2010 12 03 Guide Externalisation

MATRISER LES RISQUES DE LINFOGRANCE
Externalisation des systmes dinformation
Externalisation des systmes d'information
Introduction
Dans le domaine des systmes d'information, le recours lexternalisation est devenu une pratique courante qui prsente un certain nombre davantages, mais aussi de risques quil convient dvaluer avant de prendre cette dcision. Il convient cet gard de ne pas opposer scurit et externalisation. En effet, le recours un prestataire peut permettre de pallier l'absence ou l'insuffisance de moyens internes, condition que le prestataire s'engage sur la scurit. Les risques en matire de scurit des systmes dinformation peuvent tre lis au contexte de lopration dexternalisation mais aussi des spcifications contractuelles dficientes ou incompltes. Forte de ce constat, lANSSI a donc entrepris de rdiger un guide, poursuivant les objectifs suivants : faire prendre conscience aux dcideurs informatiques des risques en matire de scurit des systmes dinformation (SSI) lis toute opration dexternalisation ; fournir une dmarche cohrente de prise en compte des aspects SSI lors de la rdaction du cahier des charges dune opration dexternalisation ; fournir un ensemble de clauses types ainsi quune base dexigences de scurit, adapter et personnaliser en fonction du contexte particulier de chaque projet dexternalisation. La dmarche fournie dans ce guide vise rduire les risques associs une opration dexternalisation.
Avant-propos
L'Agence nationale de la scurit des systmes d'information (ANSSI) publie un certain nombre de mthodes, guides et bonnes pratiques afin daider les organismes du secteur public et du secteur priv grer la scurit de leurs systmes d'information (SI).
Les publications de lANSSI sont diffuses sur son site Internet : http://www.ssi.gouv.fr/publications/
Toutes remarques sur ce guide peuvent tre adresses conseil@ssi.gouv.fr
Table des matires

INTRODUCTION........................................................................................ 1 AVANT-PROPOS........................................................................................ 2 LA DMARCHE DEXTERNALISATION.........................................................5 TERMINOLOGIE................................................................................................... 5 TYPOLOGIE DE LINFOGRANCE.................................................................................5 LES RISQUES INHRENTS LEXTERNALISATION......................................7 RISQUES LIS LA PERTE DE MATRISE DE SON SYSTME D'INFORMATION.....................................7
Risques lis la sous-traitance......................................................................................7 Risques lis la localisation des donnes......................................................................7 Risques lis aux donnes caractre personnel.............................................................8 Risques lis aux choix techniques du prestataire.............................................................9
RISQUES LIS AUX INTERVENTIONS DISTANCE...............................................................10

Champ dapplication..................................................................................................10 Risques inhrents aux interventions distantes................................................................11 Recommandations .....................................................................................................11 Mise en uvre dune passerelle scurise...................................................................12
RISQUES LIS LHBERGEMENT MUTUALIS .................................................................13

Champ dapplication..................................................................................................13 Risques inhrents lhbergement mutualis...............................................................13 Recommandations......................................................................................................14
L'INFORMATIQUE EN NUAGE OU NBULEUSE..................................................................16 PRISE EN COMPTE DE LA SCURIT DANS LES APPELS D'OFFRES.............19 APPRCIER LES RISQUES ET DTERMINER LES OBJECTIFS DE SCURIT.........................................19 RDACTION DU CAHIER DES CHARGES........................................................................20 CHOIX DU PRESTATAIRE........................................................................................20 LE PLAN DASSURANCE SCURIT...........................................................23 1. OBJET DU DOCUMENT....................................................................................24 2. DOCUMENTS DE RFRENCE...............................................................................24 3. DESCRIPTION DU SYSTME EXTERNALIS...................................................................24 4. RAPPEL DES EXIGENCES ....................................................................................24
5. ORGANISATION............................................................................................25 6. RESPONSABILITS LIES AU PAS...........................................................................27 7. PROCDURE DVOLUTION DU PAS......................................................................27 8. APPLICABILIT DU PAS.....................................................................................28 9. MESURES DE SCURIT.....................................................................................29 10. MATRICE DE COUVERTURE DES EXIGENCES DE SCURIT...............................................30 11. DOCUMENTATION DE SUIVI..............................................................................30 CLAUSES DE SCURIT............................................................................31 TRANSFERT DU SYSTME........................................................................................31 RESPONSABILIT.................................................................................................31 OBLIGATIONS DU PRESTATAIRE................................................................................31 COMIT DE SUIVI............................................................................................... 32 CONFIDENTIALIT.............................................................................................. 32 LOCALISATION DES DONNES.................................................................................33 CONVENTION DE SERVICE.....................................................................................33 AUDITS DE SCURIT...........................................................................................34 APPLICATION DES PLANS GOUVERNEMENTAUX................................................................34 SCURIT DES DVELOPPEMENTS APPLICATIFS..................................................................35 GESTION DES VOLUTIONS....................................................................................35 RVERSIBILIT.................................................................................................... 35 RSILIATION..................................................................................................... 37 ANNEXE 1 : CLAUSE DE CONFIDENTIALIT TYPE EN CAS DE SOUSTRAITANCE .............................................................................................. 39 ANNEXE 2 : EXIGENCES DE SCURIT TYPES...........................................41 ANNEXE 3 : BONNES PRATIQUES POUR L'HEBERGEMENT MUTUALISE....49
1 La dmarche dexternalisation
1.1 Terminologie
Lexternalisation (en anglais outsourcing ) est une dmarche consistant confier un tiers tout ou partie dune activit qui jusqualors tait ralise en interne. Linfogrance est le terme consacr lexternalisation applique au domaine des systmes d'information. Selon la dfinition de lAgence franaise de normalisation (AFNOR) 1, linfogrance est un service dfini comme le rsultat dune intgration dun ensemble de services lmentaires, visant confier un prestataire informatique tout ou partie du systme d'information dun client, dans le cadre dun contrat pluriannuel, base forfaitaire, avec un niveau de services et une dure dfinis.
1.2 Typologie de linfogrance

