La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

Externalisation Les limites de linfogérance en matière de sécurité 12 janvier 2005.

Présentations similaires


Présentation au sujet: "Externalisation Les limites de linfogérance en matière de sécurité 12 janvier 2005."— Transcription de la présentation:

1 Externalisation Les limites de linfogérance en matière de sécurité 12 janvier 2005

2 Page 1 F. Bergame, R. Peuchot, E. de Bernouis SOMMAIRE Info gérer sa sécurité - Éric de Bernouis Les contraintes juridiques de linfogérance sécurité – Raphaël Peuchot Externalisation, sécurité … témoignage – Françoise Bergame

3 Info gérer sa sécurité Pour quelle confiance ? Éric de Bernouis

4 Page 3 F. Bergame, R. Peuchot, E. de Bernouis Quels services pour quelle confiance ? Externaliser ou gérer soi-même ? Que faut-il infogérer ? Comment préparer une infogérance ?

5 Page 4 F. Bergame, R. Peuchot, E. de Bernouis Externaliser ou gérer soi-même ? Confidentialité Intégrité Disponibilité Authentification Non répudiation Traçabilité Exactitude

6 Page 5 F. Bergame, R. Peuchot, E. de Bernouis La croissance du marché des services sécurité : 34% par an * Un CA à horizon 2003 : 2 Billions de $ * Le marché des MSSP (Managed Security Services Provider) en 2000 : 400 millions de $ ** La perspective en 2005 : 1.7 Billions de $ ** Un marché pas encore mature Infogérance et sécurité : une réalité (Sources : * IDC, ** Yankee Group)

7 Page 6 F. Bergame, R. Peuchot, E. de Bernouis Elles n'ont pas les ressources nécessaires pour gérer complètement la sécurité Elles n'ont pas la capacité d'évaluer convenablement les nouveaux produits de sécurité, de les intégrer dans leur système d'information, et de les gérer pour garantir leur efficacité dans le temps Elles réalisent qu'elles ne sont pas des sociétés de sécurité et qu'elles ne doivent pas oublier leur métier premier Elles sont conscientes que la sécurité de leur système d'information est une des clés de leurs succès futurs Pourquoi les entreprises font infogérer leur sécurité ?

8 Page 7 F. Bergame, R. Peuchot, E. de Bernouis Elles n'ont pas une idée exacte de la valeur de leur patrimoine informationnel et ont des réactions paranoïaques Elles ne savent pas quelles fonctions infogérer et quelles fonctions conserver Elles n'ont pas confiance dans les sociétés d'infogérance Elles ont peur de perdre la main sur ce qu'elles craignent et qu'elles ne comprennent ou ne maîtrisent pas Pourquoi les entreprises n'infogérent pas leur sécurité

9 Page 8 F. Bergame, R. Peuchot, E. de Bernouis Comment aborder l'infogérance ? ? Les préliminaires Le contenu des services Le MSSP Les services

10 Page 9 F. Bergame, R. Peuchot, E. de Bernouis Les préliminaires à l'infogérance Fonctionnels –Une politique de sécurité pour l'entreprise –La connaissance des ressources à protéger –L'évaluation des besoins d'une infogérance (stratégique, économique, technologique) Opérationnels –Le choix des services info gérés –L'existence d'un chef de projet interne (RSSI ou autre) –Le choix du MSSP

11 Page 10 F. Bergame, R. Peuchot, E. de Bernouis Quels services infogérer ? ? Expertise Supervision Administration Conception Fonctionnel

12 Page 11 F. Bergame, R. Peuchot, E. de Bernouis Il s'agit de services liés à la connaissance la plus à jour possible des évolutions les plus récentes des technologies de la sécurité Services d'expertise –La veille technologique –Les services d'alertes de sécurité personnalisées –Les audits réguliers de vulnérabilité –Les tests intrusifs Quels services infogérer ? : expertise Expertise

13 Page 12 F. Bergame, R. Peuchot, E. de Bernouis Il s'agit de services liés au suivi au quotidien des événements de sécurité survenant votre système d'information Services de supervision –L'analyse de log avec bilan périodique des événements de sécurité –L'analyse de log avec réaction a posteriori et recommandations –L'analyse de log avec réaction à chaud –La supervision en temps réel des composants de sécurité Quels services infogérer ? : supervision Supervision

