externalisation les limites de linfogérance en matière de sécurité 12 janvier 2005
TRANSCRIPT
Externalisation
Les limites de l’infogérance en matière de sécurité
12 janvier 2005
Page 2F. Bergame, R. Peuchot, E. de
Bernouis
SOMMAIRE
• Info gérer sa sécurité - Éric de Bernouis
• Les contraintes juridiques de l’infogérance sécurité – Raphaël Peuchot
• Externalisation, sécurité … témoignage – Françoise Bergame
Info gérer sa sécurité
Pour quelle confiance ?Éric de Bernouis
Page 4F. Bergame, R. Peuchot, E. de
Bernouis
Quels services pour quelle confiance ?
• Externaliser ou gérer soi-même ?• Que faut-il infogérer ?• Comment préparer une infogérance ?
Page 5F. Bergame, R. Peuchot, E. de
Bernouis
Externaliser ou gérer soi-même
?
Confidentialité
Intégrité
Disponibilité
Authentification
Non répudiation
Traçabilité
Exactitude
Page 6F. Bergame, R. Peuchot, E. de
Bernouis
• La croissance du marché des services sécurité : 34% par an *
• Un CA à horizon 2003 : 2 Billions de $ *• Le marché des MSSP (Managed Security Services Provider)
en 2000 : 400 millions de $ **• La perspective en 2005 : 1.7 Billions de $ **• Un marché pas encore mature
Infogérance et sécurité : une réalité
(Sources : * IDC, ** Yankee Group)
Page 7F. Bergame, R. Peuchot, E. de
Bernouis
• Elles n'ont pas les ressources nécessaires pour gérer complètement la sécurité
• Elles n'ont pas la capacité d'évaluer convenablement les nouveaux produits de sécurité, de les intégrer dans leur système d'information, et de les gérer pour garantir leur efficacité dans le temps
• Elles réalisent qu'elles ne sont pas des sociétés de sécurité et qu'elles ne doivent pas oublier leur métier premier
• Elles sont conscientes que la sécurité de leur système d'information est une des clés de leurs succès futurs
Pourquoi les entreprises font infogérer leur sécurité ?
Page 8F. Bergame, R. Peuchot, E. de
Bernouis
• Elles n'ont pas une idée exacte de la valeur de leur patrimoine informationnel et ont des réactions paranoïaques
• Elles ne savent pas quelles fonctions infogérer et quelles fonctions conserver
• Elles n'ont pas confiance dans les sociétés d'infogérance • Elles ont peur de perdre la main sur ce qu'elles craignent et
qu'elles ne comprennent ou ne maîtrisent pas
Pourquoi les entreprises n'infogérent pas leur sécurité
Page 9F. Bergame, R. Peuchot, E. de
Bernouis
Comment aborder l'infogérance ?
?Les préliminairesLe contenu des
services
Le MSSP Les services
Page 10F. Bergame, R. Peuchot, E. de
Bernouis
Les préliminaires à l'infogérance
• Fonctionnels – Une politique de sécurité pour l'entreprise
– La connaissance des ressources à protéger
– L'évaluation des besoins d'une infogérance (stratégique, économique, technologique)
• Opérationnels– Le choix des services info gérés
– L'existence d'un chef de projet interne (RSSI ou autre)
– Le choix du MSSP
Page 11F. Bergame, R. Peuchot, E. de
Bernouis
Quels services infogérer ?
?