Linfogrance recouvre un large spectre de prestations. Diverses dclinaisons de ce type de service et une multitude dacronymes ont fait leur apparition : MCO (maintien en condition oprationnelle), TMA (tierce maintenance applicative), ASP (Application Service Provider), SAAS (Software as a service), MSSP (Managed Security Service Provider), etc. En outre, la nature et le contour des prestations associes ces termes correspondent souvent des ralits diffrentes selon les prestataires. Les tches externalises peuvent tre ralises dans les locaux du prestataire, lorsque le systme du client y est hberg par exemple, ou au moyen dune liaison permettant dintervenir distance sur le systme du client. Les tches externalises peuvent galement tre ralises dans les locaux du client par des quipes du prestataire en charge de ces travaux. Bien que protiforme, linfogrance peut tre classe en trois grandes catgories : la gestion dinfrastructures : il peut sagir de la maintenance dun parc informatique, de lhbergement et/ou de ladministration de serveurs, de la supervision dquipements rseau et de scurit, de la gestion de baies de stockage ou de solutions de sauvegarde, etc. ;
Norme AFNOR Z 67 801-1.
la gestion des applications : on peut regrouper dans cette catgorie les activits de support fonctionnel, de maintenance prventive ou corrective, et de gestion des volutions2. Les applications ligibles sont souvent des applications web ou des progiciels de gestion intgre ( ERP en anglais) ; lhbergement de service : le prestataire hberge pour le compte de son client une application utilise comme un service, accessible le plus souvent par le biais dun navigateur web ou dun application spcifique. Dans ce cas, le client nest pas gestionnaire de lapplication quil exploite pour traiter ses donnes et saffranchit totalement des moyens pour la mettre en uvre. Avec lapparition des services web, les fournisseurs dapplications hberges peuvent galement fournir leurs clients une solution plus modulaire, en mettant leur disposition un service interrogeable distance et compltement intgrable au sein des applications distantes.
Il est prfrable de parler de gestion des volutions que de maintenance volutive . En effet, lAFNOR dfinit la maintenance comme lensemble des actions permettant de maintenir ou de rtablir un bien dans un tat spcifi, ou dans un tat o il est en mesure dassurer un service dtermin.
2 Les risques inhrents lexternalisation

2.1 Risques lis la perte de matrise de son systme d'information
2.1.1 Risques lis la sous-traitance
Pour rpondre un appel doffres, un candidat peut se prsenter seul, au sein dun groupement avec une ou plusieurs entreprises, ou encore recourir la sous-traitance. Le titulaire du march peut donc sous-traiter lexcution de certaines parties de ce dernier, condition toutefois davoir obtenu du pouvoir adjudicateur lacceptation de chaque sous-traitant et lagrment de ses conditions de paiement. Mme si le titulaire reste personnellement responsable de toutes les obligations rsultant du march, il convient de vrifier que le ou les sous-traitants disposent des capacits techniques et financires ncessaires la bonne excution des prestations. Il convient galement de sassurer quune sous-traitance en cascade ne conduira pas rendre inefficaces les contraintes de scurit exiges du titulaire du march. En fonction de la nature des prestations sous-traites et du besoin de scurit identifi, le donneur dordres doit se rserver le droit de rcuser tout sous-traitant ne prsentant pas les garanties suffisantes pour excuter les prestations conformment aux exigences de scurit.
2.1.2
Risques lis la localisation des donnes
Il convient de sassurer que lensemble des lieux dhbergement (site principal, site(s) de secours, de sauvegarde, etc.) rpondent dune part aux exigences de scurit du donneur dordres, et dautre part aux obligations lgales et rglementaires, notamment en ce qui concerne la protection des donnes caractre personnel. Il en va de mme des sites de tlmaintenance sils peuvent accder aux donnes. Certains types dinfogrance ne permettent pas de localiser avec certitude les donnes hberges. Ce peut tre le cas de solutions dhbergement reposant sur des infrastructures rparties, telles que l'informatique en nuage (voir page 16).
De telles solutions peuvent dans certains cas amliorer la disponibilit du systme d'information, mais constituent souvent un facteur daggravation des risques datteinte la confidentialit des donnes. De manire gnrale, le risque de divulgation dinformations sensibles dans une opration dinfogrance doit tre systmatiquement valu. L encore, lanalyse de risques doit permettre de bien valuer la nature et la gravit des impacts conscutifs une divulgation dinformations et de prendre une dcision en connaissance de cause. Une localisation de donnes non matrise peut comporter dautres risques : difficult exercer un droit de regard et de contrle sur les personnels du prestataire ; difficult effectuer un audit de scurit de linfrastructure sous-jacente ; difficult rpondre dventuelles injonctions de la justice, pour des raisons fiscales par exemple, ou dautres raisons dordre juridique.
2.1.3
Risques lis aux donnes caractre personnel
En outre, le transfert des donnes caractre personnel en dehors des frontires de lUnion europenne est rglement par la directive europenne 95/46/CE et la loi n78-17 du 6 janvier 1978 modifie relative linformatique, aux fichiers et aux liberts. ce titre, il convient de dterminer si le destinataire du transfert intervient en qualit de responsable de traitement ou de sous-traitant (au sens de la loi du 6 janvier 1978 modifie). En effet, cette qualification a des implications importantes en termes de responsabilit. Comme il n'est pas toujours vident de faire la distinction entre ces deux notions, la Commission Nationale de l'informatique et des Liberts (CNIL) a rcemment apport un clairage sur leurs rles respectifs : le responsable de traitement se caractrise par son autonomie dans la mise en place et la gestion d'un traitement ; le sous-traitant, quant lui, a pour mission d'excuter des tches sur les instructions et sous la responsabilit du responsable de traitement. Tout traitement de donnes personnelles par un sous-traitant, ou transfert de donnes personnelles d'un responsable de traitement un sous-traitant, ne peut tre ralis que sur instruction du responsable de traitement et condition qu'un contrat garantissant les mesures de scurit et de confidentialit mises en place par le sous-traitant soit sign. Un modle de clause pouvant tre utilis en cas de sous-traitance figure en annexe 1. Enfin, certaines donnes font l'objet d'une rglementation spcifique. 8
Les hbergeurs de donnes de sant sont par exemple tenus des obligations de scurit prcises, dfinies notamment par le Code de la sant publique. Ces derniers doivent disposer d'un agrment dlivr par le ministre de la sant. Les tablissements de crdit sont eux aussi assujettis des garanties spcifiques de scurit. Dans tous les cas, il convient de vrifier que les obligations lgales spcifiques peuvent tre respectes dans lenvironnement dexternalisation et, dans laffirmative, de veiller leur bonne excution par le prestataire dexternalisation. En effet, il faut garder lesprit que le donneur d'ordres, en tant que responsable de traitement, encourt des sanctions pnales en cas de non-respect des dispositions de la loi du 6 janvier 1978 modifie relative linformatique, aux fichiers et aux liberts.
2.1.4
Risques lis aux choix techniques du prestataire
La ncessit de faire voluer le systme, pour diverses raisons (obsolescence, monte en charge, nouvelles fonctionnalits demandes), peut ncessiter la mise en uvre de nouvelles solutions logicielles ou matrielles. Les choix du prestataire peuvent souffrir de limitations en termes de scurit, notamment pour des raisons conomiques, ce qui pourrait entraner son incapacit satisfaire certaines exigences de scurit du donneur dordres. Il convient par consquent de prvoir que le contrat permette de valider les choix du prestataire, aprs que ce dernier ait apport la justification de la conformit avec les exigences de scurit. En outre, il faut tre particulirement vigilant sur lutilisation dapplications propritaires peu rpandues ou de certaines fonctionnalits dveloppes par le prestataire, greffes sur des applications standard. En effet, le prestataire peut tout moment dcider de ne plus maintenir une application ou dabandonner une fonctionnalit offerte auparavant. Les applications utilises doivent tre dans la mesure du possible interoprables (a minima compatibilit assure avec les systmes dexploitation et bases de donnes les plus courants). Il convient de sassurer que les donnes peuvent tre restitues tout moment dans un format standard, et si possible ouvert, gage de leur intgration future dans dautres applications. La description prcise de cette restitution (conditions, dlais, formats) doit figurer dans le contrat. De faon gnrale, la question de la rversibilit doit tre une proccupation permanente du donneur dordres. Quelles que soient les volutions du systme, il doit 9
tre en mesure den reprendre lexploitation son compte, ou de la confier un autre tiers de son choix, et ce, tout moment et sans difficult particulire.
2.2 Risques lis aux interventions distance