14 Page 13 F. Bergame, R. Peuchot, E. de Bernouis Il s'agit de services de délégation de responsabilité d'administration et d'exploitation de composants de sécurité à des tiers en interne ou à distance Services d'administration –Les Firewalls, Proxies serveurs –Les VPN –Les mécanismes d'authentification renforcée –La sécurité des services WEB –La lutte anti virale –Les mécanismes de certification –Les ASP Quels services infogérer ? : administration Administration

15 Page 14 F. Bergame, R. Peuchot, E. de Bernouis Il s'agit de services de délégation de responsabilité fonctionnelle de la sécurité à des tiers en interne principalement Services de conception –Responsable sécurité –Gestionnaire de risques Quels services infogérer ? : conception Conception

16 Page 15 F. Bergame, R. Peuchot, E. de Bernouis Il s'agit du cas particulier des plans de reprise d'activité sur incident ou sinistre majeur Services de reprise –Conception –Fournisseur de solution de secours –Test des plans –Maintenance des plans Quels services infogérer ? : reprise d'activité

17 Page 16 F. Bergame, R. Peuchot, E. de Bernouis Le choix du MSSP Le MSSP est un partenaire dans lequel vous devez avoir d'abord CONFIANCE –Image de marque et preuve (AFAQ, EQNET, Fédération des Professionnels des Tests Intrusifs) –Pérennité et stabilité –Solidité financière –Démarche et compétences –Services fournis –Engagement, éthique et politique de gestion du personnel

18 Page 17 F. Bergame, R. Peuchot, E. de Bernouis La base de l'engagement : le SLA (Service Level Agreement) ou le contrat de service L'engagement du MSSP " Écrire ce que l'on fait et faire ce que l'on écrit "

19 Page 18 F. Bergame, R. Peuchot, E. de Bernouis Le SLA doit obligatoirement contenir de manière très précise –Le périmètre (services couverts, contenus, limites) –Les responsabilités de chacun dans les différents domaines –Les conditions de prise en compte de l'infogérance –La durée, les prix et les clauses de réversibilité –Les engagements et obligations du prestataire (Sécurité, Traçabilité, Livrables, Obligations légales, …) –Les engagements et obligations du clients (Contrôle qualité, Direction de projet, Escalade, Obligations légales,…) L'engagement du MSSP

20 Page 19 F. Bergame, R. Peuchot, E. de Bernouis Les points à prendre en compte plus particulièrement –Conservez la maîtrise de votre sécurité –Conservez la maîtrise de vos risques fonctionnels et technologiques –Disposez d'un droit de contrôle complet sur votre MSSP dans le cadre de votre contrat –Définissez très précisément les obligations sécuritaires du MSSP vis-à-vis de votre système d'information (confidentialité, disponibilité, intégrité, physique,...) L'engagement du MSSP

21 Page 20 F. Bergame, R. Peuchot, E. de Bernouis Infogérer une partie de sa sécurité permet de prendre en compte: –la réduction des budgets informatiques –la complexification des architectures client - serveur et Internet Infogérer une partie de sa sécurité permet de : –recentrer l'activité de l'entreprise sur sa vocation première –disposer pour autant d'un niveau de prestation élevé Mais infogérer une partie de sa sécurité, c'est : –maîtriser ses besoins et ses risques –mettre en œuvre un partenariat de confiance avec un prestataire –formaliser précisément ce partenariat Conclusions

22 Page 21 F. Bergame, R. Peuchot, E. de Bernouis Conclusions NE PAS PREVOIR CEST DEJA GEMIR (Socrate) GAGNER, CE N'EST PAS ÊTRE LE MEILLEUR, C'EST SAVOIR S'ENTOURER DES MEILLEURS (Mac Arthur)

23 Les contraintes juridiques de linfogérance de sécurité Me Raphaël PEUCHOT, avocat, Ribeyre & Associés

24 1.Définition du périmètre technique de la prestation 2.La gestion du contrat 3.La clause de réversibilité 4.Mérites et risques de la sous-traitance 5.Responsabilité et assurance 6.Gestion des sinistres Sommaire