ExpertiseSupervision
AdministrationConception
Fonctionnel
Page 12F. Bergame, R. Peuchot, E. de
Bernouis
• Il s'agit de services liés à la connaissance la plus à jour possible des évolutions les plus récentes des technologies de la sécurité
• Services d'expertise– La veille technologique
– Les services d'alertes de sécurité personnalisées
– Les audits réguliers de vulnérabilité
– Les tests intrusifs
Quels services infogérer ? : expertise
Expertise
Page 13F. Bergame, R. Peuchot, E. de
Bernouis
• Il s'agit de services liés au suivi au quotidien des événements de sécurité survenant votre système d'information
• Services de supervision– L'analyse de log avec bilan périodique des événements de sécurité
– L'analyse de log avec réaction a posteriori et recommandations
– L'analyse de log avec réaction à chaud
– La supervision en temps réel des composants de sécurité
Quels services infogérer ? : supervision
Supervision
Page 14F. Bergame, R. Peuchot, E. de
Bernouis
• Il s'agit de services de délégation de responsabilité d'administration et d'exploitation de composants de sécurité à des tiers en interne ou à distance
• Services d'administration– Les Firewalls, Proxies serveurs
– Les VPN
– Les mécanismes d'authentification renforcée
– La sécurité des services WEB
– La lutte anti virale
– Les mécanismes de certification
– Les ASP
Quels services infogérer ? : administration
Administration
Page 15F. Bergame, R. Peuchot, E. de
Bernouis
• Il s'agit de services de délégation de responsabilité fonctionnelle de la sécurité à des tiers en interne principalement
• Services de conception– Responsable sécurité
– Gestionnaire de risques
Quels services infogérer ? : conception
Conception
Page 16F. Bergame, R. Peuchot, E. de
Bernouis
• Il s'agit du cas particulier des plans de reprise d'activité sur incident ou sinistre majeur
• Services de reprise– Conception
– Fournisseur de solution de secours
– Test des plans
– Maintenance des plans
Quels services infogérer ? : reprise d'activité
Page 17F. Bergame, R. Peuchot, E. de
Bernouis
Le choix du MSSP
• Le MSSP est un partenaire dans lequel vous devez avoir d'abord CONFIANCE– Image de marque et preuve (AFAQ, EQNET, Fédération des
Professionnels des Tests Intrusifs)
– Pérennité et stabilité
– Solidité financière
– Démarche et compétences
– Services fournis
– Engagement, éthique et politique de gestion du personnel
Page 18F. Bergame, R. Peuchot, E. de
Bernouis
• La base de l'engagement : le SLA (Service Level Agreement) ou le contrat de service
L'engagement du MSSP
" Écrire ce que l'on fait et faire ce que l'on écrit "
Page 19F. Bergame, R. Peuchot, E. de
Bernouis
• Le SLA doit obligatoirement contenir de manière très précise– Le périmètre (services couverts, contenus, limites)
– Les responsabilités de chacun dans les différents domaines
– Les conditions de prise en compte de l'infogérance
– La durée, les prix et les clauses de réversibilité
– Les engagements et obligations du prestataire (Sécurité, Traçabilité,
Livrables, Obligations légales, …)
– Les engagements et obligations du clients (Contrôle qualité, Direction
de projet, Escalade, Obligations légales,…)
L'engagement du MSSP
Page 20F. Bergame, R. Peuchot, E. de
Bernouis
• Les points à prendre en compte plus particulièrement– Conservez la maîtrise de votre sécurité
– Conservez la maîtrise de vos risques fonctionnels et technologiques
– Disposez d'un droit de contrôle complet sur votre MSSP dans le cadre
de votre contrat
– Définissez très précisément les obligations sécuritaires du MSSP vis-à-
vis de votre système d'information (confidentialité, disponibilité,
intégrité, physique, ...)
L'engagement du MSSP
Page 21F. Bergame, R. Peuchot, E. de
Bernouis
• Infogérer une partie de sa sécurité permet de prendre en compte:– la réduction des budgets informatiques– la complexification des architectures client - serveur et Internet
• Infogérer une partie de sa sécurité permet de :– recentrer l'activité de l'entreprise sur sa vocation première– disposer pour autant d'un niveau de prestation élevé
• Mais infogérer une partie de sa sécurité, c'est :– maîtriser ses besoins et ses risques– mettre en œuvre un partenariat de confiance avec un prestataire– formaliser précisément ce partenariat
Conclusions
Page 22F. Bergame, R. Peuchot, E. de
Bernouis
Conclusions
“ NE PAS PREVOIR C’EST DEJA GEMIR “
(Socrate)
“ GAGNER, CE N'EST PAS ÊTRE LE MEILLEUR, C'EST SAVOIR S'ENTOURER DES MEILLEURS “
(Mac Arthur)
Les contraintes juridiques de l’infogérance de sécurité