2.2.1 Champ dapplication
Linfogrance implique souvent la mise en place de liaisons permettant dintervenir distance. En vitant le dplacement dun ou plusieurs techniciens, les interventions distance permettent une rduction significative des cots et des dlais dintervention. Les principaux modes dintervention distance sont : le tldiagnostic : supervision dquipements rseau et scurit, diagnostic danomalies sur une application, etc. ; la tlmaintenance : ralisation, aprs le diagnostic, des oprations distance sur le dispositif ; la tldistribution : mise jour dune application distance. Les interventions distance concernent dabord les moyens informatiques : serveurs, postes de travail ; baies de stockage (SAN, NAS, sauvegardes) ; quipements rseau, scurit ; imprimantes, photocopieurs ; progiciels de gestion intgre ; etc. Mais aussi les systmes de servitude et denvironnement : climatisation ; onduleurs ; autocommutateurs tlphoniques privs (PABX) ; surveillance des accs ; ascenseurs ; etc. Dans certains cas, la mise en uvre dune liaison permettant dintervenir distance est indispensable, notamment en cas de besoin lev en disponibilit du systme d'information. On peut citer en exemple le support de solutions de stockage de donnes ou le tldiagnostic dun progiciel de gestion intgre sur un systme en production.
10
2.2.2
Risques inhrents aux interventions distantes
Les risques dpendent des caractristiques des dispositifs utiliss et du contexte dans lequel ils sont mis en uvre. Voici un certain nombre de vulnrabilits frquemment lies aux dispositifs de tlmaintenance : liaison tablie de faon permanente avec lextrieur ; mots de passe par dfaut (connus dans le monde entier) ou faibles ; prsence de failles dans les interfaces daccs ; systmes dexploitation des dispositifs non tenus jour ; absence de traabilit des actions ; personnels responsables de ces dispositifs non conscients des problmes de scurit ou mal forms ; interconnexion de systmes scuriss de confiance des systmes de niveau faible (internet par exemple). Lexploitation de vulnrabilits sur un dispositif de tlmaintenance est susceptible de faciliter les intrusions dans le systme d'information et d'affecter ainsi la scurit de lensemble du SI. Les principaux risques lis aux dispositifs ddis aux interventions distance sont : l'intrusion dans le systme d'information par une personne non autorise (exploitation dun mot de passe faible, dune faille ou dune porte drobe) avec des consquences plus ou moins graves selon les motivations de lattaquant et sa capacit ne pas tre dtect : indisponibilit de lquipement pouvant entraner lindisponibilit du systme d'information ; atteinte la confidentialit ou lintgrit des donnes prsentes sur le systme d'information ; l'abus de droits dun technicien du centre de support lors dune intervention : accs des donnes confidentielles ou tlchargement massif de ces dernires ; modification de donnes sur le systme d'information, ventuellement sans laisser de traces (absence de fonction de traabilit ou possibilit deffacer les traces postriori).
2.2.3
Recommandations
Il est recommand de demander aux candidats de recenser et de justifier les dispositifs de tlmaintenance quils envisagent de mettre en uvre sur le systme du client.
11
Il doit leur tre galement demand un descriptif des dispositifs de tlmaintenance et des mesures de scurit techniques et organisationnelles proposs : la scurit de la liaison : rseau public ou ligne spcialise, type de VPN, etc. ; les dispositifs techniques de scurit : filtrage des accs rseau, droits daccs, etc. ; les mesures organisationnelles, les procdures retenues pour dclencher une intervention ; les mcanismes dauthentification des techniciens assurant le support ; la traabilit des actions ; la protection des accs aux donnes confidentielles en cas dutilisation sur un systme de production ; les ventuels rapports daudit et plans daction affrents. Une analyse de risques est ncessaire pour formaliser des objectifs de scurit ainsi que des mesures adaptes au contexte. Selon la complexit et les enjeux de scurit du SI, elle pourra tre complte par les documents suivants : un document de procdures dexploitation de scurit, fixant les modalits gnrales dexploitation de scurit des dispositifs de tlmaintenance ; des fiches rflexes permettant de garantir la bonne application des procdures dexploitation de scurit par les personnels en charge de lutilisation ou de ladministration des dispositifs de tlmaintenance ; un protocole daccord entre le client et la socit en charge de la tlmaintenance pour formaliser des procdures spcifiques.
2.2.4
Mise en uvre dune passerelle scurise
Afin que les dispositifs de tlmaintenance prsentent les garanties suffisantes au regard des risques quils font peser sur le systme d'information, il est vivement recommand de prevoir une passerelle scurise ddie la tlmaintenance. La mise en place dune telle passerelle doit permettre de rpondre aux objectifs de scurit suivants : authentifier la machine distante et la personne en charge du support ; prvenir lexploitation de vulnrabilits ou de portes drobes sur le dispositif de tlmaintenance ; garantir la confidentialit et lintgrit des donnes sur le SI ; assurer une traabilit de confiance des actions effectues par le technicien du centre de support ; garantir linnocuit de la fonction de tlmaintenance vis--vis du systme faisant lobjet du tldiagnostic ainsi que des systmes connexes ; garantir labsence de fuite dinformations vers lextrieur. 12
Il est recommand de faire procder un audit de la passerelle pour vrifier que les mesures de scurit sont effectives et en adquation avec les objectifs de scurit.
2.3 Risques lis lhbergement mutualis3

