Ajouter un tutoriel
fr:Ajouter un tutoriel he:הוספת ערכת לימוד ro:Adauga un tutorial ru:Добавить учебник pl:Dodaj poradnik ja:チュートリアルを追加します。 ar:إضافة البرنامج التعليمي zh:添加教程 de:Fügen Sie einen tutorial nl:Een zelfstudie toevoegen it:Aggiungere un tutorial pt:Adicionar um tutorial es:Añadir un tutorial en:Add a tutorial == ikoula veut publier vos tutoriaux !
Introduction
Le recours à infogérance, sous-traitance informatique, présente de nombreux avantages pour les entreprises qui font appel à un prestataire.
Cependant comme toutes les formes de sous-traitance, ce recours présente quelques risques qu'il convient de présenter.
Les risques liés à la perte de la maîtrise de son système d'information
Pour répondre à un appel d’offres un candidat peut recourir à la sous-traitance ou à infogérance.
Le prestataire doit présenter toutes les garanties de sécurité en cas de recours par le donneur d’ordre à cette forme de sous-traitance qu’est infogérance.
Des risques financiers et de sécurité peuvent émerger de l’infogérance. Il est important que le prestataire garantisse à son client sécurité et minimisation des risques financiers.
Les risques liés à la localisation des données
Toutes les infogérances ne permettent pas de localiser avec certitude des données hébergées. C'est le cas de solutions d'hébergement comme le Cloud.
Ces solutions peuvent constituer un facteur d’aggravation des risques d’atteinte à la confidentialité des données.
En cas de recours à infogérance, le risque de divulgation d’informations ayant un poids doit être examiné avant tout recours par les deux parties.
Une localisation non-maîtrisée des données peut entraîner les risques suivants :
- Difficultés à répondre à différentes injonctions de la justice pour des raisons fiscales ;
- Difficulté à exercer un droit de contrôle sur le personnel du prestataire ;
- Difficulté à exercer un audit de sécurité de l’infrastructure ;
Les risques liés aux données à caractère personnel
Le transfert des données en dehors de l’UE est régi par une directive européenne et la loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés. En vertu de ces dispositions, il est donc convenu de regarder si le destinataire de ce transfert intervient comme « responsable de traitement » ou de « sous-traitant ». La CNIL a émis une distinction entre leurs rôles :
- Le responsable de traitement se caractérise par son autonomie dans la gestion et la mise en place d’un traitement.
- Le sous-traitant lui a pour mission de gérer des tâches sous la responsabilité et les instructions du responsable de traitement.
Ainsi, tout traitement de données personnelles ou transfert de données personnelles par un sous-traitant ou infogérant, ne peut se réaliser que par l’instruction du responsable de traitement et à condition qu’un contrat qui garantit les mesures de sécurité et de confidentialité soit mis en place par le sous-traitant. Il faut également que ce contrat soit signé par les parties. Les hébergeurs de données de santé sont par exemple soumis à des obligations de sécurité précises tout comme les établissements de crédit. Les obligations légales doivent être respectées dans l’environnement d’externalisation. Il faut aussi veiller en leur bonne exécution.
Les risques liés aux interventions distantes
Les risques dépendent des caractéristiques des dispositifs utilisés. Ils dépendent également du contexte dans lequel ils sont mis en œuvre. Ci-dessous un certain nombre de faiblesses fréquemment liées aux dispositifs de télémaintenance : • La liaison établie de façon permanente avec l’extérieur. • Les mots de passe par défaut (connus dans le monde entier) ou faibles. • L’existence de failles dans les interfaces d’accès. • Les systèmes d’exploitation des dispositifs non tenus à jour. • L’absence de traçabilité des actions. • Les personnels responsables de ces dispositifs non conscients des problèmes de sécurité ou qui sont mal formés. • L’interconnexion de systèmes sécurisés de confiance à des systèmes de niveau faible (internet par exemple). L’exploitation de vulnérabilités sur un dispositif de télémaintenance est susceptible de faciliter les intrusions dans le système d'information et d'affecter ainsi la sécurité de l’ensemble du SI. Les principaux risques liés aux dispositifs dédiés aux interventions à distance sont : • L'intrusion dans le système d'information par une personne non autorisée (exploitation d’un mot de passe faible, d’une faille ou d’une porte dérobée) avec des conséquences plus ou moins graves selon les motivations de l’attaquant et sa capacité à ne pas être détecté, dont : o Une indisponibilité de l’équipement pouvant entraîner l’indisponibilité du système d'information. o Et une atteinte à la confidentialité ou à l’intégrité des données présentes sur le système d'information.
• L’abus de droits d’un technicien du centre de support lors d’une intervention :
o Qui peut entraîner un accès à des données confidentielles ou téléchargement massif de ces dernières.
o Et la modification de données sur le système d'information, éventuellement sans laisser de traces (absence de fonction de traçabilité ou possibilité d’effacer les traces à postériori).
Les risques liés à l'hébergement mutualisé
- Perte de disponibilité
Une attaque par déni de service provoque généralement l’indisponibilité du serveur hébergeant la cible de l’attaque. Lorsque plusieurs services sont hébergés sur le même serveur, les services qui n’étaient pas pris pour cible peuvent être indirectement touchés.
- Perte d’intégrité
Si un des sites web est pris pour cible par une attaque comme (vol d’informations, défiguration de site web, rebond d’attaques), l’exécution de code peut toucher l’ensemble des services.
- Perte de confidentialité
Lorsque des services partagent le même environnement physique, cela peut conduire à des croisements d’information. Dans un environnement non maîtrisé, les risques auxquels s’exposent un co-hébergé augmentent.
Cet article vous a semblé utile ?
Activer l'actualisation automatique des commentaires