Les risques en cas de recours à infogérance

Les risques en cas de recours à infogérance

Comme toutes les formes de recours à la sous-traitance, le recours à infogérance [1] présente de nombreux avantages mais aussi des risques qu'il convient d'aborder.

Les risques liés à la perte de la maîtrise de son système d’information

Lorsqu'une entreprise a recours à la sous-traitance ou à une forme de sous-traitance comme infogérance [2], elle prend des risques.

Ces risques sont multiples mais les principaux résident dans la perte de la maîtrise de son système d'information. Comme elle confie ce dernier à une entreprise, elle ne dispose pas du droit de regard habituel, et cela engendre des risques.

Les risques liés à la sous-traitance

Un candidat a souvent recourt à la sous-traitance notamment dans le cadre d'un appel d'offres.

Le prestataire doit présenter toutes les garanties de sécurité en cas de recours par le donneur d'ordre à cette forme de sous-traitance qu'est infogérance. Des risques financiers et de sécurité peuvent naître de l'infogérance. Il est important que le prestataire garantisse à son client sécurité et minimisation des risques financiers.

Les risques liés à la localisation des données

Toutes les infogérances [3] ne permettent pas de localiser avec certitude des données hébergées. C'est le cas de solutions d'hébergement comme le Cloud par exemple.

Ces solutions peuvent constituer un facteur d'aggravation des risques d'atteinte à la confidentialité des données.

En cas de recours à infogérance, le risque de divulgation d'informations ayant un poids doit être examiné avant tout recours par les deux parties. Ainsi, une localisation non-maîtrisée des données peut entraîner les risques suivants :

1. Difficultés à répondre à différentes injonctions de la justice pour des raisons fiscales
2. Difficultés à exercer un droit de contrôle sur le personnel du prestataire
3. Difficultés à exercer un audit de sécurité de l'infrastructure

IKOULA héberge les données dans deux data centers que nous possédons en France. L’entreprise respecte les normes européennes qui régissent les lois liées à la protection des données. Ainsi, nous garantissons à nos clients une protection de leurs données et une traçabilité.

Les risques liés aux données à caractère personnel

Le transfert des données en dehors de l’UE est régi par une directive européenne et la loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés. En vertu de ces dispositions, il est donc convenu de regarder si le destinataire de ce transfert intervient comme « responsable de traitement » ou de « sous-traitant ».

IKOULA reste à votre service à travers 4 niveaux de service d'infogérance selon le type d'infrastructure et les besoins que vous rencontrez, et agit en qualité de sous-traitant.

La CNIL a émis une distinction entre leurs rôles :

- Le responsable de traitement se caractérise par son autonomie dans la gestion et la mise en place d’un traitement.

- Le sous-traitant lui a pour mission de gérer des tâches sous la responsabilité et les instructions du responsable de traitement.

Ainsi, tout traitement de données personnelles ou transfert de données personnelles par un sous-traitant ou infogérant, ne peut se réaliser que par l’instruction du responsable de traitement et à condition qu’un contrat qui garantit les mesures de sécurité et de confidentialité soit mis en place par le sous-traitant. Il faut également que ce contrat soit signé par les parties. Les hébergeurs de données de santé sont par exemple soumis à des obligations de sécurité précises tout comme les établissements de crédit. Les obligations légales doivent être respectées dans l’environnement d’externalisation. Il faut aussi veiller en leur bonne exécution.

Les risques liés aux interventions distantes

Les risques dépendent des caractéristiques des dispositifs utilisés. Ils dépendent également du contexte dans lequel ils sont mis en œuvre.

Les risques dépendent des caractéristiques des dispositifs utilisés. Ils dépendent également du contexte dans lequel ils sont mis en œuvre.

Cependant comme évoqué précédemment, IKOULA propose 4 niveaux d’infogérance à ses clients selon le type d’infrastructure et les besoins que vous rencontrez. Avec ces 4 niveaux, vous bénéficiez de vrais avantages qui vous permettent de confier votre parc informatique en toute tranquillité.

- Le niveau Liberty offre au client un accompagnement et une garantie accordée au matériel.

- Le niveau Prime assure en plus de ce qui est offert par le niveau liberty, une supervision système et un audit de sécurité complet

- Le niveau Business assure en plus des autres niveaux une personnalisation des procédures et de la supervision et des services de sauvegarde

- Le niveau First offre une infogérance complète de votre système (gestion technique, conseil, évolution, sécurité…)

Chaque niveau offre des possibilités aux clients. Chaque niveau présente grâce ses caractéristiques des risques limités. Grâce notamment aux garanties offertes et au recours à une expertise reconnue.

Ci-dessous un certain nombre de faiblesses fréquemment liées aux dispositifs de télémaintenance :

1. La liaison établie de façon permanente avec l’extérieur.
2. Les mots de passe par défaut (connus dans le monde entier) ou faibles.
3. L’existence de failles dans les interfaces d’accès.
4. Les systèmes d’exploitation des dispositifs non tenus à jour.
5. L’absence de traçabilité des actions.
6. Les personnels responsables de ces dispositifs non conscients des problèmes de sécurité ou qui sont mal formés.
7. L’interconnexion de systèmes sécurisés de confiance à des systèmes de niveau faible (internet par exemple).
8. L’exploitation de vulnérabilités sur un dispositif de télémaintenance est susceptible de faciliter les intrusions dans le système d'information et d'affecter ainsi la sécurité de l’ensemble du SI.

Les principaux risques liés aux dispositifs dédiés aux interventions à distance sont :

- l'intrusion dans le système d'information par une personne non autorisée (exploitation d’un mot de passe faible, d’une faille ou d’une porte dérobée) avec des conséquences plus ou moins graves selon les motivations de l’attaquant et sa capacité à ne pas être détecté, dont : une indisponibilité de l’équipement pouvant entraîner l’indisponibilité du système d'information. et une atteinte à la confidentialité ou à l’intégrité des données présentes sur le système d'information.

- l’abus de droits d’un technicien du centre de support lors d’une intervention : qui peut entraîner un accès à des données confidentielles ou téléchargement massif de ces dernières. et la modification de données sur le système d'information, éventuellement sans laisser de traces (absence de fonction de traçabilité ou possibilité d’effacer les traces à postériori).

Les risques liés à l’hébergement mutualisé

- Perte de disponibilité : une attaque par déni de service provoque généralement l’indisponibilité du serveur hébergeant la cible de l’attaque. Lorsque plusieurs services sont hébergés sur le même serveur, les services qui n’étaient pas pris pour cible peuvent être indirectement touchés.

- Perte d’intégrité : si un des sites web est pris pour cible par une attaque comme (vol d’informations, défiguration de site web, rebond d’attaques), l’exécution de code peut toucher l’ensemble des services.

- Perte de confidentialité : lorsque des services partagent le même environnement physique, cela peut conduire à des croisements d’information. Dans un environnement non maîtrisé, les risques auxquels s’exposent un co-hébergé augmentent.

Conclusion

Comme vous avez pu le lire dans cet article, le recours à infogérance présente de nombreux risques. L'infogérance est une forme de sous-traitance. Ainsi, existent des risques. Comme ceux liés à la perte de la maîtrise de son système d'information ou ceux liés au recours à un hébergement mutualisé.

Malgré ces risques le recours à infogérance présente de nombreux avantages qui sont bénéfiques à une entreprise.

Cet article vous a semblé utile ?