Externalisation Les limites de linfogérance en matière de sécurité 12 janvier 2005

Externalisation

Les limites de l’infogérance en matière de sécurité

12 janvier 2005

Page 2F. Bergame, R. Peuchot, E. de

Bernouis

SOMMAIRE

• Info gérer sa sécurité - Éric de Bernouis

• Les contraintes juridiques de l’infogérance sécurité – Raphaël Peuchot

• Externalisation, sécurité … témoignage – Françoise Bergame

Info gérer sa sécurité

Pour quelle confiance ?Éric de Bernouis


Bernouis

Quels services pour quelle confiance ?

• Externaliser ou gérer soi-même ?• Que faut-il infogérer ?• Comment préparer une infogérance ?


Bernouis

Externaliser ou gérer soi-même

?

Confidentialité

Intégrité

Disponibilité

Authentification

Non répudiation

Traçabilité

Exactitude


Bernouis

• La croissance du marché des services sécurité : 34% par an *

• Un CA à horizon 2003 : 2 Billions de $ *• Le marché des MSSP (Managed Security Services Provider)

en 2000 : 400 millions de $ **• La perspective en 2005 : 1.7 Billions de $ **• Un marché pas encore mature

Infogérance et sécurité : une réalité

(Sources : * IDC, ** Yankee Group)


Bernouis

• Elles n'ont pas les ressources nécessaires pour gérer complètement la sécurité

• Elles n'ont pas la capacité d'évaluer convenablement les nouveaux produits de sécurité, de les intégrer dans leur système d'information, et de les gérer pour garantir leur efficacité dans le temps

• Elles réalisent qu'elles ne sont pas des sociétés de sécurité et qu'elles ne doivent pas oublier leur métier premier

• Elles sont conscientes que la sécurité de leur système d'information est une des clés de leurs succès futurs

Pourquoi les entreprises font infogérer leur sécurité ?


Bernouis

• Elles n'ont pas une idée exacte de la valeur de leur patrimoine informationnel et ont des réactions paranoïaques

• Elles ne savent pas quelles fonctions infogérer et quelles fonctions conserver

• Elles n'ont pas confiance dans les sociétés d'infogérance • Elles ont peur de perdre la main sur ce qu'elles craignent et

qu'elles ne comprennent ou ne maîtrisent pas

Pourquoi les entreprises n'infogérent pas leur sécurité


Bernouis

Comment aborder l'infogérance ?

?Les préliminairesLe contenu des

services

Le MSSP Les services


Bernouis

Les préliminaires à l'infogérance

• Fonctionnels – Une politique de sécurité pour l'entreprise

– La connaissance des ressources à protéger

– L'évaluation des besoins d'une infogérance (stratégique, économique, technologique)

• Opérationnels– Le choix des services info gérés

– L'existence d'un chef de projet interne (RSSI ou autre)

– Le choix du MSSP


Bernouis

Quels services infogérer ?

?

ExpertiseSupervision

AdministrationConception

Fonctionnel


Bernouis

• Il s'agit de services liés à la connaissance la plus à jour possible des évolutions les plus récentes des technologies de la sécurité

• Services d'expertise– La veille technologique

– Les services d'alertes de sécurité personnalisées

– Les audits réguliers de vulnérabilité

– Les tests intrusifs

Quels services infogérer ? : expertise

Expertise


Bernouis

• Il s'agit de services liés au suivi au quotidien des événements de sécurité survenant votre système d'information

• Services de supervision– L'analyse de log avec bilan périodique des événements de sécurité

– L'analyse de log avec réaction a posteriori et recommandations

– L'analyse de log avec réaction à chaud

– La supervision en temps réel des composants de sécurité

Quels services infogérer ? : supervision

Supervision


Bernouis

• Il s'agit de services de délégation de responsabilité d'administration et d'exploitation de composants de sécurité à des tiers en interne ou à distance

• Services d'administration– Les Firewalls, Proxies serveurs

– Les VPN

– Les mécanismes d'authentification renforcée

– La sécurité des services WEB

– La lutte anti virale

– Les mécanismes de certification

– Les ASP

Quels services infogérer ? : administration

Administration


Bernouis

• Il s'agit de services de délégation de responsabilité fonctionnelle de la sécurité à des tiers en interne principalement

