mais malgré tout fort important : la gestion du matériel. Un ordinateur portable, un smartphone d’entreprise restent des actifs extrêmement précieux au regard de la sécurité de l’information, que ce soit pour les informations contenues, les possibilités d’accès au SI, mots de passe enregistrés, emails, carnets d’adresses … Les possibilités d’abus sont très nombreuses [4]. Je présume que vous disposez déjà d’une gestion du matériel centralisée, et dans ce cas, il existe au final assez peu de solutions à la fois imaginatives et réalistes : il convient de veiller à la constitution et le maintien à jour d’un inventaire, et à veiller à la restitution ; utiliser les outils de gestion existants et s’assurer qu’ils sont inclus dans les processus d’entrée et surtout de sortie des prestataires. La criticité de la gestion du matériel m’obligeait toutefois à le mentionner.

Voyons à présent un sujet critique dans la sécurité opérationnelle : la gestion des incidents. Il est pleinement légitime de réclamer des capacités de détection et de réaction d’un prestataire … quand les informations et les traitements qui lui sont confiés le justifient ! Dans les cas les plus simples, fourniture de consultants en régie, assez peu d’incidents côté prestataire peuvent avoir un impact sérieux sur vous ; si un prestataire se voit confier l’hébergement de systèmes sensibles, c’est évidemment une autre histoire, mais nous sortons assez rapidement des limites de cet article, déjà touffu.

Attardons nous cependant un petit moment sur les informations confiées au prestataire, qui se voit généralement enjoindre, par contrat, à les conserver sous bonne garde. Vous vous souvenez de mon avis sur les clauses contractuelles ? Il s’applique pleinement à ce sujet : la protection des données confidentielles risque d’être peu efficace sans instructions précises de votre part. Deux étapes me semblent cruciales : d’une part, être soi-même mature sur la question de la protection des données, et donc savoir les classifier ; d’autre part, demander du chiffrement et autres mesures classiques de protection de la confidentialité. Je ne les détaillerai pas ici, ce sujet est déjà largement abordé. Si vous souhaitez vous documenter sur la question, le site de l’ANSSI, catégories bonnes pratiques, me semble un bon point de départ [5].

Enfin, terminons ce chapitre de conseils pratiques sur un point un peu plus spécifique, celui de l’intégration de la sécurité dans les projets. L’idée théorique est celle de la security by design [6]. En résumé, il s’agit d’intégrer de la sécurité dans toutes les étapes d’un projet, cahier des charges, spécifications, développement, test, recette, production … (ou dans chaque sprint, pour les agiles parmi nous) Vraisemblablement, les phases qui nous concerneront le plus, dans notre sujet d’intégration de sécurité dans la prestation, seront le début et la fin de la démarche projet. En d’autres termes, lors de la rédaction du cahier des charges, penser à exprimer les besoins de sécurité de son produit, et exiger une réponse sur ces besoins, comme n’importe quelle autre fonctionnalité (et en tenir compte dans les choix du gagnant de l’appel d’offres !) Et en phase de recette, exiger ou mener une recette sécurité, qui validera le bon fonctionnement de la sécurité … là aussi, comme n’importe quelle autre fonctionnalité ! Naturel, me direz-vous ? Personnellement, j’attends toujours avec impatience que la sécurité soit une fonctionnalité naturelle, parmi d’autres !

03. Nos retours d’expérience

Voilà pour les recettes, voilà pour les grands principes. Vous l’aurez je l’espère compris, cet article s’attache non seulement à partager des bonnes idées, mais à parvenir à les faire appliquer et relever le niveau de sécurité réelle ! Je vais donc également partager notre retour d’expérience de la mise en application de ces principes chez emagine, au bénéfice d’une partie de nos clients.

Quelques éléments de contexte : emagine est un cabinet de conseil qui s’appuie très largement sur l’expertise de son réseau de freelances et des sociétés très petites. Des personnes fort compétentes, mais dont le métier n’est généralement pas la sécurité et qui n’ont pas la structure nécessaire pour s’appuyer sur des compétences en sécurité en interne. Notre responsabilité est de retranscrire à des prestataires parfois mal équipés pour répondre, les exigences de nos clients en matière de sécurité. Nous avions donc un sacré besoin d’outils et de procédures pour intégrer la sécurité dans la prestation !