2.3.1 Champ dapplication
Lhbergement mutualis consiste hberger plusieurs services sur un seul et mme serveur, afin de rationaliser les ressources. Dans la majorit des cas, les services concerns sont des sites Web, des services de messagerie ou des bases de donnes. Les clients nont pas accs directement aux serveurs ou aux ressources mutualises en tant quadministrateurs. La configuration est ralise puis gre par lhbergeur ou une socit tierce.
2.3.2
Risques inhrents lhbergement mutualis
Les risques proviennent du fait que le service hberg est plus ou moins troitement li dautres services, certains tant plus vulnrables que les autres. Dautre part, les attaques ciblant une des ressources mutualises (rseau, logiciel, matriel) pourront avoir des consquences sur lensemble des services co-hbergs. Du point de vue de la scurit des systmes d'information, les principaux risques lis au co-hbergement et leurs rpercussions sont les suivants : perte de disponibilit : une attaque par dni de service provoque l'indisponibilit du serveur hbergeant la cible de l'attaque. Si plusieurs services sont hbergs sur le mme serveur, les services qui n'taient pas pris pour cible, de mme que les quipements prsents sur le chemin critique (pare-feu, routeurs, etc.) peuvent tre indirectement victimes de l'attaque ; les ressources reposent sur un matriel qui n'est pas contrl par le propritaire de la ressource, mais par l'hbergeur. Il se peut qu'un problme matriel non contrl ait une rpercussion plus ou moins long terme sur la ressource confie l'hbergeur ; perte d'intgrit : les vulnrabilits permettent souvent, par excution de code arbitraire, de s'introduire sur dans le systme : installation d'une porte
3
Ce paragraphe sinspire de la note dinformation publie sur le site du CERTA (Centre dexpertise gouvernemental de rponse et de traitement des attaques informatiques), n CERTA2005-INF-005, relative aux bonnes pratiques concernant lhbergement mutualis.
13
drobe, dfiguration de site web, vol d'informations, rebond d'attaques, etc. Si un des services hbergs est pris pour cible d'une telle attaque, l'excution de code peut toucher l'ensemble des services ; un changement de logiciel (voulu ou non) peut avoir une rpercussion indirecte sur un service hberg (non compatibilit, erreurs, etc.) ; perte de confidentialit : le fait de voir les services partager le mme environnement physique peut conduire des croisements d'information (contenu des fichiers clients de plusieurs sites dans la mme base de donnes, ou le mme sous rpertoire, etc.). Les risques auxquels sexpose un service co-hberg sont donc augments de faon significative dans un environnement non matris. Par ailleurs, lhbergement mutualis introduit par nature des obstacles au traitement des incidents : manque de ractivit d la difficult de trouver un interlocuteur ddi chez lhbergeur ; mauvaises conditions danalyses dues aux impacts ventuels sur les autres services hbergs (refus ou impossibilit disoler du rseau la machine physique qui hberge le service victime de lattaque) ; refus de lhbergeur de communiquer les journaux dvnements du serveur et des quipements priphriques, pour respecter la confidentialit des autres services.
2.3.3
Recommandations
Lhbergement sur une machine spcifique doit tre privilgi. Il convient de prciser que, sauf demande explicite, une solution dhbergement mutualis sera prioritairement retenue par lhbergeur. Si toutefois le choix dun hbergement mutualis est retenu, il convient de bien analyser les consquences de toutes les attaques potentielles, et de prvoir dans le contrat les actions permettant un traitement efficace dun incident, notamment la rcupration de tous les journaux et lisolement du rseau sans extinction des machines impliques. Si le prestataire met en uvre des techniques de virtualisation des serveurs, il doit fournir l'hberg des compartiments logiques et physiques suffisamment tanches ainsi que des moyens de contrle.
14
En cas de recours un co-hbergement, la rversibilit du contrat dhbergement est primordiale. En outre, quatre domaines mritent de faire lobjet de prescriptions explicites, en coordination avec le service juridique : les journaux dvnements ; le suivi du service hberg (mises jour, maintenances, sauvegardes, etc.) ; les modalits de prvention dune attaque ; la raction suite incident. Ces quatre domaines sont dtaills en annexe 3.
15
L'informatique en nuage ou nbuleuse