• Services de conception– Responsable sécurité

– Gestionnaire de risques

Quels services infogérer ? : conception

Conception


Bernouis

• Il s'agit du cas particulier des plans de reprise d'activité sur incident ou sinistre majeur

• Services de reprise– Conception

– Fournisseur de solution de secours

– Test des plans

– Maintenance des plans

Quels services infogérer ? : reprise d'activité


Bernouis

Le choix du MSSP

• Le MSSP est un partenaire dans lequel vous devez avoir d'abord CONFIANCE– Image de marque et preuve (AFAQ, EQNET, Fédération des

Professionnels des Tests Intrusifs)

– Pérennité et stabilité

– Solidité financière

– Démarche et compétences

– Services fournis

– Engagement, éthique et politique de gestion du personnel


Bernouis

• La base de l'engagement : le SLA (Service Level Agreement) ou le contrat de service

L'engagement du MSSP

" Écrire ce que l'on fait et faire ce que l'on écrit "


Bernouis

• Le SLA doit obligatoirement contenir de manière très précise– Le périmètre (services couverts, contenus, limites)

– Les responsabilités de chacun dans les différents domaines

– Les conditions de prise en compte de l'infogérance

– La durée, les prix et les clauses de réversibilité

– Les engagements et obligations du prestataire (Sécurité, Traçabilité,

Livrables, Obligations légales, …)

– Les engagements et obligations du clients (Contrôle qualité, Direction

de projet, Escalade, Obligations légales,…)



Bernouis

• Les points à prendre en compte plus particulièrement– Conservez la maîtrise de votre sécurité

– Conservez la maîtrise de vos risques fonctionnels et technologiques

– Disposez d'un droit de contrôle complet sur votre MSSP dans le cadre

de votre contrat

– Définissez très précisément les obligations sécuritaires du MSSP vis-à-

vis de votre système d'information (confidentialité, disponibilité,

intégrité, physique, ...)



Bernouis

• Infogérer une partie de sa sécurité permet de prendre en compte:– la réduction des budgets informatiques– la complexification des architectures client - serveur et Internet

• Infogérer une partie de sa sécurité permet de :– recentrer l'activité de l'entreprise sur sa vocation première– disposer pour autant d'un niveau de prestation élevé

• Mais infogérer une partie de sa sécurité, c'est :– maîtriser ses besoins et ses risques– mettre en œuvre un partenariat de confiance avec un prestataire– formaliser précisément ce partenariat

Conclusions


Bernouis

Conclusions

“ NE PAS PREVOIR C’EST DEJA GEMIR “

(Socrate)

“ GAGNER, CE N'EST PAS ÊTRE LE MEILLEUR, C'EST SAVOIR S'ENTOURER DES MEILLEURS “

(Mac Arthur)

Les contraintes juridiques de l’infogérance de sécurité

Me Raphaël PEUCHOT, avocat, Ribeyre & Associés

1. Définition du périmètre technique de la prestation

2. La gestion du contrat

3. La clause de réversibilité

4. Mérites et risques de la sous-traitance

5. Responsabilité et assurance

6. Gestion des sinistres

Sommaire


Bernouis

1. Le périmètre technique de la prestation d’infogérance

• la définition des besoins incombe au client

- exigences de sécurité

- degré de latitude dans les préconisations

- niveau de sécurité attendu (qualification des obligations)

• une obligation générale d’information pèse sur le client

- politique de sécurité

- architecture technique et contraintes d’exploitation

- périmètre contractuel préexistant

• le prestataire doit déclarer et garantir sa bonne information

- obligation de conseil (et de critique)