25 Page 24 F. Bergame, R. Peuchot, E. de Bernouis 1. Le périmètre technique de la prestation dinfogérance la définition des besoins incombe au client - exigences de sécurité - degré de latitude dans les préconisations - niveau de sécurité attendu (qualification des obligations) une obligation générale dinformation pèse sur le client - politique de sécurité - architecture technique et contraintes dexploitation - périmètre contractuel préexistant le prestataire doit déclarer et garantir sa bonne information - obligation de conseil (et de critique) - engagement écrit

26 Page 25 F. Bergame, R. Peuchot, E. de Bernouis 2. La gestion du contrat la double finalité du contrat - la définition des obligations réciproques - la sanction des inexécutions le suivi contractuel - la bonne exécution de ses obligations par le prestataire - lexécution conforme du contrat en interne

27 Page 26 F. Bergame, R. Peuchot, E. de Bernouis 3. La réversibilité du contrat dinfogérance le cadre de la réversibilité - les cas de cessation du contrat - la procédure collective du prestataire les exigences de réversibilité - la continuité de service - la confidentialité et lintégrité des données - labsence de toute rétention les modalités techniques et financières - le plan de réversibilité - le transfert de savoir-faire - le coût de la réversibilité

28 Page 27 F. Bergame, R. Peuchot, E. de Bernouis 4. Mérites et risques de la sous-traitance le régime juridique de la sous-traitance - notion et modalités - lagrément - le paiement direct les intérêts de la sous-traitance - la complémentarité des compétences - lunicité dinterlocuteur (maître dœuvre) les risques de la sous-traitance - la mauvaise définition des rôles - la sous-traitance non déclarée - la gestion déficiente de la chaîne de sous-traitance

29 Page 28 F. Bergame, R. Peuchot, E. de Bernouis 5. Responsabilité et assurance fondement de la responsabilité : linexécution contractuelle - inexécution dune obligation - inexécution partielle - inexécution totale les conséquences de la responsabilité - la faille de sécurité méconnue - le préjudice - latténuation de la responsabilité lassurance des prestations dinfogérance de sécurité - lassurance de responsabilité civile - lassurance dommage

30 Page 29 F. Bergame, R. Peuchot, E. de Bernouis 6. La gestion des sinistres les situations de crises - qualification - plan de réaction la préservation des preuves - modalités et utilité - suites contractuelles et/ou judiciaires

31 Janvier 2005 Externalisation, sécurité… Témoignage Françoise BERGAME

32 Page 31 F. Bergame, R. Peuchot, E. de BernouisMission EM LYON est une institution européenne dans la tradition des «Grandes Écoles Françaises» dédiée à lapprentissage du management international tout au long de la vie. Sa mission consiste à accompagner le développement des individus et des entreprises au travers dune gamme de programmes et de solutions – de la formation initiale pour étudiants à la formation continue pour cadres dirigeants. Son expertise repose sur des formations à la fois académiques et en prise directe avec les réalités de lentreprise soutenue par une recherche pertinente. Son identité sappuie sur une tradition dinnovation pédagogique et dapproche entrepreneuriale de la formation au management.

33 Page 32 F. Bergame, R. Peuchot, E. de BernouisProfil 1872 – création de lEcole par des industriels de la Chambre de Commerce et dIndustrie de Lyon 1997 – le Groupe ESC Lyon devient EM LYON – Ecole de Management de Lyon m2 de bâtiments situés dans une domaine de 6 hectares 2 résidences universitaires 2 sites de formation : le campus de Lyon-Ecully et le Centre de Formation de Paris 30 millions deuros de budget de fonctionnement étudiants dont 25% détrangers cadres dentreprise en éducation permanente par an 300 salariés dont 80 professeurs 400 intervenants (professeurs, consultants ou responsables dentreprise) diplômés 87 universités ou Business Schools étrangères partenaires

34 Page 33 F. Bergame, R. Peuchot, E. de Bernouis Classements et Accréditations N°4 du Classement Grandes Ecoles du Magazine lEtudiant (décembre 2003). N°17 en Europe pour lInternational MBA par The Economist (septembre 2003) N°37 dans le monde pour les programmes sur-mesure en formation permanente par The Financial Times (mai 2004) Accréditée EQUIS par lEFMD (European Foundation for Management Development) Accréditée AMBA (Association of MBAs) pour les programmes EM LYON International MBA et EM LYON Executive MBA) Accrédité AACSB (Association to Advance Collegiate Schools of Business)