Me Raphaël PEUCHOT, avocat, Ribeyre & Associés
1. Définition du périmètre technique de la prestation
2. La gestion du contrat
3. La clause de réversibilité
4. Mérites et risques de la sous-traitance
5. Responsabilité et assurance
6. Gestion des sinistres
Sommaire
Page 25F. Bergame, R. Peuchot, E. de
Bernouis
1. Le périmètre technique de la prestation d’infogérance
• la définition des besoins incombe au client
- exigences de sécurité
- degré de latitude dans les préconisations
- niveau de sécurité attendu (qualification des obligations)
• une obligation générale d’information pèse sur le client
- politique de sécurité
- architecture technique et contraintes d’exploitation
- périmètre contractuel préexistant
• le prestataire doit déclarer et garantir sa bonne information
- obligation de conseil (et de critique)
- engagement écrit
Page 26F. Bergame, R. Peuchot, E. de
Bernouis
2. La gestion du contrat
• la double finalité du contrat
- la définition des obligations réciproques
- la sanction des inexécutions
• le suivi contractuel
- la bonne exécution de ses obligations par le prestataire
- l’exécution conforme du contrat en interne
Page 27F. Bergame, R. Peuchot, E. de
Bernouis
3. La réversibilité du contrat d’infogérance
• le cadre de la réversibilité
- les cas de cessation du contrat
- la procédure collective du prestataire
• les exigences de réversibilité
- la continuité de service
- la confidentialité et l’intégrité des données
- l’absence de toute rétention
• les modalités techniques et financières
- le plan de réversibilité
- le transfert de savoir-faire
- le coût de la réversibilité
Page 28F. Bergame, R. Peuchot, E. de
Bernouis
4. Mérites et risques de la sous-traitance
• le régime juridique de la sous-traitance
- notion et modalités
- l’agrément
- le paiement direct
• les intérêts de la sous-traitance
- la complémentarité des compétences
- l’unicité d’interlocuteur (maître d’œuvre)
• les risques de la sous-traitance
- la mauvaise définition des rôles
- la sous-traitance non déclarée
- la gestion déficiente de la chaîne de sous-traitance
Page 29F. Bergame, R. Peuchot, E. de
Bernouis
5. Responsabilité et assurance
• fondement de la responsabilité : l’inexécution contractuelle
- inexécution d’une obligation
- inexécution partielle
- inexécution totale
• les conséquences de la responsabilité
- la faille de sécurité méconnue
- le préjudice
- l’atténuation de la responsabilité
• l’assurance des prestations d’infogérance de sécurité
- l’assurance de responsabilité civile
- l’assurance dommage
Page 30F. Bergame, R. Peuchot, E. de
Bernouis
6. La gestion des sinistres
• les situations de crises
- qualification
- plan de réaction
• la préservation des preuves
- modalités et utilité
- suites contractuelles et/ou judiciaires
Janvier 2005
Externalisation, sécurité…
Témoignage Françoise BERGAME
Page 32F. Bergame, R. Peuchot, E. de
Bernouis
MissionMissionEM LYON est une institution européenne dans la tradition des «Grandes Écoles Françaises» dédiée à l’apprentissage du management international tout au long de la vie.
Sa mission consiste à accompagner le développement des individus et des entreprises au travers d’une gamme de programmes et de solutions – de la formation initiale pour étudiants à la formation continue pour cadres dirigeants.
Son expertise repose sur des formations à la fois académiques et en prise directe avec les réalités de l’entreprise soutenue par une recherche pertinente.
Son identité s’appuie sur une tradition d’innovation pédagogique et d’approche entrepreneuriale de la formation au management.
Page 33F. Bergame, R. Peuchot, E. de
Bernouis
ProfilProfil 1872 – création de l’Ecole par des industriels de la
Chambre de Commerce et d’Industrie de Lyon1997 – le Groupe ESC Lyon devient EM LYON – Ecole de
Management de Lyon
30 000 m2 de bâtiments situés dans une domaine de 6 hectares
2 résidences universitaires2 sites de formation : le campus de Lyon-Ecully et le Centre
de Formation de Paris
30 millions d’euros de budget de fonctionnement
2 200 étudiants dont 25% d’étrangers5 000 cadres d’entreprise en éducation permanente par an300 salariés dont 80 professeurs400 intervenants (professeurs, consultants ou responsables
d’entreprise)12 500 diplômés87 universités ou Business Schools étrangères partenaires
Page 34F. Bergame, R. Peuchot, E. de
Bernouis
Classements et AccréditationsClassements et Accréditations N°4 du Classement Grandes
Ecoles du Magazine l’Etudiant (décembre 2003).
