Sécurité informatique - Un guide pour "maîtriser les risques de l'infogérance"
Patrick Pailloux, directeur général de l'Agence nationale de la sécurité des systèmes d'information (Anssi), a présenté le 3 décembre un guide destiné à aider entreprises et administrations à mieux "maîtriser les risques" lors de l'externalisation de leurs données et de leur gestion informatiques. Pour des raisons de coût, d'espace ou de manque de compétences en interne, de plus en plus de sociétés et d'administrations font appel à des prestataires extérieurs qui stockent les informations dans des serveurs, parfois situés à l'étranger. "Il ne faut pas opposer sécurité et externalisation […] et le recours à un prestataire peut permettre de pallier l'absence ou l'insuffisance de moyens internes, à condition que le prestataire s'engage sur la sécurité", avertit ce guide en introduction. L'Anssi classe l'infogérance (l'externalisation appliquée aux systèmes d'information) en trois grandes catégories : la gestion d'infrastructures, la gestion des applications et l'hébergement de services. "Ce qu'on observe, c'est que souvent les contrats avec les prestataires sont très "pro" sur les aspects économiques et juridiques, mais en matière de sécurité, il n'y a souvent pas grand chose", a résumé Patrick Pailloux. C'est pourquoi les objectifs de ce guide sont triples : faire prendre conscience aux décideurs informatiques des risques en matière de sécurité des systèmes d'information (SSI) liés à toute opération d'externalisation ; fournir une démarche cohérente de prise en compte des aspects SSI lors de la rédaction du cahier des charges d'une opération d'externalisation ; fournir un ensemble de clauses types ainsi qu'une base d'exigences de sécurité, à adapter et personnaliser en fonction du contexte particulier de chaque projet d'externalisation. "Dans quelques mois, nous espérons aussi labelliser de premiers prestataires d'externalisation", conclut Patrick Pailloux. Le guide, intitulé "Maîtriser les risques de l'infogérance", est disponible en version papier mais aussi sur le site internet de l'Anssi en consultation libre.