35 Page 34 F. Bergame, R. Peuchot, E. de Bernouis Organisation orientée-client Accompagner les entreprises dans le développement de leurs compétences > Programmes MBA > Individual Learning Solutions : diplômes, certificats, séminaires > Corporate Learning Solutions : Programmes sur mesure > Programmes Linguistiques > Solutions e-learning Des programmes et séminaires pour créateurs ou repreneurs dentreprises > Programme dAppui à la Création dEntreprise > Programme Reprise dEntreprise > Séminaires pour Dirigeants Propriétaires > Séminaires et conférences > Programmes sur-mesure Comité Executif Faculté et recherche Carrières et Partenariats Drh, Daf, Dmc, Dsit… Des programmes de formation initiale adaptés à chaque profil > Programme ESC (Bachelor & Master of Science in Management) > Master in European Business > Mastères Spécialisés

36 Page 35 F. Bergame, R. Peuchot, E. de Bernouis Activité et projets DSIT Projets Urbanisation des SI modèlisation process, modèlisation architecture annuaire, EAI, WebServices. couche décisionnelle Projets SI Evolution du campus virtuel et jeux pédagogiques. Evolution du SIcontrôle de gestion, Gestion de la relation client (partenaires, prospects, clients,anciens), Fidélisation, Mail à vie Projets postes de travail Projets Infrastructures Migration messagerie Sauvegarde, supervision, QoS Nouveau réseau Wifi 2G Nouveau réseau filaire 2G Réseau LyRE e-center Nouvelles Techno : Umts, WebTv, Web radio… Maintenance évolutive et corrective Assistance au personnel Formation au personnel Assistance participants, salles de cours, jeux pédagogiques Administration, exploitation… Schéma directeur, politique sécurité, reporting, indicateurs, budget… (3 BU, Lyon, Paris, résidences…)

37 Page 36 F. Bergame, R. Peuchot, E. de Bernouis Organisation D.S.I.T interne externe Directeur Assistante Achat/Gestion Responsable Formation/Communication CdP SI de Gestion CdP Campus Virtuel CdP Internet/Intranet CdP Assistance MOA Technicien TMA Ingénieur TMA Responsable du service Réseau Système Maintenance Responsable du service Etudes et Projets Responsable Assistance/Postes Technicien dassistance Ingénieur Exploitation CdP Système CdP Réseau/Télécom Réalisation dapplication mode projet Mise en place Infrastructure, mode projet Hébergement Infrastructure Campus Virtuel Assistance utilisateur aux participants

38 Page 37 F. Bergame, R. Peuchot, E. de Bernouis Les raisons de cette répartition Politique Rh de la DSIT : plus dembauche de profils «technicien dassistance», difficulté à proposer des évolutions de carrière… Pas dembauche des profils Chef de projet «Réseau/Système» car grands chantiers, mais à durée limitée. Volonté de conserver en interne les Chefs de projet «Etudes et Projets» (cœur de métier), les pilotes dactivités (chefs de service, Directeurs de projets) lhistorique rythme Prise en compte de lhistorique, des équipes internes et externes en place, de leur compétence, de leur désir dévolution… Du rythme nécessaire pour de telles conduites de changement. Points forts - Connaissance terrain forte - Esprit déquipe interne/externe Points faibles - Ne colle plus à notre Schéma Directeur - Mixte interne/externe sur certains domaines - Zone de responsabilités non toujours claires - Sociétés partenaires nombreuses

39 Page 38 F. Bergame, R. Peuchot, E. de Bernouis Équipe permanente sur site, Répartition de leffectif.

40 Page 39 F. Bergame, R. Peuchot, E. de Bernouis Répartition coût externe/interne

41 Page 40 F. Bergame, R. Peuchot, E. de Bernouis Externalisation : nouvelle cible Changement du périmètre du Système dInformation : Campus virtuel et e-learning, Informatique des entreprises clientes, Anciens participants, mails à vie, portail à vie… Importance grandissante de la maîtrise des coûts, des niveaux de service, des niveaux de sécurité Importance grandissante de la maîtrise des coûts, des niveaux de service, des niveaux de sécurité (confidentialité, fiabilité, pérennité…) Rythme élevé de lévolution des nouvelles technologies Exigence grandissante : Exigence grandissante : public international (maîtrise de langlais), informatique très sollicitée (24/24h, 7j/7) se concentrer sur les fonctions cœur de métier. Évolution de la politique RH globale de lentreprise, désir de se concentrer sur les fonctions cœur de métier.