N°17 en Europe pour l’International MBA par The Economist (septembre 2003)
N°37 dans le monde pour les programmes sur-mesure en formation permanente par The Financial Times (mai 2004)
Accréditée EQUIS par l’EFMD (European Foundation for Management Development)
Accréditée AMBA (Association of MBAs) pour les programmes EM LYON International MBA et EM LYON Executive MBA)
Accrédité AACSB (Association to Advance Collegiate Schools of Business)
Page 35F. Bergame, R. Peuchot, E. de
Bernouis
Organisation orientée-clientOrganisation orientée-client
Accompagner les entreprises dans le développement de leurs compétences
> Programmes MBA> Individual Learning Solutions :
diplômes, certificats, séminaires> Corporate Learning Solutions : Programmes sur
mesure > Programmes Linguistiques > Solutions e-learning
Des programmes et séminaires pour créateurs ou repreneurs d’entreprises
> Programme d’Appui à la Création d’Entreprise> Programme Reprise d’Entreprise> Séminaires pour Dirigeants
Propriétaires> Séminaires et conférences> Programmes sur-mesure
Comité ExecutifFaculté et recherche
Carrières et PartenariatsDrh, Daf, Dmc, Dsit…
Des programmes de formation initiale adaptés à chaque profil
> Programme ESC (Bachelor & Master of
Science in Management) > Master in European
Business > Mastères Spécialisés
Page 36F. Bergame, R. Peuchot, E. de
Bernouis
Activité et projets DSITActivité et projets DSIT
Projets Urbanisation des SI modèlisation process, modèlisation architecture annuaire, EAI, WebServices. couche décisionnelle
Projets SI Evolution du campus virtuel
et jeux pédagogiques. Evolution du SIcontrôle de
gestion, Gestion de la relation client
(partenaires, prospects, clients,anciens), Fidélisation, Mail à vie
Projets postes de travail
Projets Infrastructures Migration messagerie Sauvegarde, supervision, QoS Nouveau réseau Wifi 2G Nouveau réseau filaire 2G Réseau LyRE e-center
Nouvelles Techno : Umts, WebTv, Web radio…
Maintenance évolutive et corrective
Assistance au personnel Formation au personnel Assistance participants, salles
de cours, jeux pédagogiques
Administration, exploitation…
Schéma directeur, politique sécurité, reporting, indicateurs, budget… (3 BU, Lyon, Paris, résidences…)
Page 37F. Bergame, R. Peuchot, E. de
Bernouis
Organisation D.S.I.TOrganisation D.S.I.T interneinterne externeexterneDirecteur
Assistante Achat/GestionResponsable Formation/Communication
CdP SI de Gestion
CdP Campus Virtuel
CdP Internet/Intranet
CdP Assistance MOA
Technicien TMA
Ingénieur TMA
Responsable du service Réseau Système Maintenance
Responsable du service Etudes et Projets
Responsable Assistance/PostesTechnicien d’assistanceTechnicien d’assistanceTechnicien d’assistanceTechnicien d’assistance
Ingénieur Exploitation
CdP Système
CdP Réseau/Télécom
Réalisation d’application mode projet Mise en place Infrastructure, mode projetHébergement Infrastructure Campus VirtuelAssistance utilisateur aux participants
Page 38F. Bergame, R. Peuchot, E. de
Bernouis
Les raisons de cette répartition Les raisons de cette répartition Politique Rh de la DSIT :Politique Rh de la DSIT :
plus d’embauche de profils «technicien d’assistance», difficulté à proposer des évolutions de carrière… Pas d’embauche des profils Chef de projet
«Réseau/Système» car grands chantiers, mais à durée limitée.Volonté de conserver en interne les Chefs de projet
«Etudes et Projets» (cœur de métier), les pilotes d’activités (chefs de service, Directeurs de projets)
Prise en compte de l’historiquel’historique, des équipes internes et externes en place, de leur compétence, de leur désir d’évolution… Du rythmerythme nécessaire pour de telles conduites de changement.
Points forts- Connaissance terrain forte- Esprit d’équipe interne/externe
Points faibles- Ne colle plus à notre Schéma Directeur- Mixte interne/externe sur certains domaines- Zone de responsabilités non toujours claires- Sociétés partenaires nombreuses
Page 39F. Bergame, R. Peuchot, E. de
Bernouis
Équipe permanente sur site,Équipe permanente sur site,Répartition de l’effectif.Répartition de l’effectif.
Répartition de l'effectif
Effectif interne67%
Effectif externe33%
Page 40F. Bergame, R. Peuchot, E. de
Bernouis
Répartition coût externe/interneRépartition coût externe/interne
Répartition coût externe, coût interne
Coût interne62%
Coût externe38%
Page 41F. Bergame, R. Peuchot, E. de
Bernouis
Externalisation : nouvelle cibleExternalisation : nouvelle cible Changement du périmètre du Système d’Information :Changement du périmètre du Système d’Information :
Campus virtuel et e-learning, Informatique des entreprises clientes, Anciens participants, mails à vie, portail à vie…
Importance grandissante de la maîtrise des coûts, des Importance grandissante de la maîtrise des coûts, des niveaux de service, des niveaux de sécuriténiveaux de service, des niveaux de sécurité (confidentialité, fiabilité, pérennité…)
Rythme élevé de l’évolution des nouvelles technologiesRythme élevé de l’évolution des nouvelles technologies
Exigence grandissante :Exigence grandissante : public international (maîtrise de l’anglais), informatique très sollicitée (24/24h, 7j/7)
Évolution de la politique RH globale de l’entreprise, désir de se concentrer sur les fonctions cœur de métier.se concentrer sur les fonctions cœur de métier.
