Différences entre versions de « Les risques en cas de recours à infogérance »
| Ligne 38 : | Ligne 38 : | ||
Les risques dépendent des caractéristiques des dispositifs utilisés. Ils dépendent également du contexte dans lequel ils sont mis en œuvre. | Les risques dépendent des caractéristiques des dispositifs utilisés. Ils dépendent également du contexte dans lequel ils sont mis en œuvre. | ||
Ci-dessous un certain nombre de faiblesses fréquemment liées aux dispositifs de télémaintenance : | Ci-dessous un certain nombre de faiblesses fréquemment liées aux dispositifs de télémaintenance : | ||
| − | + | La liaison établie de façon permanente avec l’extérieur. | |
| − | + | Les mots de passe par défaut (connus dans le monde entier) ou faibles. | |
| − | + | L’existence de failles dans les interfaces d’accès. | |
| − | + | Les systèmes d’exploitation des dispositifs non tenus à jour. | |
| − | + | L’absence de traçabilité des actions. | |
| − | + | Les personnels responsables de ces dispositifs non conscients des problèmes de sécurité ou qui sont mal formés. | |
| − | + | L’interconnexion de systèmes sécurisés de confiance à des systèmes de niveau faible (internet par exemple). | |
L’exploitation de vulnérabilités sur un dispositif de télémaintenance est susceptible de faciliter les intrusions dans le système d'information et d'affecter ainsi la sécurité de l’ensemble du SI. | L’exploitation de vulnérabilités sur un dispositif de télémaintenance est susceptible de faciliter les intrusions dans le système d'information et d'affecter ainsi la sécurité de l’ensemble du SI. | ||
Les principaux risques liés aux dispositifs dédiés aux interventions à distance sont : | Les principaux risques liés aux dispositifs dédiés aux interventions à distance sont : | ||
Version du 10 décembre 2020 à 11:08
Les risques en cas de recours à infogérance
Sur quoi porte l'article
Les risques liés à la perte de la maîtrise de son système d’information
Les étapes de réalisation
Les risques liés à la sous-traitance
Pour répondre à un appel d'offres, un candidat peut recourir à la sous-traitance
Le prestataire doit présenter toutes les garanties de sécurité en cas de recours par le donneur d'ordre à cette forme de sous-traitance qu'est infogérance. Des risques financiers et de sécurité peuvent émerger de l'infogérance. Il est important que le prestataire garantisse à son client sécurité et minimisation des risques financiers.
Les risques liés à la localisation des données
Toutes les infogérances ne permettent pas de localiser avec certitude des données hébergées. C'est le cas de solutions d'hébergement comme le Cloud par exemple.
Ces solutions peuvent constituer un facteur d'aggravation des risques d'atteinte à la confidentialité des données.
En cas de recours à infogérance, le risque de divulgation d'informations ayant un poids doit être examiné avant tout recours par les deux parties. Ainsi, une localisation non-maîtrisée des données peut entraîner les risques suivants :
- Difficultés à répondre à différentes injonctions de la justice pour des raisons fiscales
- Difficultés à exercer un droit de contrôle sur le personnel du prestataire
- Difficultés à exercer un audit de sécurité de l'infrastructure
Les risques liés aux données à caractère personnel
Le transfert des données en dehors de l’UE est régi par une directive européenne et la loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés. En vertu de ces dispositions, il est donc convenu de regarder si le destinataire de ce transfert intervient comme « responsable de traitement » ou de « sous-traitant ». La CNIL a émis une distinction entre leurs rôles : • Le responsable de traitement se caractérise par son autonomie dans la gestion et la mise en place d’un traitement. • Le sous-traitant lui a pour mission de gérer des tâches sous la responsabilité et les instructions du responsable de traitement.
Ainsi, tout traitement de données personnelles ou transfert de données personnelles par un sous-traitant ou infogérant, ne peut se réaliser que par l’instruction du responsable de traitement et à condition qu’un contrat qui garantit les mesures de sécurité et de confidentialité soit mis en place par le sous-traitant. Il faut également que ce contrat soit signé par les parties. Les hébergeurs de données de santé sont par exemple soumis à des obligations de sécurité précises tout comme les établissements de crédit. Les obligations légales doivent être respectées dans l’environnement d’externalisation. Il faut aussi veiller en leur bonne exécution.
Les risques liés aux interventions distantes
Les risques dépendent des caractéristiques des dispositifs utilisés. Ils dépendent également du contexte dans lequel ils sont mis en œuvre. Ci-dessous un certain nombre de faiblesses fréquemment liées aux dispositifs de télémaintenance : La liaison établie de façon permanente avec l’extérieur. Les mots de passe par défaut (connus dans le monde entier) ou faibles. L’existence de failles dans les interfaces d’accès. Les systèmes d’exploitation des dispositifs non tenus à jour. L’absence de traçabilité des actions. Les personnels responsables de ces dispositifs non conscients des problèmes de sécurité ou qui sont mal formés. L’interconnexion de systèmes sécurisés de confiance à des systèmes de niveau faible (internet par exemple). L’exploitation de vulnérabilités sur un dispositif de télémaintenance est susceptible de faciliter les intrusions dans le système d'information et d'affecter ainsi la sécurité de l’ensemble du SI. Les principaux risques liés aux dispositifs dédiés aux interventions à distance sont : • L'intrusion dans le système d'information par une personne non autorisée (exploitation d’un mot de passe faible, d’une faille ou d’une porte dérobée) avec des conséquences plus ou moins graves selon les motivations de l’attaquant et sa capacité à ne pas être détecté, dont : Une indisponibilité de l’équipement pouvant entraîner l’indisponibilité du système d'information. Et une atteinte à la confidentialité ou à l’intégrité des données présentes sur le système d'information. • L’abus de droits d’un technicien du centre de support lors d’une intervention : Qui peut entraîner un accès à des données confidentielles ou téléchargement massif de ces dernières. Et la modification de données sur le système d'information, éventuellement sans laisser de traces (absence de fonction de traçabilité ou possibilité d’effacer les traces à postériori).
Les risques liés à l’hébergement mutualisé
• Perte de disponibilité Une attaque par déni de service provoque généralement l’indisponibilité du serveur hébergeant la cible de l’attaque. Lorsque plusieurs services sont hébergés sur le même serveur, les services qui n’étaient pas pris pour cible peuvent être indirectement touchés. • Perte d’intégrité Si un des sites web est pris pour cible par une attaque comme (vol d’informations, défiguration de site web, rebond d’attaques), l’exécution de code peut toucher l’ensemble des services. • Perte de confidentialité Lorsque des services partagent le même environnement physique, cela peut conduire à des croisements d’information. Dans un environnement non maîtrisé, les risques auxquels s’exposent un co-hébergé augmentent.
Conclusion
Petit résumé de ce qui vient d'être réalisé et pour aller plus loin
Cet article vous a semblé utile ?
Activer l'actualisation automatique des commentaires