42 Page 41 F. Bergame, R. Peuchot, E. de Bernouis Organisation D.S.I.T cible En externe : - Assistance technique (personnel et étudiant) - Réalisation applicative, paramétrage progiciel - Mise en œuvre projet Infrastructure, postes de travail meilleures maîtrises des coûts, des niveaux de services par BU plus grande prise de responsabilité de la ssii meilleure évolution des profils techniciens meilleure tenue des délais sur les gros chantiers meilleure visibilité sur les coûts engagement, garantie de la ssii, de léditeur concentration de nos équipes sur laccompagnement des équipes fonctionnelles, les validations… maîtrise délais, coûts compétences spécifiques difficiles à avoir concentration de nos équipes sur le pilotage

43 Page 42 F. Bergame, R. Peuchot, E. de Bernouis Organisation D.S.I.T cible En externe : - Hébergement des serveurs destinés à un public large (messagerie à vie, campus virtuel destiné aux entreprises clientes…) - Hébergement application non cœur de métier (paye…) 7j/7, 24/24h impossible en interne volume trop important, à terme, pour nos équipes internes, exigence sécurité (disponibilité, fiabilité…) fortes pour les entreprises clientes engagement contractuel externe gestion interne non rentable, mobilisant nos ressources sur des domaines où ils napportent pas de valeur ajoutée exigences sécurité pouvant être fortes

44 Page 43 F. Bergame, R. Peuchot, E. de Bernouis En interne : - Pilotage niveau Direction : Schéma Directeur, Politique Sécurité, Budgets… - Pilotage activités des Services : Etudes & Projet, Maintenance applicative, Infrastructure, Assistance/Poste de travail. - Pilotage projets de mise en œuvre - Assistance à maîtrise douvrage - Hébergement applications cœur de métier, stratégiques Organisation D.S.I.T cible meilleure connaissance des orientations stratégiques Entreprise, DSIT, meilleure connaissance des priorités, des enjeux et risques meilleure connaissance des métiers : interlocuteurs, process existants, process cibles… meilleures gestion multi-projets, gestion des priorités appel à lextérieur restant possible : conseil, expertise, accompagnement… maîtrise globale de linfrastructure, maîtrise de son administration et exploitation (sécurité, réactivité, évolution…)

45 Page 44 F. Bergame, R. Peuchot, E. de Bernouis Mixte Interne/Externe : - Conception darchitecture, de solutions, veille - - Exploitation, Administration, Sécurité - Maintenance applicative Organisation D.S.I.T cible besoin dune bonne maîtrise des architectures existantes, des choix passés…. besoin dune bonne connaissance des nouveautés du marché prise en compte de lorganisation existante, des équipes existantes, études dexternalisation non encore menées, priorité donnée aux études dexternalisation de lassistance, de lhébergement.

46 Page 45 F. Bergame, R. Peuchot, E. de Bernouis Zoom sur les aspects sécurité Politique sécurité définie en interne, pilotage des actions sécurité en interne, mais appel à lexpertise et à la technicité des prestataires. Le dialogue interne/externe : levier pour améliorer la sécurité. Vigilance sur les contrats de prestation externe, dhébergement externe (définition des périmètres de responsabilité, clauses de réversibilité, de confidentialité) Fort partenariat avec les prestataires externes, travail sur le long terme, niveau de confiance mutuelle élevée. Clients finaux : décideurs daujourdhui et de demain. Partenaires Taxe dapprentissage, Stages/Emplois, participation dans la pédagogie…

47 Page 46 F. Bergame, R. Peuchot, E. de Bernouis Conclusions Lexternalisation des serveurs et applications a été guidée par la recherche dune plus grande sécurité plus grande disponibilité meilleure fiabilité, meilleur plan de secours confidentialité respectée Mais moins bonne réactivité… Lexternalisation de prestation a davantage été guidée par des aspects RH par la recherche de la meilleure répartition des compétences, des charges Le travail sur les contrats a renforcé notre sensibilisation sur les aspects sécurité au sens large. CLUSIR


Télécharger ppt "Externalisation Les limites de linfogérance en matière de sécurité 12 janvier 2005."

Présentations similaires


Annonces Google