Champ dapplication
Linformatique en nuage (en anglais cloud computing) est dfinie par le Journal Officiel du 6 juin 2010 comme un mode de traitement des donnes dun client, dont lexploitation seffectue par linternet, sous la forme de services fournis par un prestataire . Comme le prcise galement la dfinition du JO, il sagit dune forme de grance informatique dans laquelle lemplacement et le fonctionnement du nuage ne sont pas ports la connaissance des clients . Les architectures de cloud computing mettent gnralement en uvre des technologies de calcul distribu et de virtualisation. Par extension, le cloud computing tend dsigner toutes les offres de services qui sappuient sur de telles architectures, accessibles via Internet ou un autre rseau, quelles soient publiques ou restreintes une communaut ( nuage communautaire ) ou encore usage interne de lentreprise ( nuage priv ). Les offres proposes dans ce type darchitecture sont de trois types : Infrastructure as a Service : fourniture de ressources matrielles abstraites, typiquement des machines virtuelles, permettant dinstaller distance le systme dexploitation et les applications de son choix ; Platform as a Service : fourniture de plateformes permettant le dveloppement dapplications partir dinterfaces de programmation (API) dployes et configurables distance ; Software as a Service : fourniture dapplications directement utilisables distance.
Les risques de linformatique en nuage

Compte tenu des principes et des technologies mis en uvre dans linformatique en nuage, on retrouve la plupart des risques de linfogrance classique .
16
Risques lis la localisation des donnes : En Europe, le cadre juridique de protection des donnes caractre personnel sappuie sur le principe suivant : il doit tre possible de constater tout moment la localisation des donnes (principe de territorialit). Or, le plus souvent dans un nuage public, cette localisation est impossible. En effet, les donnes peuvent tre dplaces trs rapidement, dun tat un autre, en fonction des ressources disponibles au sein des infrastructures du prestataire. Limpossibilit de localiser les donnes dans les nuages publics pose le problme de la comptence des juridictions et du droit applicable. Limpossibilit de raliser des audits, parfois imposs par un cadre rglementaire, ne permet pas de vrifier la mise en uvre des mesures de scurit. En labsence dun niveau homogne de protection des donnes personnelles, et de garantie quant aux mesures de scurits mises en uvre, la confidentialit des donnes est incertaine. Risques de perte de matrise de son SI : perte de gouvernance : en utilisant les services dune infrastructure dinformatique en nuage, le client concde au prestataire un contrle total, y compris sur la gestion des incidents de scurit ; dpendance technologique : les offres ne garantissent pas toujours la portabilit des donnes, des applications ou des services. Il parat difficile dans ces conditions denvisager un changement de prestataire ou de rinternaliser le systme. Risques lis la mutualisation des ressources : isolation dfaillante : les mcanismes de sparation des ressources (stockage, mmoire) peuvent tre dfaillants et lintgrit ou la confidentialit des donnes compromises ; effacement incomplet ou non scuris : il ny a aucune garantie que les donnes soient rellement effaces ou quil nexiste pas dautres copies stockes dans le nuage. Enfin, il est plus difficile de se prmunir de ces risques que dans linfogrance classique. En effet, le client souscrit le plus souvent des offres par validation dun contrat type, qu'il est souvent impossible de personnaliser en y intgrant des clauses particulires en matire de scurit.
17
Recommandations
On portera une attention particulire lapprciation des risques, en particulier en ce qui concerne les donnes dites sensibles (donnes caractre personnel, mdicales, financires, secrets industriels, etc.). Il faut tre conscient des risques que comporte lexternalisation des services dune messagerie dentreprise ou dune suite bureautique auprs dun prestataire dinformatique en nuage. Les informations changes ou traites par ce biais (pices jointes, agendas des dcideurs, etc.) peuvent revtir un caractre sensible , et sont susceptibles dintresser la concurrence (intelligence conomique). Comme expliqu prcdemment, en labsence de cadre juridique international adapt linformatique en nuage, il est prfrable de sassurer que les donnes caractre personnel restent localises sur des serveurs exclusivement situs dans lUnion europenne voire en France et de prvoir les moyens de contrle de cette obligation. Enfin il est recommand dtudier attentivement les conditions des offres, en particulier le rgime juridique auquel sont soumises les donnes et les mesures mises en uvre pour assurer leur confidentialit.
18
3 Prise en compte de la scurit dans les appels d'offres

La dmarche prsente ci-dessous doit aboutir la rdaction dun Plan dAssurance Scurit (PAS) par le titulaire, dont lobjet est de spcifier les dispositions contractuelles prises par ce dernier, pour rpondre aux exigences de scurit du donneur dordres.
3.1 Apprcier les risques et dterminer les objectifs de scurit

Ltude pralable doit permettre dapprcier les risques pesant sur le systme dinformation dans le contexte spcifique de lopration dinfogrance, en ralisant une analyse de risques. Les risques ainsi apprcis peuvent tre traits selon diffrentes stratgies : rduction du risque : on pourra traiter de cette faon les risques dont la gravit et/ou la vraisemblance (probabilit doccurrence) peuvent tre considrablement rduites par des mesures agissant sur les composantes du risque (source, impact, vulnrabilits, menace) ; prise du risque : on pourra maintenir les risques ayant une gravit et une vraisemblance faibles, en particulier si le cot des mesures de rduction est lev ; transfert du risque : en cas de risque financier, une assurance ou toute autre forme de couverture du risque peut tre contracte par le donneur d'ordres ; cependant, ce transfert ne peut concerner le risque pnal ; vitement du risque : lanalyse de risques peut mettre en vidence le fait que certaines fonctions ou informations particulirement sensibles ne doivent pas tre externalises dans le contexte de lopration envisage. Ltude des risques doit permettre de dterminer les objectifs de scurit permettant de rendre les risques acceptables. Lensemble des objectifs de scurit ainsi formaliss permet de dfinir une cible de scurit servant de cadre au contrat tabli avec le futur prestataire, tout en veillant lui laisser une certaine marge de manuvre ncessaire au fonctionnement de ses processus internes.
19
3.2 Rdaction du cahier des charges

