Est-ce possible d’externaliser sa cybersécurité ?

Externaliser (outsourcer en bon franglais) signifie de confier à un tiers la réalisation de tout ou partie des traitements informatiques nécessaire à la réalisation des objectifs d’une organisation. Certains fournisseurs d’infrastructures et de services en nuage (cloud) peuvent apporter une réponse globale au besoin d’informatisation des organisations et offrir des prestations techniques qui intègrent des éléments de la sécurité informatique et de celle des réseaux de télécommunication.

S’il est désormais courant de penser à la sécurité informatique d’une organisation en terme de cybersécurité, englobant de ce fait toutes les dimensions de la sécurité physique et logique des infrastructures numériques, des systèmes d’information et de l’information, cela correspond en fait au besoin de pouvoir maitriser les risques générés par l’usage des technologies numériques.

Au regard de la complexité et des ressources que nécessite la mise en place d’un processus continu de gouvernance des risques et de la sécurité, certaines entreprises choisissent d’externaliser cette fonction. Pour autant, peuvent-elles, doivent-elles tout externaliser et ce faisant externalisent-elles aussi leur responsabilité ?

 

Est-ce que la dépendance à un fournisseur n’introduit pas un nouveau risque de sécurité ?

Les conséquences des risques induits par l’informatique sont toujours à la charge de l’organisation qui dépend du bon fonctionnement, de la disponibilité, de l’intégrité des ressources et des infrastructures informationnelles et parfois de la nécessaire confidentialité de ses données. Si en amont d’un processus d’externalisation, l’institution n’a pas été en mesure d’assurer un niveau de cybersécurité cohérent au regard de ses actifs informationnels et des menaces qui peuvent les mettre à mal, comment peut-elle être en mesure de garantir la sécurité de son patrimoine informationnel en dehors de son périmètre ?

Quel est son niveau de sécurité avant le passage au Cloud ? Ce qui revient à se poser d’autres questions : Comment sont protégés les actifs à l’intérieur de l’organisation ? Comment le seront –ils hors du contrôle de celle-ci ? Est-ce que le fournisseur de cloud peut résoudre tous les problèmes de sécurité ? Sachant que ces derniers peuvent être augmentés par des accès à distance de l’infrastructure qui peut même être localisée dans un autre pays ? Est-ce que le passage au cloud ne va pas favoriser des mécanismes parallèles d’usage d’outils informatiques non contrôlés (shadow IT) ? Comment s’assurer que les clauses contractuelles ne soient pas préjudiciables au contrôle de la maitrise de la sécurité par un fournisseur ? Quelles sont les garanties sur le lieu d’hébergement des données et de transit, sur la manière dont les données sont exploitées, traitées et maintenues ? Peut –il y avoir de l’outsourcing de l’outsourcing, quelle est alors la chaine de responsabilité ? Comment la sécurité est réalisée (quel chiffrement, qui maîtrise les clés de chiffrement, comment les mises à jour de sécurité sont effectuées, … ?), maintenues, auditées, vérifiées et optimisées ?

 

La confiance se bâtit sur des faits et des clauses contractuelles

S’il peut paraître aisé de démontrer un avantage économique à court terme de passer à une solution Cloud, qu’en est-il sur le long terme ? La vigilance est requise notamment pour ce qui concerne des offres globales « package tout en un », bien évaluer ce qui est réellement proposé est incontournable. Il ne suffit pas de se fier uniquement à l’expérience d’un prestataire ou au nombre de ses clients. La confiance est essentielle, elle se bâtit sur des faits et des clauses contractuelles. Par ailleurs, les experts sécurité qualifiés ne sont pas légion, certaines entreprises n’hésitent pas à étiqueter comme experts de jeunes diplômés sans expérience (qui construisent leurs compétences sur le dos des clients) ou recourent à des experts auto-proclamés. Le marché s’arrache les personnes d’expérience, leur nombre est limité.

 

L’outsourcing n’est pas synonyme de déresponsabilisation

L’entreprise qui externalise son infrastructure IT peut avoir tendance à penser que la sécurité informatique n’est plus son problème. Cela serait oublier le fait que d’externaliser n’est pas synonyme de se défaire de ses responsabilités envers notamment les données de ses clients. Les risques de perte de disponibilité, d’intégrité ou de celle de confidentialité, occasionnés par un défaut de sécurité lors de traitements informatiques à l’interne de l’organisation existent toujours. Elle n’est pas à l‘abri de fraudes, d’escroqueries, d’actions d’ingénierie sociale, de fuites ou de compromission de ses données par exemple.

