Externalisation des systmes dinformation ou infogrance

Lexternalisation applique au domaine des systmes dinformation sappelle linfogrance.

Le recours linfogrance prsente des avantages (absence de comptences en interne,
flexibilit face aux volutions du SI ou ncessit de rationaliser les cots) mais aussi des
risques quil convient didentifier. Linfogrance peut induire des risques pour le systme
dinformation comme pour les donnes.

Types dinfogrance

Linfogrance recouvre un large spectre de prestations, classes en trois catgories :

- la gestion dinfrastructures
- la gestion des applications
- lhbergement de services

Trois grands domaines de risques sont identifis par lANSSI

- risques lis la perte de matrise du systme dinformation

o le prestataire peut recourir un sous-traitant voire une sous-traitance en
cascade
o sassurer que lensemble des lieux dhbergement rpondent aux obligations
lgales et rglementaires et aux exigences de scurit fixes par le chef
dentreprise
o vrifier que les obligations lgales spcifiques aux donnes caractre
personnelles sont respectes
o les choix techniques du prestataire doivent tre en conformit avec les exigences
de scurit du chef dentreprise et la rversibilit des donnes doit tre garantie

- risques lis aux interventions distance

o vulnrabilits lis aux dispositifs de tlmaintenance
o intrusion dans le systme par une personne non autorise
o labus de droit dun technicien du prestataire

- risques lis lhbergement mutualis

o perte de disponibilit
o perte dintgrit
o perte de confidentialit

Lanalyse des risques

Cette analyse doit permettre de bien valuer la nature et la gravit des impacts de lensemble
des risques identifis. Elle peut mettre en vidence le fait que certaines fonctions ou
informations particulirement sensibles ne doivent pas tre externalises.
Les Chefs dentreprises doivent tre trs vigilants dans la rdaction du cahier des charges. Leur
responsabilit est engage en cas de perte de donnes caractre personnel et ils encourent des
sanctions pnales en cas de non respect des dispositions de la loi du 6 janvier 1978 modifie
relative linformatique, aux fichiers et aux liberts.
Ces exigences conduisent la rdaction dun document contractuel avec le prestataire : le plan
dassurance scurit.

Focus sur une forme particulire dinfogrance :

Le Cloud computing linformatique en nuage

Le Cloud est une forme dinfogrance dans laquelle lemplacement et le fonctionnement du

nuage ne sont pas ports la connaissance des clients. Le Cloud permet de consommer et
dacheter des services en utilisant des serveurs informatiques rpartis dans le monde entier et li
un rseau comme lInternet. Lavantage consiste pour les utilisateurs pouvoir accder de
manire volutive de nombreux services en ligne sans avoir grer linfrastructure
informatique.

Le Cloud sarticule autour de 4 critres cls :

- la mutualisation des ressources
- le paiement lusage
- la modularit
- la standardisation des fonctions proposes.

Le Cloud doit tre parfaitement encadr juridiquement notamment sur les risques ayant trait :
- la localisation des donnes
- la disponibilit des donnes
- la conformit lgale
- la confidentialit
- la scurit des donnes
- la perte de matrise de son SI
- la mutualisation des ressources

Comme le souligne lANSSI, il est plus difficile de se prmunir de ces risques que dans
linfogrance classique. En effet, le client souscrit le plus souvent des offres par validation
dun contrat type, quil est souvent impossible de personnaliser en y intgrant des clauses
particulires en matires de scurit.

Document ralis par le Comit Oprationnel de Scurit conomique

Contact : Corinne Marbach
Mobile : 06 07 26 17 05 ou corinne.marbach@direccte.gouv.fr

Sources et pour en savoir plus

- Consultez le guide Matriser les risques de linfogrance rdig par lAgence Nationale de
la Scurit des Systmes dinformation (ANSSI) :http://www.ssi.gouv.fr/

- Visitez le site du CIGREF : http://www.cigref.fr

- Lettre dinformation Caprioli Associs : Technologies, Information et Proprits

Intellectuelles n10 : http://www.caprioli-avocats.com