Les limites de l’infogérance en matière de sécurité Externalisation Les limites de l’infogérance en matière de sécurité 12 janvier 2005

RIBEYRE & ASSOCIES SOMMAIRE Info gérer sa sécurité - Éric de Bernouis Les contraintes juridiques de l’infogérance sécurité – Raphaël Peuchot Externalisation, sécurité … témoignage – Françoise Bergame RIBEYRE & ASSOCIES

Pour quelle confiance ? Éric de Bernouis Info gérer sa sécurité Pour quelle confiance ? Éric de Bernouis

Quels services pour quelle confiance ? Externaliser ou gérer soi-même ? Que faut-il infogérer ? Comment préparer une infogérance ?

Externaliser ou gérer soi-même Confidentialité Intégrité Disponibilité Authentification Non répudiation Traçabilité Exactitude ?

Infogérance et sécurité : une réalité La croissance du marché des services sécurité : 34% par an * Un CA à horizon 2003 : 2 Billions de $ * Le marché des MSSP (Managed Security Services Provider) en 2000 : 400 millions de $ ** La perspective en 2005 : 1.7 Billions de $ ** Un marché pas encore mature (Sources : * IDC, ** Yankee Group)

Pourquoi les entreprises font infogérer leur sécurité ? Elles n'ont pas les ressources nécessaires pour gérer complètement la sécurité Elles n'ont pas la capacité d'évaluer convenablement les nouveaux produits de sécurité, de les intégrer dans leur système d'information, et de les gérer pour garantir leur efficacité dans le temps Elles réalisent qu'elles ne sont pas des sociétés de sécurité et qu'elles ne doivent pas oublier leur métier premier Elles sont conscientes que la sécurité de leur système d'information est une des clés de leurs succès futurs

Pourquoi les entreprises n'infogérent pas leur sécurité Elles n'ont pas une idée exacte de la valeur de leur patrimoine informationnel et ont des réactions paranoïaques Elles ne savent pas quelles fonctions infogérer et quelles fonctions conserver Elles n'ont pas confiance dans les sociétés d'infogérance Elles ont peur de perdre la main sur ce qu'elles craignent et qu'elles ne comprennent ou ne maîtrisent pas

Comment aborder l'infogérance ? Le MSSP Les services Les préliminaires Le contenu des services ?

Les préliminaires à l'infogérance Fonctionnels Une politique de sécurité pour l'entreprise La connaissance des ressources à protéger L'évaluation des besoins d'une infogérance (stratégique, économique, technologique) Opérationnels Le choix des services info gérés L'existence d'un chef de projet interne (RSSI ou autre) Le choix du MSSP

Quels services infogérer ? Expertise Supervision Administration Conception Fonctionnel ?

Quels services infogérer ? : expertise Il s'agit de services liés à la connaissance la plus à jour possible des évolutions les plus récentes des technologies de la sécurité Services d'expertise La veille technologique Les services d'alertes de sécurité personnalisées Les audits réguliers de vulnérabilité Les tests intrusifs Expertise

Quels services infogérer ? : supervision Il s'agit de services liés au suivi au quotidien des événements de sécurité survenant votre système d'information Services de supervision L'analyse de log avec bilan périodique des événements de sécurité L'analyse de log avec réaction a posteriori et recommandations L'analyse de log avec réaction à chaud La supervision en temps réel des composants de sécurité Supervision

Quels services infogérer ? : administration Il s'agit de services de délégation de responsabilité d'administration et d'exploitation de composants de sécurité à des tiers en interne ou à distance Services d'administration Les Firewalls, Proxies serveurs Les VPN Les mécanismes d'authentification renforcée La sécurité des services WEB La lutte anti virale Les mécanismes de certification Les ASP Administration

Quels services infogérer ? : conception Il s'agit de services de délégation de responsabilité fonctionnelle de la sécurité à des tiers en interne principalement Services de conception Responsable sécurité Gestionnaire de risques Conception

Quels services infogérer ? : reprise d'activité Il s'agit du cas particulier des plans de reprise d'activité sur incident ou sinistre majeur Services de reprise Conception Fournisseur de solution de secours Test des plans Maintenance des plans

Le choix du MSSP Le MSSP est un partenaire dans lequel vous devez avoir d'abord CONFIANCE Image de marque et preuve (AFAQ, EQNET, Fédération des Professionnels des Tests Intrusifs) Pérennité et stabilité Solidité financière Démarche et compétences Services fournis Engagement, éthique et politique de gestion du personnel

