Il n’y a plus de doute, l’information est aujourd’hui au cœur des organisations et son « partage » est devenu incontournable… Échanger l’information avec ses clients, ses fournisseurs ou ses pairs, c’est bonifier la qualité de ses données, améliorer ses processus, être plus efficace dans son business, etc. Autrement dit, la question n'est plus « Doit-on “ouvrir” son SI ? », mais « Comment l'ouvrir de la façon la plus sécurisée possible et avec le moins d’impact sur les aspects fonctionnels ? ».
À l’heure du cloud, de l’externalisation, de l’ouverture grandissante des systèmes et des échanges, les risques pesant sur l’information ont évolué. La « chaîne » composant l’information n’est plus seulement interne ; elle repose maintenant sur des partenaires (fournisseurs ou sous-traitants), certains pouvant être critiques (par exemple un hébergeur informatique, un éditeur d’une application RH en SaaS, etc.) pour l’organisation (on parle alors de Prestataires de services externes essentiels – PS2E). Dans ce cadre, il est primordial de se poser quelques bonnes questions pour sélectionner les bons – les meilleurs… – partenaires du point de vue de la sécurité de l’information.
Toutefois, l’expérience montre que si les mécanismes de sélection des prestataires répondent toujours à des exigences fonctionnelles (ce qui est normal), la sécurité de l’information en est souvent le parent pauvre, quand elle n’en est pas totalement exclue… À ce titre, les chiffres identifiés dans l’édition 2018 de l’étude MIPS
Bien que près de la moitié des entreprises de plus de 100 salariés (44 %) disent avoir placé tout ou partie de leur système d’information sous contrat d’infogérance (externalisation de tout ou partie de son système informatique chez un prestataire tiers), seules 62 % d'entre elles exercent un suivi régulier de cette infogérance grâce à des indicateurs de sécurité de l’information et 45 % font des audits sur cette infogérance.
De même, 48 % des entreprises ont recours à des solutions en cloud (privé à 44 %, public à 18 % et hybride à 31 % ; les 7 % restants « ne savent pas » !), mais 23 % seulement ont défini une « politique d’utilisation du cloud » identifiant les critères liés au choix d’un partenaire (voir Schéma 1). Au final, dans une majorité des cas, le RSSI
Ces données montrent le chemin restant à parcourir sur ces sujets, du point de vue de la sécurité de l’information…
Et le risque dans tout cela ?
En sécurité de l’information, le risque se définit comme la composante d’une menace pesant sur un bien qui serait vulnérable. Deux exemples sont présentés dans le Schéma 2.
Les biens (avec leurs vulnérabilités) et les menaces sont multiples et quasi infinis. De ce fait, les risques pesant sur l’information le sont aussi. Alors, concrètement, quels sont les risques liés à une gestion « aléatoire » des partenaires ?
Dans notre exemple, les « biens » correspondent aux partenaires (ou aux services produits par eux), alors voyons ce qu’il en est des vulnérabilités et des menaces. Le Tableau 1 en présente quelques-unes, à valeur d’exemple.
Par ailleurs, lorsqu’un risque est avéré (par exemple si l'inondation survient…), il aura un impact en termes de DICP (disponibilité, intégrité, confidentialité et preuve, incluant la traçabilité) sur le « système » impacté. Cet impact implique, quant à lui, une conséquence pour l’entreprise qui entraînera une perte sur un ou plusieurs des domaines suivants : financier, juridique, social, etc.
Alors, comment faire pour identifier, au mieux, les risques que font peser les fournisseurs/partenaires (a minima les plus critiques) sur une entreprise ? Pour cela, rien de mieux que de réaliser une analyse des risques. L’utilisation d’une méthodologie éprouvée est ici un réel plus. En effet, la méthode apporte exhaustivité et pertinence et garantit un résultat reproductible dans le temps (eh oui, il ne faut pas oublier qu’un risque évolue !).
En France, les trois principales méthodologies d’analyse des risques utilisées sont MEHARI, EBIOS et ISO 27005. Mais nous ne nous attarderons pas ici sur les concepts et les différences entre ces méthodes (ce n’est pas notre sujet du jour…).
Une fois les risques identifiés de façon exhaustive et classifiés par ordre de criticité, la question est de savoir comment les gérer.
Quelles sont les bonnes pratiques à mettre en œuvre ?
Deux aspects sont à prendre en compte : que faire pour les partenaires déjà existants et pour ceux à venir ?
En amont, il sera important de formaliser des procédures de « gestion des fournisseurs », vu de la sécurité de l’information : comment les choisit-on, quel suivi assure-t-on et comment les contrôle-t-on ? Cela peut, par exemple, se traduire par la formalisation d’un PAS (Plan d’assurance sécurité) identifiant toutes les exigences de l’entreprise au regard de la sécurité de l’information, mais aussi les actions de suivi (comité sécurité, audit, etc.) qui la lie à son partenaire.
Pour les partenaires existants, l’analyse des risques doit permettre d’identifier le niveau de criticité au regard du fonctionnement de l’entreprise. Pour les plus critiques (PS2E), il faudra analyser les contrats et vérifier qu’ils sont en cohérence avec les procédures de « gestion des fournisseurs ». Si ce n’est pas le cas (par exemple, absence de clause d’auditabilité), il faudra soit essayer de négocier en cours de contrat la modification de ce dernier, soit le faire au moment du renouvellement ou de la remise en concurrence. Bien entendu, il n’est pas toujours possible de faire évoluer certains contrats, en particulier quand le partenaire est une grande société ou une entreprise en situation de monopole…
Pour les partenaires à venir, il est important, autant que faire se peut, de travailler avec le RSSI et de formaliser un cahier des charges identifiant les exigences en matière de sécurité de l’information. La validation finale du choix du partenaire devra tenir compte de ces exigences.
Enfin, parmi les grands principes à ne pas oublier : « La confiance n’empêche pas le contrôle » ! Bien entendu, il n’est pas possible de travailler sereinement sans confiance ; pour autant, les partenaires les plus sensibles doivent aussi être suivis par l’entreprise, afin de maintenir (voire d’améliorer) en permanence le niveau de sécurité mis en œuvre sur les données que vous leur confiez ou sur les interconnexions entre vous et eux.