Aprs avoir dtermin les objectifs de scurit, le donneur d'ordres spcifie les exigences de scurit ainsi que les clauses de scurit dans le cahier des charges. Les candidats doivent fournir, en rponse la consultation, un document contractuel appel Plan dAssurance Scurit. Ce document prcise les dispositions prises par le futur prestataire pour rpondre aux exigences de scurit du donneur dordres pendant toute la dure du contrat. Le Plan dAssurance Scurit doit tre inclus dans la liste des documents contractuels. Il peut tre cit immdiatement aprs le Plan dAssurance Qualit. Un plan-type dassurance scurit, tel que celui propos au paragraphe 4, sera joint pour servir de cadre de rponse. Il facilitera ainsi la comparaison entre les diffrentes offres. Enfin, une clause doit prciser que le prestataire sengage excuter ses obligations selon un Plan dAssurance Scurit (PAS), dfini en accord avec le donneur dordres. Le cas chant, cette clause doit annuler et remplacer la clause de scurit gnrique propose par le prestataire dans son contrat type. Plan dAssurance Scurit : Le titulaire sengage excuter ses obligations en termes de scurit des systmes dinformation selon le Plan dAssurance Scurit, dnomm PAS, dcrit en annexe du contrat. Le titulaire est responsable de la rdaction initiale du PAS ainsi que de ses volutions ncessaires pour satisfaire aux exigences de scurit du donneur dordres pendant toute la dure des prestations.
3.3 Choix du prestataire

Il appartient au donneur dordres de sassurer de la recevabilit du Plan dAssurance Scurit fourni par les candidats, au regard du plan type et des exigences formules. Compte tenu de la pondration des diffrents critres de choix des offres, il est possible que le candidat retenu noffre pas les meilleures garanties sur la partie scurit. Dans ce cas, le Plan dAssurance Scurit peut ventuellement faire lobjet dune mise au point avec lui avant la notification du contrat. Le Plan dAssurance Scurit propos par le prestataire, et accept par le donneur dordres en conformit avec ses exigences, est annex au contrat. Par exemple, dans le cadre dun march de ladministration, ces diffrents documents peuvent tre relis aux cahiers des clauses administratives et techniques particulires (CCAP et CCTP) selon le schma ci-dessous. 20
21
22
4 Le plan dassurance scurit

Le Plan d'Assurance Scurit (PAS) doit tre demand dans l'appel d'offres. Document contractuel, il dcrit l'ensemble des dispositions spcifiques que les candidats s'engagent mettre en uvre pour garantir le respect des exigences de scurit du donneur d'ordres. C'est aussi un cadre de rponse : il offre une structure pour la rponse des candidats aux exigences de scurit, ce qui permet de mieux valuer la pertinence de la couverture des exigences. Il facilite ainsi la comparaison entre les diffrentes offres. Une fois le prestataire retenu, le PAS est annex au contrat. Il se substitue aux ventuelles clauses gnriques de scurit du prestataire. Le plan-type propos ci-aprs pourra tre joint l'appel d'offres comme base de rdaction du Plan dAssurance Scurit qui sera fourni par les candidats en rponse la consultation. Les paragraphes en italique constituent des propositions de contenu du Plan dAssurance Scurit fournir par le prestataire dexternalisation. Ils devront tre adapts selon la nature de lopration dexternalisation.
23
1. Objet du document
Ce document dcrit les dispositions que <le prestataire dexternalisation> s'engage mettre en oeuvre pour rpondre aux xigences de scurit de <le client>. Il dfinit en particulier lorganisation qui sera mise en place, la mthodologie suivre pour grer la scurit du projet dexternalisation et les mesures techniques, organisationnelles et procdurales qui seront mises en uvre. Le candidat prcisera le circuit dapprobation du Plan dAssurance Scurit, ses modalits dapplication et ltendue de sa diffusion.
2. Documents de rfrence
Ce paragraphe liste les documents de rfrence pour le Plan dAssurance Scurit. titre dexemple, les documents applicables peuvent tre les suivants : le contrat ; le cahier des charges, incluant les exigences de scurit du client ; le plan dassurance qualit ; etc.
3. Description du systme externalis

Ce paragraphe prsente succinctement le systme faisant lobjet de lopration dexternalisation. Laccent sera mis sur les points qui justifient la mise en uvre de mesures de scurit.
4. Rappel des exigences

Le candidat rappellera les exigences de scurit du client ou fera rfrence au document les spcifiant.
24
5. Organisation
Le candidat indiquera lorganisation qu'il propose pour grer la scurit dans le projet dexternalisation. On y trouve au minimum : le matre douvrage agissant en tant que client ; le prestataire dexternalisation. Si des co-traitants, sous-traitants ou fournisseurs peuvent intervenir directement, il indiquera leur rle et prcisera ventuellement les modalits de leur participation la gestion de la scurit du projet. Il dcrira lorganisation mise en place pour assurer les relations avec le matre douvrage concernant les aspects scurit : comit de suivi de la scurit : frquence, participants, modalits, primtre du suivi ; organisation de la matrise douvrage : responsable scurit, rle et moyens ; intervenants techniques ; organisation du prestataire : responsable scurit, rle et moyens ; responsables techniques, implication des co-traitants et sous-traitants ventuels ; diffusion du Plan dassurance scurit et des documents de suivi ; audits, contrles raliss par la matrise douvrage ou la demande de celle-ci : modalits, primtre, exploitation des rsultats. Organisation de la matrise duvre : En tant que matre duvre, <le prestataire dexternalisation> dsignera un interlocuteur responsable de la scurit, pilotant lensemble de la scurit du projet : scurit des dveloppements, scurit du systme dinformation cible et intgration des composants scurit. Il est rattach directement au responsable de lopration, au directeur de projet par exemple, dsign par le <prestataire dexternalisation>. Le responsable de la scurit dsign par <le prestataire dexternalisation> prend en charge lorganisation des comits de suivi scurit : convocation, proposition dordre du jour, rdaction des comptes-rendus [cf clause Comit de suivi].
25
Il pourra convier ces runions les intervenants impliqus dans les sujets inscrits lordre du jour : scurit applicative, scurit des serveurs, scurit des changes Il conseille le client dans son approche de la scurit du projet, selon les audits, les incidents perus sur le systme ou les volutions du contexte oprationnel. Organisation de la matrise douvrage : <Le client> dsignera un interlocuteur responsable de la scurit du projet <projet dexternalisation>. Cet interlocuteur unique sera rattach directement au directeur de projet. Cet interlocuteur sera responsable de lensemble de la scurit du projet pour <le client>, tant sur les aspects scurit du systme dinformation cible que sur les aspects scurit des interfaces avec le prestataire dexternalisation. Des runions de pilotage scurit seront programmes tous les <priode valuer>. Les participants ces runions pour <le client> seront le directeur du projet, le responsable de la scurit, <liste complter> ainsi que le responsable technique ou fonctionnel lorsquils sont impliqus dans les points lordre du jour. La scurit globale de <lopration dexternalisation> repose sur la participation active des diffrents intervenants : personnel interne qui avait un rle dans le fonctionnement antrieur du systme ou service faisant lobjet de lopration dexternalisation [intgrateur, dveloppeur, administrateur, exploitant, responsable technique, etc.], matrise douvrage et matre duvre. Le responsable de la scurit dsign par <le client> a pour mission de faciliter les relations entre les diffrents intervenants, et de mettre disposition de la matrise duvre lensemble des documents ncessaires au bon droulement du projet scurit li lopration dexternalisation : politique de scurit interne du <client>, documentation technique du systme [documents dingnierie, documents dexploitation, etc.], spcifications, etc. Il a galement pour mission de sassurer de la prise en compte globale de la scurit, par la matrise douvrage et la matrise duvre. Il dcide de la conduite tenir selon le rsultat des audits, des incidents ou des conseils remonts par le prestataire dexternalisation. Il valide lensemble des actions ralises au titre de la gestion de la scurit du projet.
26
6. Responsabilits lies au PAS