- engagement écrit


Bernouis

2. La gestion du contrat

• la double finalité du contrat

- la définition des obligations réciproques

- la sanction des inexécutions

• le suivi contractuel

- la bonne exécution de ses obligations par le prestataire

- l’exécution conforme du contrat en interne


Bernouis

3. La réversibilité du contrat d’infogérance

• le cadre de la réversibilité

- les cas de cessation du contrat

- la procédure collective du prestataire

• les exigences de réversibilité

- la continuité de service

- la confidentialité et l’intégrité des données

- l’absence de toute rétention

• les modalités techniques et financières

- le plan de réversibilité

- le transfert de savoir-faire

- le coût de la réversibilité


Bernouis

4. Mérites et risques de la sous-traitance

• le régime juridique de la sous-traitance

- notion et modalités

- l’agrément

- le paiement direct

• les intérêts de la sous-traitance

- la complémentarité des compétences

- l’unicité d’interlocuteur (maître d’œuvre)

• les risques de la sous-traitance

- la mauvaise définition des rôles

- la sous-traitance non déclarée

- la gestion déficiente de la chaîne de sous-traitance


Bernouis

5. Responsabilité et assurance

• fondement de la responsabilité : l’inexécution contractuelle

- inexécution d’une obligation

- inexécution partielle

- inexécution totale

• les conséquences de la responsabilité

- la faille de sécurité méconnue

- le préjudice

- l’atténuation de la responsabilité

• l’assurance des prestations d’infogérance de sécurité

- l’assurance de responsabilité civile

- l’assurance dommage


Bernouis

6. La gestion des sinistres

• les situations de crises

- qualification

- plan de réaction

• la préservation des preuves

- modalités et utilité

- suites contractuelles et/ou judiciaires

Janvier 2005

Externalisation, sécurité…

Témoignage Françoise BERGAME


Bernouis

MissionMissionEM LYON est une institution européenne dans la tradition des «Grandes Écoles Françaises» dédiée à l’apprentissage du management international tout au long de la vie.

Sa mission consiste à accompagner le développement des individus et des entreprises au travers d’une gamme de programmes et de solutions – de la formation initiale pour étudiants à la formation continue pour cadres dirigeants.

Son expertise repose sur des formations à la fois académiques et en prise directe avec les réalités de l’entreprise soutenue par une recherche pertinente.

Son identité s’appuie sur une tradition d’innovation pédagogique et d’approche entrepreneuriale de la formation au management.


Bernouis

ProfilProfil 1872 – création de l’Ecole par des industriels de la

Chambre de Commerce et d’Industrie de Lyon1997 – le Groupe ESC Lyon devient EM LYON – Ecole de

Management de Lyon

30 000 m2 de bâtiments situés dans une domaine de 6 hectares

2 résidences universitaires2 sites de formation : le campus de Lyon-Ecully et le Centre

de Formation de Paris

30 millions d’euros de budget de fonctionnement

2 200 étudiants dont 25% d’étrangers5 000 cadres d’entreprise en éducation permanente par an300 salariés dont 80 professeurs400 intervenants (professeurs, consultants ou responsables

d’entreprise)12 500 diplômés87 universités ou Business Schools étrangères partenaires


Bernouis

Classements et AccréditationsClassements et Accréditations N°4 du Classement Grandes

Ecoles du Magazine l’Etudiant (décembre 2003).

N°17 en Europe pour l’International MBA par The Economist (septembre 2003)

N°37 dans le monde pour les programmes sur-mesure en formation permanente par The Financial Times (mai 2004)

Accréditée EQUIS par l’EFMD (European Foundation for Management Development)

Accréditée AMBA (Association of MBAs) pour les programmes EM LYON International MBA et EM LYON Executive MBA)

Accrédité AACSB (Association to Advance Collegiate Schools of Business)


Bernouis

Organisation orientée-clientOrganisation orientée-client

Accompagner les entreprises dans le développement de leurs compétences

> Programmes MBA> Individual Learning Solutions :

diplômes, certificats, séminaires> Corporate Learning Solutions : Programmes sur

mesure > Programmes Linguistiques > Solutions e-learning

Des programmes et séminaires pour créateurs ou repreneurs d’entreprises

> Programme d’Appui à la Création d’Entreprise> Programme Reprise d’Entreprise> Séminaires pour Dirigeants