L’organisation, quels que soient son type (commerciale, hospitalière, gouvernementale…) et sa taille, ne peut pas se défausser de sa responsabilité de développer en interne une culture de la cybersécurité, de sensibiliser et de former tous les acteurs qui interagissent avec des systèmes d’information, même s’ils sont hébergés dans des clouds externes.

Plus rares sont les institutions qui ont compris les risques de sécurité inhérents à la phase de migration vers le cloud. Comment sont-ils pris en compte lors de la phase de migration, qui est responsable, qui en supporte les coûts cachés? La transition vers une externalisation de l’infrastructure et des services nécessite une préparation minutieuse sans oublier de vérifier la résilience et la sécurité de l’infrastructure du réseau local. Or cet aspect est généralement passé sous silence par les fournisseurs de cloud, cela augmenterait le coût de leur offre et est rarement exprimé correctement dans des appels d’offres.

 

Confiance, confort et stratégie

L’informatique d’une organisation dont le niveau de sécurité est adapté aux risques que celle-ci encourt, permet la réalisation de toutes ses tâches et missions avec un certain niveau de confiance et de confort.

La sécurité informatique est stratégique dans le sens où elle dépend de la stratégie d’une organisation et aussi parce qu’elle nécessite une vision stratégique qui tient compte des dimensions politique, économique, organisationnelle, humaine, juridique et technologique du contexte dans lequel évolue l’institution. Avoir une cybersécurité défaillante n’est pas une option pour la compétitivité et la survie d’une organisation, cela est amplifié si l’organisation en question est une infrastructure vitale comme peut l’être un hôpital, il en va de sa réputation (quid d’une fuite de données des dossiers et secrets médicaux ?) mais surtout de la sécurité et de la survie des patients eux-même (quid de cyberattaques portant atteintes à la disponibilité et à l’intégrité des dossiers médicaux, à celles des ressources informatiques nécessaires à bon fonctionnement de la structure hospitalière (chaine d’approvisionnement logistique, systèmes de santé connectée, d’aide à la prise de décision, à la médecine de précision, …)) ?

Solange Ghernaouti

Docteur en informatique, la professeure Solange Ghernaouti dirige le Swiss Cybersecurity Advisory & Research Group (UNIL) est pionnière de l’interdisciplinarité de la sécurité numérique, experte internationale en cybersécurité et cyberdéfense. Auteure de nombreux livres et publications, elle est membre de l’Académie suisse des sciences techniques, de la Commission suisse de l’Unesco, Chevalier de la Légion d'honneur. Médaille d'or du Progrès

2 réponses à “Est-ce possible d’externaliser sa cybersécurité ?

  1. Et même si les enjeux ne sont pas les mêmes, le risque est le même pour un particulier qui confie son laptop à une entreprise pour une rupture de disque.

    Quelles garanties que l’on ne reproduise pas ses codes, que l’on ne vende pas ses infos?
    La chose informatique va bientôt se transformer en chaos informatique avec les blockchains.
    L’on a trop laissé filer la pelote, ce qui parait vraisemblable. Combien de “vieux” au pouvoir ont-ils une perception réelle des technologies actuelles?

    Les cyber-attaques sont comme les martiens, elles relèvent des théories conspirationnistes.
    Et pourtant, tout système se craque, comme toute votation papier peut se truquer.

    Si des Facebook doivent faire acte de contrition supposé, pour erreur, qui peut donner des garanties fiables????

  2. Je connais ne femme qui travaille pour les services secrets d’un petit pays du Moyen-Orient, ni musulman ni chrétien. Elle a été en mission à Genève à différentes repises depuis 25 ans, chaque fois sous un autre nom et dans une autre activité. Actuellement elle exerce ses talents en Asie. L’une de ses identités professionnelles successives consistait à travailler pour une société londonnienne de cybersécurité précisément, qui avait un bureau au centre ville de Genève. Cette société conseillait des banques importantes de la place, notamment des banquiers privés. C’est pourquoi quand le secret bancaire est tombé je me suis dit que c’était bien la faute des banques suisses elles-mêmes puisqu’elle avait été assez bête pour “externaliser” leur cybersécurité à des gens comme elle. Si on a des données sensibles, il ne faut jamais utiliser le cloud et il ne faut rien externaliser du tout. C’est évident. De même qu’il ne faut pas confier le fichier clients d’une banque, comme cela s’est vu, à un un ancien croupier de casino monégasque.

Les commentaires sont clos.