Le candidat, au travers de son responsable de la scurit dsign, est responsable de la rdaction, de lvolution et de lapplication du Plan dAssurance Scurit. Il sapplique lensemble des quipes de la matrise duvre (et aux soustraitants ventuels). Sa rdaction relve du responsable scurit dsign par <le prestataire dexternalisation>. Il doit tre approuv par la matrise douvrage ; sa bonne excution est de la responsabilit du <prestataire dexternalisation> en tant que matre duvre. La cohrence de lensemble des mesures pourra tre analyse et rvalue lors des runions davancement (ou revues de pilotage).
7. Procdure dvolution du PAS

Le titulaire est responsable de la rdaction du PAS initial et de ses volutions pour rpondre aux exigences de scurit du donneur dordres pendant toute la dure du contrat. Voici une liste (non exhaustive) des situations susceptibles dentraner une modification du PAS : volution du systme dinformation (configuration logicielle ou matrielle) ; volution de lenvironnement du systme dinformation (locaux, personnels, procdures, etc.) ; volution du primtre de lopration. En cas dvolution du systme, de son environnement, ou du primtre de lopration dexternalisation, le titulaire vrifie si le PAS doit tre modifi. Si tel est le cas, il propose une modification au client. Si cette modification est accepte, le PAS est rvis et soumis au client pour validation formelle. Le responsable scurit dsign par <le prestataire dexternalisation> est responsable de la rdaction du Plan dAssurance Scurit initial et de ses volutions.
27
Une rvision du Plan dAssurance Scurit pourra tre ralise en cas dvolution du primtre de lopration ou des exigences de la matrise douvrage, aprs accord de la matrise duvre. Cette rvision sera ralise par le responsable scurit dsign par <le prestataire dexternalisation>. La version rvise du PAS sera transmise la matrise douvrage pour validation, et diffuse lensemble des acteurs pour application.
8. Applicabilit du PAS
Lapplicabilit du PAS sarticule autour des trois points suivants : quelles sont les procdures suivre lors de non respect du PAS ? quelle est la procdure suivre pour une demande de drogation ? quelles sont les pnalits encourues ? Le Plan dAssurance Scurit est applicable lensemble des acteurs du projet, au mme titre que le Plan dAssurance Qualit et avec la mme priorit. Un acteur du projet identifiant un non respect du PAS dans ses procdures et mesures doit en rfrer immdiatement au <prestataire dexternalisation>, qui en avertira la matrise douvrage. Un modle type de rapport de non respect sera annex au PAS dfinitif, spcifiant la forme du rapport, la liste de diffusion, les responsabilits des acteurs, et le planning de traitement de la clause de non respect. Si la cause du non respect nest pas corrige dans un dlai de <dlai estimer>, <le prestataire dexternalisation> subira une pnalit suivant la formule : <formule calculer>. Un acteur du projet ntant pas mme de remplir lensemble des clauses du PAS devra effectuer une demande de drogation auprs du <prestataire dexternalisation>, qui ngociera avec <le client> lensemble des demandes de drogation. Un modle type de demande de drogation sera annex au PAS dfinitif, spcifiant la forme de la demande, la liste de diffusion, les responsabilits des acteurs, et le planning de traitement de la demande de drogation.
28
9. Mesures de scurit
Le candidat dcrira les mesures destines assurer la scurit du systme cible de lopration dexternalisation pendant les diffrentes phases contractuelles : phase de transfert, phase dexploitation, phase de rversibilit ou fin de contrat. 9.1 Transfert Le candidat prsentera dans ce paragraphe les mesures proposes pour scuriser la phase de transfert du systme (transfert de matriels ou de logiciels dans un projet dexternalisation) [cf clause de transfert]. Il dcrira les procdures de contrle de la scurit du transfert mises en uvre et identifiera ses obligations de reporting au comit de suivi scurit [cf clause de contrle des prestations et des rsultats]. Les exigences de scurit formules par le client indiquent le niveau de confidentialit maximum des informations manipules notamment lors du transfert. Une liste de personnes susceptibles de participer au transfert pourra tre rdige et communique au client. Le client devra indiquer sil juge ncessaire que le personnel soit soumis une clause de confidentialit ou procder une habilitation [cf clause de confidentialit]. 9.2 Exploitation Le candidat prsentera dans ce paragraphe les mesures mises en place pour assurer la protection du systme externalis en rponse aux exigences identifies par le client. 9.3. Rversibilit Le candidat sengagera apporter lassistance ncessaire durant la priode de migration pour faciliter le transfert des moyens de scurit matriels et logiciels, et la reprise de leur exploitation par le client, ou par un autre prestataire de service [cf clause de rversibilit].
29
10. Matrice de couverture des exigences de scurit