Propriétaires> Séminaires et conférences> Programmes sur-mesure

Comité ExecutifFaculté et recherche

Carrières et PartenariatsDrh, Daf, Dmc, Dsit…

Des programmes de formation initiale adaptés à chaque profil

> Programme ESC (Bachelor & Master of

Science in Management) > Master in European

Business > Mastères Spécialisés


Bernouis

Activité et projets DSITActivité et projets DSIT

Projets Urbanisation des SI modèlisation process, modèlisation architecture annuaire, EAI, WebServices. couche décisionnelle

Projets SI Evolution du campus virtuel

et jeux pédagogiques. Evolution du SIcontrôle de

gestion, Gestion de la relation client

(partenaires, prospects, clients,anciens), Fidélisation, Mail à vie

Projets postes de travail

Projets Infrastructures Migration messagerie Sauvegarde, supervision, QoS Nouveau réseau Wifi 2G Nouveau réseau filaire 2G Réseau LyRE e-center

Nouvelles Techno : Umts, WebTv, Web radio…

Maintenance évolutive et corrective

Assistance au personnel Formation au personnel Assistance participants, salles

de cours, jeux pédagogiques

Administration, exploitation…

Schéma directeur, politique sécurité, reporting, indicateurs, budget… (3 BU, Lyon, Paris, résidences…)


Bernouis

Organisation D.S.I.TOrganisation D.S.I.T interneinterne externeexterneDirecteur

Assistante Achat/GestionResponsable Formation/Communication

CdP SI de Gestion

CdP Campus Virtuel

CdP Internet/Intranet

CdP Assistance MOA

Technicien TMA

Ingénieur TMA

Responsable du service Réseau Système Maintenance

Responsable du service Etudes et Projets

Responsable Assistance/PostesTechnicien d’assistanceTechnicien d’assistanceTechnicien d’assistanceTechnicien d’assistance

Ingénieur Exploitation

CdP Système

CdP Réseau/Télécom

Réalisation d’application mode projet Mise en place Infrastructure, mode projetHébergement Infrastructure Campus VirtuelAssistance utilisateur aux participants


Bernouis

Les raisons de cette répartition Les raisons de cette répartition Politique Rh de la DSIT :Politique Rh de la DSIT :

plus d’embauche de profils «technicien d’assistance», difficulté à proposer des évolutions de carrière… Pas d’embauche des profils Chef de projet

«Réseau/Système» car grands chantiers, mais à durée limitée.Volonté de conserver en interne les Chefs de projet

«Etudes et Projets» (cœur de métier), les pilotes d’activités (chefs de service, Directeurs de projets)

Prise en compte de l’historiquel’historique, des équipes internes et externes en place, de leur compétence, de leur désir d’évolution… Du rythmerythme nécessaire pour de telles conduites de changement.

Points forts- Connaissance terrain forte- Esprit d’équipe interne/externe

Points faibles- Ne colle plus à notre Schéma Directeur- Mixte interne/externe sur certains domaines- Zone de responsabilités non toujours claires- Sociétés partenaires nombreuses


Bernouis

Équipe permanente sur site,Équipe permanente sur site,Répartition de l’effectif.Répartition de l’effectif.

Répartition de l'effectif

Effectif interne67%

Effectif externe33%


Bernouis

Répartition coût externe/interneRépartition coût externe/interne

Répartition coût externe, coût interne

Coût interne62%

Coût externe38%


Bernouis

Externalisation : nouvelle cibleExternalisation : nouvelle cible Changement du périmètre du Système d’Information :Changement du périmètre du Système d’Information :

Campus virtuel et e-learning, Informatique des entreprises clientes, Anciens participants, mails à vie, portail à vie…

Importance grandissante de la maîtrise des coûts, des Importance grandissante de la maîtrise des coûts, des niveaux de service, des niveaux de sécuriténiveaux de service, des niveaux de sécurité (confidentialité, fiabilité, pérennité…)

Rythme élevé de l’évolution des nouvelles technologiesRythme élevé de l’évolution des nouvelles technologies

Exigence grandissante :Exigence grandissante : public international (maîtrise de l’anglais), informatique très sollicitée (24/24h, 7j/7)

Évolution de la politique RH globale de l’entreprise, désir de se concentrer sur les fonctions cœur de métier.se concentrer sur les fonctions cœur de métier.