L'engagement du MSSP La base de l'engagement : le SLA (Service Level Agreement) ou le contrat de service " Écrire ce que l'on fait et faire ce que l'on écrit "

Le SLA doit obligatoirement contenir de manière très précise L'engagement du MSSP Le SLA doit obligatoirement contenir de manière très précise Le périmètre (services couverts, contenus, limites) Les responsabilités de chacun dans les différents domaines Les conditions de prise en compte de l'infogérance La durée, les prix et les clauses de réversibilité Les engagements et obligations du prestataire (Sécurité, Traçabilité, Livrables, Obligations légales, …) Les engagements et obligations du clients (Contrôle qualité, Direction de projet, Escalade, Obligations légales,…)

Les points à prendre en compte plus particulièrement L'engagement du MSSP Les points à prendre en compte plus particulièrement Conservez la maîtrise de votre sécurité Conservez la maîtrise de vos risques fonctionnels et technologiques Disposez d'un droit de contrôle complet sur votre MSSP dans le cadre de votre contrat Définissez très précisément les obligations sécuritaires du MSSP vis-à-vis de votre système d'information (confidentialité, disponibilité, intégrité, physique, ...)

Infogérer une partie de sa sécurité permet de prendre en compte: Conclusions Infogérer une partie de sa sécurité permet de prendre en compte: la réduction des budgets informatiques la complexification des architectures client - serveur et Internet Infogérer une partie de sa sécurité permet de : recentrer l'activité de l'entreprise sur sa vocation première disposer pour autant d'un niveau de prestation élevé Mais infogérer une partie de sa sécurité, c'est : maîtriser ses besoins et ses risques mettre en œuvre un partenariat de confiance avec un prestataire formaliser précisément ce partenariat

“ GAGNER, CE N'EST PAS ÊTRE Conclusions “ NE PAS PREVOIR C’EST DEJA GEMIR “ (Socrate) “ GAGNER, CE N'EST PAS ÊTRE LE MEILLEUR, C'EST SAVOIR S'ENTOURER DES MEILLEURS “ (Mac Arthur)

Les contraintes juridiques de l’infogérance de sécurité Me Raphaël PEUCHOT, avocat, Ribeyre & Associés

Sommaire Définition du périmètre technique de la prestation La gestion du contrat La clause de réversibilité Mérites et risques de la sous-traitance Responsabilité et assurance Gestion des sinistres

1. Le périmètre technique de la prestation d’infogérance la définition des besoins incombe au client - exigences de sécurité - degré de latitude dans les préconisations - niveau de sécurité attendu (qualification des obligations) une obligation générale d’information pèse sur le client - politique de sécurité - architecture technique et contraintes d’exploitation - périmètre contractuel préexistant le prestataire doit déclarer et garantir sa bonne information - obligation de conseil (et de critique) - engagement écrit

la double finalité du contrat 2. La gestion du contrat la double finalité du contrat - la définition des obligations réciproques - la sanction des inexécutions le suivi contractuel - la bonne exécution de ses obligations par le prestataire - l’exécution conforme du contrat en interne

3. La réversibilité du contrat d’infogérance le cadre de la réversibilité - les cas de cessation du contrat - la procédure collective du prestataire les exigences de réversibilité - la continuité de service - la confidentialité et l’intégrité des données - l’absence de toute rétention les modalités techniques et financières - le plan de réversibilité - le transfert de savoir-faire - le coût de la réversibilité

4. Mérites et risques de la sous-traitance le régime juridique de la sous-traitance - notion et modalités - l’agrément - le paiement direct les intérêts de la sous-traitance - la complémentarité des compétences - l’unicité d’interlocuteur (maître d’œuvre) les risques de la sous-traitance - la mauvaise définition des rôles - la sous-traitance non déclarée - la gestion déficiente de la chaîne de sous-traitance

5. Responsabilité et assurance fondement de la responsabilité : l’inexécution contractuelle - inexécution d’une obligation - inexécution partielle - inexécution totale les conséquences de la responsabilité - la faille de sécurité méconnue - le préjudice - l’atténuation de la responsabilité l’assurance des prestations d’infogérance de sécurité - l’assurance de responsabilité civile - l’assurance dommage

6. La gestion des sinistres les situations de crises - qualification - plan de réaction la préservation des preuves - modalités et utilité - suites contractuelles et/ou judiciaires

Externalisation, sécurité… Témoignage Françoise BERGAME Janvier 2005

Mission EM LYON est une institution européenne dans la tradition des «Grandes Écoles Françaises» dédiée à l’apprentissage du management international tout au long de la vie. Sa mission consiste à accompagner le développement des individus et des entreprises au travers d’une gamme de programmes et de solutions – de la formation initiale pour étudiants à la formation continue pour cadres dirigeants. Son expertise repose sur des formations à la fois académiques et en prise directe avec les réalités de l’entreprise soutenue par une recherche pertinente. Son identité s’appuie sur une tradition d’innovation pédagogique et d’approche entrepreneuriale de la formation au management.

