Gestion des Accès à Privilèges

Comment gérer la sécurité IT avec un SI externalisé

Dans le domaine des systèmes d’information, le recours à l’externalisation est aujourd’hui devenu une pratique courante. De grandes sociétés françaises ont ainsi décidé d’externaliser tout ou partie de la gestion de leur Système d’information via des prestataires dont les centres de services sont basés dans des pays émergents (Inde, Maroc…). L’un des principaux avantages de cette opération est budgétaire : une entreprise peut ainsi réaliser une économie de budget conséquente en faisant le choix de l’externalisation.

Erreurs de manipulation et fuites de données

Toutefois, l’utilisation intensive de centres de services externalisés présente de nombreux défis dont le principal est un turn-over très rapide, avec pour principale conséquence un niveau technique des équipes souvent moyen en raison du nombre important de techniciens débutants. La conséquence directe en est de fortes probabilités d’erreurs de manipulation lors des opérations de maintenance. De surcroît, compte tenu compte tenu des niveaux de salaire des personnels du prestataire et de la valeur des informations accessibles, il existe un risque élevé de fuites d’informations. Ces différents éléments font que l’externalisation est souvent envisagée avec une certaine inquiétude par les Responsables de la Sécurité des Systèmes d’Information (RSSI) qui sont confrontés à ce cas de figure.

Les limites de la sécurité périmètrique

Les dispositifs traditionnels de sécurité informatique s’appuient sur la notion de sécurité périmétrique (le principe du château-fort) or le principe d’externalisation donne, de facto, l’accès à tous les éléments du système d’information, y compris les plus critiques, aux employés des prestataires. La maîtrise des risques liés à ces prestataires devient donc complexe… La mise en place d’un tel projet nécessite une réflexion approfondie sur la politique de sécurité du système d’information avec un focus sur la gestion des droits d’accès des prestataires et sur les moyens de contrôle des opérations effectuées. Faire des économies oui, mais en évitant de multiplier les risques informatiques, c’est mieux.

Du château-fort à l’aéroport

Pour prendre une analogie, il faut passer du modèle de sécurité du château-fort – on se protège des menaces venant de l’extérieur mais on n’exerce quasiment aucun contrôle à l’intérieur de l’enceinte – à celui de l’aéroport, où les niveaux de sécurité et de contrôle varient en fonction des zones (ex : accéder à la tour de contrôle nécessite des accréditations bien plus élevées de celles nécessaires pour accéder à l’aérogare).

Orienter la politique de sécurité vers un contrôle accru des comptes à privilèges

Il est donc de la responsabilité du RSSI d’effectuer une analyse poussée des risques en termes de fuite d’information ou bien d’erreur de manipulation et des conséquences financières qu’ils peuvent engendrer. Son avis pèsera ainsi plus fort sur les choix de l’entreprise en matière d’externalisation du SI et dans ses recommandations en matière de gestion des risques associés.

Après cette analyse, l’application d’une politique spécifique de sécurité pour le prestataire – avec une discrimination des droits en fonction de l’équipement cible ou du compte cible, ainsi qu’une traçabilité totale des actions du prestataire – sera alors envisageable.

 

Pour en savoir plus sur le contrôle des prestataires externes, téléchargez le livre blanc : 

Previous
Menace "interne" IT : risques et solutions
Next
Qu'est ce qui motive un pirate informatique ?

À découvrir

Défis et solutions actuels : Quelles sont les tendances qui...
Industriels : la souveraineté au cœur de la stratégie de...
La trousse à pharmacie du RSSI : les indispensables

Autres ressources

NIS2 : Faites face aux nouvelles exigences de la directive...
PAM, un élément clé dans la conformité aux directives NIS/NIS2
Gartner 2022 MAGIC QUADRANT PAM