Je commencerai par préciser notre vision de cette démarche : l’intégration de la sécurité dans la prestation est à la fois un travail de contrôle / évaluation, mais aussi un chantier de sensibilisation des acteurs. Les meilleurs résultats sont obtenus avec un mélange harmonieux de ces deux tendances.

Côté sensibilisation, il me semble indispensable de communiquer sur les exigences et d’accompagner les différents partenaires. Formuler les exigences de manière claire, rédiger des guides, expliquer les tenants et les aboutissants de la démarche … ces actions donnent une légitimité à l’ensemble de la sécurité et permettent d’atténuer l’effet « encore des contraintes supplémentaires ! ». Entendons-nous bien : cette démarche est une contrainte supplémentaire, à nous de démontrer que ce n’est pas une contrainte inutile mais au contraire un investissement, une source de valeur ajoutée pour tous.

Dans le même ordre d’idées, il est important d’adapter son discours, ses outils à son interlocuteur. Encore une porte ouverte enfoncée, me direz-vous ? Certes, mais les procédures ont tendance à trop uniformiser, et on ne doit pas demander les mêmes garanties de sécurité :

Une seule chose doit rester constante et non négociable : des garanties de sécurité minimum, clairement identifiées, en dessous duquel l’organisation cliente serait trop exposée au risque.

Parlons, à présent, du travail d’évaluation et de contrôle. Nous touchons un point très important, d’une part pour la crédibilité de la démarche et pour la confiance du client final. Nous avons une jolie difficulté à surmonter : comment convaincre ce fameux client de la sincérité et de la valeur de notre démarche, alors qu’une société de prestation, comme la nôtre, est par définition juge et partie ?

La solution est toute trouvée : il est nécessaire de mettre en place une démarche d’audit, en en respectant les principes, intégrité, déontologie, conscience professionnelle, et surtout démarche basée sur la preuve [7]. En effet, toutes les exigences de sécurité évoquées ci-dessus devront, à chaque fois que c’est possible, être soutenues par des preuves documentaires. Procédures, documentation, exemples de situations passées, tout cela peut être acceptable, et sera plus convainquant qu’une affirmation peu engageante.

04. Le mot de la fin

J’ai été plutôt bavard tout au long de cet article, aussi vais-je tenter de rester concis : j’espère avoir réussi à partager avec vous mon intérêt pour la diffusion de la sécurité dans la prestation. Aucune révolution théorique ou conceptuelle, mais une augmentation concrète et réelle du niveau de sécurité des entités d’accueil des intervenants. Pas d’outil ou de technologie révolutionnaire, plutôt l’application consciencieuse de sensibilisation auprès d’un public peu touché jusqu’alors. C’est probablement le plus grand mérite de ce genre de démarches, initier un cercle vertueux d’exigence des grands comptes et de meilleur niveau des sociétés de prestation.

[1] https://www.cesin.fr/publications/actualite/display/64

[2] https://clusif.fr/publications/menaces-informatiques-et-pratiques-de-securite-en-france-edition-2016-support-de-conference/

[3] par exemple : https://www.clever-cloud.com/blog/guests/2015/06/16/the-end-of-the-fortress-metaphor/ , ce sujet est abondamment traité dans la littérature.

[4] https://krebsonsecurity.com/2012/10/the-scrap-value-of-a-hacked-pc-revisited/ pour de nombreuses illustrations.

[5] https://www.ssi.gouv.fr/entreprise/bonnes-pratiques/

[6] Pour plus de détails concrets : https://www.owasp.org/index.php/Security_by_Design_Principles

[7] Principes notamment spécifiés dans la norme ISO/IEC 19011 :2011

En savoir plus sur notre service Conformité

Nicolas Levain
Responsable de la Sécurité des Systèmes d'information
T 01 81 93 88 02



Contacter

 

Contacter

ACCEPTOur website uses cookies so that we can provide you with the best possible user experience.
More information