Profil 1872 – création de l’Ecole par des industriels de la Chambre de Commerce et d’Industrie de Lyon 1997 – le Groupe ESC Lyon devient EM LYON – Ecole de Management de Lyon 30 000 m2 de bâtiments situés dans une domaine de 6 hectares 2 résidences universitaires 2 sites de formation : le campus de Lyon-Ecully et le Centre de Formation de Paris 30 millions d’euros de budget de fonctionnement 2 200 étudiants dont 25% d’étrangers 5 000 cadres d’entreprise en éducation permanente par an 300 salariés dont 80 professeurs 400 intervenants (professeurs, consultants ou responsables d’entreprise) 12 500 diplômés 87 universités ou Business Schools étrangères partenaires

Classements et Accréditations N°4 du Classement Grandes Ecoles du Magazine l’Etudiant (décembre 2003). N°17 en Europe pour l’International MBA par The Economist (septembre 2003) N°37 dans le monde pour les programmes sur-mesure en formation permanente par The Financial Times (mai 2004) Accréditée EQUIS par l’EFMD (European Foundation for Management Development) Accréditée AMBA (Association of MBAs) pour les programmes EM LYON International MBA et EM LYON Executive MBA) Accrédité AACSB (Association to Advance Collegiate Schools of Business)

Carrières et Partenariats Organisation orientée-client Comité Executif Faculté et recherche Carrières et Partenariats Drh, Daf, Dmc, Dsit… Des programmes de formation initiale adaptés à chaque profil > Programme ESC (Bachelor & Master of Science in Management) > Master in European Business > Mastères Spécialisés Des programmes et séminaires pour créateurs ou repreneurs d’entreprises > Programme d’Appui à la Création d’Entreprise > Programme Reprise d’Entreprise > Séminaires pour Dirigeants Propriétaires > Séminaires et conférences > Programmes sur-mesure  Accompagner les entreprises dans le développement de leurs compétences > Programmes MBA > Individual Learning Solutions : diplômes, certificats, séminaires > Corporate Learning Solutions : Programmes sur mesure  > Programmes Linguistiques  > Solutions e-learning

Activité et projets DSIT Schéma directeur, politique sécurité, reporting, indicateurs, budget… (3 BU, Lyon, Paris, résidences…) Maintenance évolutive et corrective Assistance au personnel Formation au personnel Assistance participants, salles de cours, jeux pédagogiques Administration, exploitation… Projets Urbanisation des SI modèlisation process, modèlisation architecture annuaire, EAI, WebServices. couche décisionnelle Projets SI Evolution du campus virtuel et jeux pédagogiques. Evolution du SIcontrôle de gestion, Gestion de la relation client (partenaires, prospects, clients,anciens), Fidélisation, Mail à vie Projets postes de travail Projets Infrastructures Migration messagerie Sauvegarde, supervision, QoS Nouveau réseau Wifi 2G Nouveau réseau filaire 2G Réseau LyRE e-center Nouvelles Techno : Umts, WebTv, Web radio…

Organisation D.S.I.T interne externe Directeur Assistante Achat/Gestion Responsable Formation/Communication Responsable du service Etudes et Projets Responsable du service Réseau Système Maintenance CdP SI de Gestion CdP Campus Virtuel CdP Internet/Intranet CdP Assistance MOA Technicien TMA Ingénieur TMA Ingénieur Exploitation CdP Système CdP Réseau/Télécom Responsable Assistance/Postes Technicien d’assistance Réalisation d’application mode projet Mise en place Infrastructure, mode projet Hébergement Infrastructure Campus Virtuel Assistance utilisateur aux participants

Les raisons de cette répartition Politique Rh de la DSIT : plus d’embauche de profils «technicien d’assistance», difficulté à proposer des évolutions de carrière… Pas d’embauche des profils Chef de projet «Réseau/Système» car grands chantiers, mais à durée limitée. Volonté de conserver en interne les Chefs de projet «Etudes et Projets» (cœur de métier), les pilotes d’activités (chefs de service, Directeurs de projets) Prise en compte de l’historique, des équipes internes et externes en place, de leur compétence, de leur désir d’évolution… Du rythme nécessaire pour de telles conduites de changement. Points faibles - Ne colle plus à notre Schéma Directeur - Mixte interne/externe sur certains domaines - Zone de responsabilités non toujours claires - Sociétés partenaires nombreuses Points forts - Connaissance terrain forte - Esprit d’équipe interne/externe

Équipe permanente sur site, Répartition de l’effectif.