Page 42F. Bergame, R. Peuchot, E. de
Bernouis
Organisation D.S.I.T cibleOrganisation D.S.I.T cibleEn externe :En externe :
- Assistance technique (personnel et étudiant)
- Réalisation applicative, paramétrage progiciel
- Mise en œuvre projet Infrastructure, postes de travail
• meilleures maîtrises des coûts, des niveaux de services par BU• plus grande prise de responsabilité de la ssii• meilleure évolution des profils techniciens
• meilleure tenue des délais sur les gros chantiers• meilleure visibilité sur les coûts• engagement, garantie de la ssii, de l’éditeur• concentration de nos équipes sur l’accompagnement des équipes fonctionnelles, les validations…
• maîtrise délais, coûts• compétences spécifiques difficiles à avoir• concentration de nos équipes sur le pilotage
Page 43F. Bergame, R. Peuchot, E. de
Bernouis
Organisation D.S.I.T cibleOrganisation D.S.I.T cibleEn externe :En externe :
- Hébergement des serveurs destinés à un public large (messagerie à vie, campus virtuel destiné aux entreprises clientes…)
- Hébergement application non cœur de métier (paye…)
• 7j/7, 24/24h impossible en interne• volume trop important, à terme, pour nos équipes internes,• exigence sécurité (disponibilité, fiabilité…) fortes pour les entreprises clientes• engagement contractuel externe
• gestion interne non rentable, mobilisant nos ressources sur des domaines où ils n’apportent pas de valeur ajoutée• exigences sécurité pouvant être fortes
Page 44F. Bergame, R. Peuchot, E. de
Bernouis
En interne :En interne :
- Pilotage niveau Direction : Schéma Directeur, Politique Sécurité, Budgets…- Pilotage activités des Services : Etudes & Projet, Maintenance applicative, Infrastructure, Assistance/Poste de travail.- Pilotage projets de mise en œuvre- Assistance à maîtrise d’ouvrage
- Hébergement applications cœur de métier, stratégiques
Organisation D.S.I.T cibleOrganisation D.S.I.T cible
• meilleure connaissance des orientations stratégiques Entreprise, DSIT, • meilleure connaissance des priorités, des enjeux et risques
• meilleure connaissance des métiers : interlocuteurs, process existants, process cibles…• meilleures gestion multi-projets, gestion des priorités• appel à l’extérieur restant possible : conseil, expertise, accompagnement…
• maîtrise globale de l’infrastructure, • maîtrise de son administration et exploitation (sécurité, réactivité, évolution…)
Page 45F. Bergame, R. Peuchot, E. de
Bernouis
Mixte Interne/Externe :Mixte Interne/Externe :
- Conception d’architecture, de solutions, veille-
- Exploitation, Administration, Sécurité- Maintenance applicative
Organisation D.S.I.T cibleOrganisation D.S.I.T cible
• besoin d’une bonne maîtrise des architectures existantes, des choix passés….• besoin d’une bonne connaissance des nouveautés du marché
• prise en compte de l’organisation existante, des équipes existantes,• études d’externalisation non encore menées, • priorité donnée aux études d’externalisation de l’assistance, de l’hébergement.
Page 46F. Bergame, R. Peuchot, E. de
Bernouis
Zoom sur les aspects sécuritéZoom sur les aspects sécurité
Politique sécurité définie en interne, pilotage des actions sécurité en interne, mais appel à l’expertise et à la technicité des prestataires.
Le dialogue interne/externe : levier pour améliorer la sécurité.
Vigilance sur les contrats de prestation externe, d’hébergement externe (définition des périmètres de responsabilité, clauses de réversibilité, de confidentialité)
Fort partenariat avec les prestataires externes, travail sur le long terme, niveau de confiance mutuelle élevée.
Clients finaux : décideurs d’aujourd’hui et de demain. Partenaires Taxe d’apprentissage, Stages/Emplois,
participation dans la pédagogie…
Page 47F. Bergame, R. Peuchot, E. de
Bernouis
ConclusionsConclusions
L’externalisation des serveurs et applications a été guidée par la recherche d’une plus grande sécurité
plus grande disponibilité meilleure fiabilité, meilleur plan de secours confidentialité respectée
Mais moins bonne réactivité…
L’externalisation de prestation a davantage été guidée par des aspects RH par la recherche de la meilleure répartition des
compétences, des charges
Le travail sur les contrats a renforcé notre sensibilisation sur les aspects sécurité au sens large.
CLUSIR