Bernouis

Organisation D.S.I.T cibleOrganisation D.S.I.T cibleEn externe :En externe :

- Assistance technique (personnel et étudiant)

- Réalisation applicative, paramétrage progiciel

- Mise en œuvre projet Infrastructure, postes de travail

• meilleures maîtrises des coûts, des niveaux de services par BU• plus grande prise de responsabilité de la ssii• meilleure évolution des profils techniciens

• meilleure tenue des délais sur les gros chantiers• meilleure visibilité sur les coûts• engagement, garantie de la ssii, de l’éditeur• concentration de nos équipes sur l’accompagnement des équipes fonctionnelles, les validations…

• maîtrise délais, coûts• compétences spécifiques difficiles à avoir• concentration de nos équipes sur le pilotage


Bernouis

Organisation D.S.I.T cibleOrganisation D.S.I.T cibleEn externe :En externe :

- Hébergement des serveurs destinés à un public large (messagerie à vie, campus virtuel destiné aux entreprises clientes…)

- Hébergement application non cœur de métier (paye…)

• 7j/7, 24/24h impossible en interne• volume trop important, à terme, pour nos équipes internes,• exigence sécurité (disponibilité, fiabilité…) fortes pour les entreprises clientes• engagement contractuel externe

• gestion interne non rentable, mobilisant nos ressources sur des domaines où ils n’apportent pas de valeur ajoutée• exigences sécurité pouvant être fortes


Bernouis

En interne :En interne :

- Pilotage niveau Direction : Schéma Directeur, Politique Sécurité, Budgets…- Pilotage activités des Services : Etudes & Projet, Maintenance applicative, Infrastructure, Assistance/Poste de travail.- Pilotage projets de mise en œuvre- Assistance à maîtrise d’ouvrage

- Hébergement applications cœur de métier, stratégiques

Organisation D.S.I.T cibleOrganisation D.S.I.T cible

• meilleure connaissance des orientations stratégiques Entreprise, DSIT, • meilleure connaissance des priorités, des enjeux et risques

• meilleure connaissance des métiers : interlocuteurs, process existants, process cibles…• meilleures gestion multi-projets, gestion des priorités• appel à l’extérieur restant possible : conseil, expertise, accompagnement…

• maîtrise globale de l’infrastructure, • maîtrise de son administration et exploitation (sécurité, réactivité, évolution…)


Bernouis

Mixte Interne/Externe :Mixte Interne/Externe :

- Conception d’architecture, de solutions, veille-

- Exploitation, Administration, Sécurité- Maintenance applicative

Organisation D.S.I.T cibleOrganisation D.S.I.T cible

• besoin d’une bonne maîtrise des architectures existantes, des choix passés….• besoin d’une bonne connaissance des nouveautés du marché

• prise en compte de l’organisation existante, des équipes existantes,• études d’externalisation non encore menées, • priorité donnée aux études d’externalisation de l’assistance, de l’hébergement.


Bernouis

Zoom sur les aspects sécuritéZoom sur les aspects sécurité

Politique sécurité définie en interne, pilotage des actions sécurité en interne, mais appel à l’expertise et à la technicité des prestataires.

Le dialogue interne/externe : levier pour améliorer la sécurité.

Vigilance sur les contrats de prestation externe, d’hébergement externe (définition des périmètres de responsabilité, clauses de réversibilité, de confidentialité)

Fort partenariat avec les prestataires externes, travail sur le long terme, niveau de confiance mutuelle élevée.

Clients finaux : décideurs d’aujourd’hui et de demain. Partenaires Taxe d’apprentissage, Stages/Emplois,

participation dans la pédagogie…


Bernouis

ConclusionsConclusions

L’externalisation des serveurs et applications a été guidée par la recherche d’une plus grande sécurité

plus grande disponibilité meilleure fiabilité, meilleur plan de secours confidentialité respectée

Mais moins bonne réactivité…

L’externalisation de prestation a davantage été guidée par des aspects RH par la recherche de la meilleure répartition des

compétences, des charges

Le travail sur les contrats a renforcé notre sensibilisation sur les aspects sécurité au sens large.

CLUSIR

Documents

Externalisation Les limites de linfogérance en matière de sécurité 12 janvier 2005