Répartition coût externe/interne

Externalisation : nouvelle cible Changement du périmètre du Système d’Information : Campus virtuel et e-learning, Informatique des entreprises clientes, Anciens participants, mails à vie, portail à vie… Importance grandissante de la maîtrise des coûts, des niveaux de service, des niveaux de sécurité (confidentialité, fiabilité, pérennité…) Rythme élevé de l’évolution des nouvelles technologies Exigence grandissante : public international (maîtrise de l’anglais), informatique très sollicitée (24/24h, 7j/7) Évolution de la politique RH globale de l’entreprise, désir de se concentrer sur les fonctions cœur de métier.

Organisation D.S.I.T cible En externe : Assistance technique (personnel et étudiant) Réalisation applicative, paramétrage progiciel Mise en œuvre projet Infrastructure, postes de travail meilleures maîtrises des coûts, des niveaux de services par BU plus grande prise de responsabilité de la ssii meilleure évolution des profils techniciens meilleure tenue des délais sur les gros chantiers meilleure visibilité sur les coûts engagement, garantie de la ssii, de l’éditeur concentration de nos équipes sur l’accompagnement des équipes fonctionnelles, les validations… maîtrise délais, coûts compétences spécifiques difficiles à avoir concentration de nos équipes sur le pilotage

Organisation D.S.I.T cible En externe : Hébergement des serveurs destinés à un public large (messagerie à vie, campus virtuel destiné aux entreprises clientes…) Hébergement application non cœur de métier (paye…) 7j/7, 24/24h impossible en interne volume trop important, à terme, pour nos équipes internes, exigence sécurité (disponibilité, fiabilité…) fortes pour les entreprises clientes engagement contractuel externe gestion interne non rentable, mobilisant nos ressources sur des domaines où ils n’apportent pas de valeur ajoutée exigences sécurité pouvant être fortes

Organisation D.S.I.T cible En interne : Pilotage niveau Direction : Schéma Directeur, Politique Sécurité, Budgets… - Pilotage activités des Services : Etudes & Projet, Maintenance applicative, Infrastructure, Assistance/Poste de travail. - Pilotage projets de mise en œuvre - Assistance à maîtrise d’ouvrage - Hébergement applications cœur de métier, stratégiques meilleure connaissance des orientations stratégiques Entreprise, DSIT, meilleure connaissance des priorités, des enjeux et risques meilleure connaissance des métiers : interlocuteurs, process existants, process cibles… meilleures gestion multi-projets, gestion des priorités appel à l’extérieur restant possible : conseil, expertise, accompagnement… maîtrise globale de l’infrastructure, maîtrise de son administration et exploitation (sécurité, réactivité, évolution…)

Organisation D.S.I.T cible Mixte Interne/Externe : Conception d’architecture, de solutions, veille Exploitation, Administration, Sécurité Maintenance applicative besoin d’une bonne maîtrise des architectures existantes, des choix passés…. besoin d’une bonne connaissance des nouveautés du marché prise en compte de l’organisation existante, des équipes existantes, études d’externalisation non encore menées, priorité donnée aux études d’externalisation de l’assistance, de l’hébergement.

Zoom sur les aspects sécurité Politique sécurité définie en interne, pilotage des actions sécurité en interne, mais appel à l’expertise et à la technicité des prestataires. Le dialogue interne/externe : levier pour améliorer la sécurité. Vigilance sur les contrats de prestation externe, d’hébergement externe (définition des périmètres de responsabilité, clauses de réversibilité, de confidentialité) Fort partenariat avec les prestataires externes, travail sur le long terme, niveau de confiance mutuelle élevée. Clients finaux : décideurs d’aujourd’hui et de demain. Partenaires Taxe d’apprentissage, Stages/Emplois, participation dans la pédagogie…

Conclusions L’externalisation des serveurs et applications a été guidée par la recherche d’une plus grande sécurité plus grande disponibilité meilleure fiabilité, meilleur plan de secours confidentialité respectée Mais moins bonne réactivité… L’externalisation de prestation a davantage été guidée par des aspects RH par la recherche de la meilleure répartition des compétences, des charges Le travail sur les contrats a renforcé notre sensibilisation sur les aspects sécurité au sens large. CLUSIR