Le candidat prsentera les mesures de scurit techniques, procdurales et organisationnelles retenues pour rpondre aux exigences du donneur dordres. Il pourra pour ce faire reprendre dans un tableau les exigences nonces, et lister la ou les mesure(s) rpondant chaque exigence.
11. Documentation de suivi

Le candidat recensera dans ce paragraphe lensemble de la documentation concernant la scurit quil sengage fournir au titre du projet. Ces documents pourront tre les suivants :
Nature du document : Plan dAssurance Scurit, version 1 Date de remise : Remise du dossier de rponse consultation Dbut de phase de transfert Dbut de phase dexploitation Dbut de phase dexploitation Dbut de phase dexploitation Une semaine aprs chaque runion
Plan dAssurance Scurit, version dfinitive Dossier de scurit Plan de secours Plan de gestion des incidents Comptes-rendus de runion du comit de suivi
30
5 Clauses de scurit
Les clauses qui suivent couvrent lensemble des typologies dexternalisation. Elles ne sont donc pas adaptes tous les marchs. Par exemple, la clause relative au transfert du systme ne sapplique que lorsque celui-ci est hberg chez le prestataire. Il appartient au rdacteur du contrat dexternalisation de retenir les clauses pertinentes compte tenu du contexte, et den largir leur porte si besoin.
5.1 Transfert du systme

Le prestataire se porte garant de lintgrit et de la confidentialit des donnes qui lui sont confies pendant la phase de transfert du systme dinformation. Il appartient en particulier au prestataire de faire des sauvegardes des informations du client et de grer ces sauvegardes de manire permettre une reprise en cas dincident lors de la bascule du systme. Cette clause doit galement prciser les modalits de rception de la composante scurit du systme externalis.
5.2 Responsabilit
La clause de responsabilit dtermine les limites de responsabilit entre le prestataire et le client. En fonction de la nature des prestations et du systme, il sera ncessaire de prciser le primtre de responsabilit des acteurs sur lensemble des domaines, en particulier sous langle de la scurit : la description de la nature des risques et des montants couverts par des contrats dassurance de type responsabilit civile ; la dclaration dexistence de sous-traitants et la nature des relations avec ces derniers sur le plan des responsabilits.
5.3 Obligations du prestataire

Le prestataire reconnat tre tenu une obligation de conseil, de mise en garde et de recommandations en termes de scurit et de mise ltat de lart. En particulier il sengage informer le client des risques dune opration envisage, des incidents ventuels ou potentiels, et de la mise en uvre ventuelle dactions correctives ou de prvention.
31
Outre le respect de ses obligations au titre de la convention de service, le prestataire informera pralablement le client de toute opration susceptible de provoquer lindisponibilit (ou une dgradation des performances) du systme. Le prestataire est responsable du maintien en condition de scurit du systme pendant toute la dure des prestations. Les mcanismes de scurit mis en uvre doivent voluer conformment ltat de lart : la dcouverte de failles dans un algorithme, un protocole, une implmentation logicielle ou matrielle, ou encore lvolution des techniques de cryptanalyse et des capacits dattaque par force brute doivent tre pris en compte.
5.4 Comit de suivi

Cette clause permet de crer une instance qui va coordonner les actions prvues au contrat au titre de la scurit. La cration dun Comit de suivi scurit permettra de grer la mise en place et lvolution du volet scurit de la prestation : respect du calendrier, conformit des prestations, respect de lobligation de collaboration, validation des amliorations pour accrotre la scurit. Il traitera galement des questions techniques touchant la scurit : collaboration dans la gestion des droits et la gestion des incidents, dtection des anomalies et prconisation damliorations, exploitation des rsultats des audits de contrle des prestations scurit. Cest galement ce comit qui traitera des obligations lies la loi du 6 janvier 1978 relative lInformatique, aux fichiers et aux liberts : dclaration par le client auprs de la CNIL, communication des dclarations au prestataire, informations par le prestataire des modalits de gestion ou dexploitation des applications et des modifications de celles-ci. Le comit de suivi sassurera galement des conditions techniques et financires de transfert des moyens de scurit matriels et logiciels mis en place, en cas de rversibilit de lopration. Des runions priodiques seront planifies contractuellement.
5.5 Confidentialit
Une clause de confidentialit devra mentionner la nature juridique de lobligation de confidentialit, ltendue des informations couvertes par linterdiction de divulgation, et spcifier les personnes soumises cette obligation. La clause de confidentialit doit indiquer les modalits dapplication de lobligation
32
dans le temps ; elle sapplique a priori pendant toute la dure de lexcution du contrat, et doit dans la plupart des cas sappliquer aprs la cessation de relations contractuelles. Cette clause pourra tre tendue une obligation de suivre une procdure dautorisation pour les personnels, voire dhabilitation pour les projets classifis. Les informations couvertes par linterdiction de divulgation de confidentialit doivent concerner : le contenu hberg : les informations ou fonctions traites par le systme ; les informations dont la divulgation est de nature porter atteinte la scurit du systme (mots de passe, cls de chiffrement, documentations relative larchitecture et la scurit du systme, etc.). Un modle de clause de confidentialit spcifique la sous-traitance figure en annexe 1.
5.6 Localisation des donnes

Les lieux dhbergement des donnes doivent satisfaire aux exigences de scurit du donneur dordres et aux dispositions de la loi du 6 janvier 1978 modifie, relative la protection des donnes personnelles. Le prestataire doit communiquer la liste de tous les lieux de stockage de donnes (site dhbergement principal, site(s) de secours, etc.). Si la faisabilit technique de cette exigence peut savrer dlicate dans le cadre darchitectures distribues, il peut tre demand au prestataire dtre en mesure de localiser, a posteriori, et non en permanence, le lieu de stockage des donnes, en particulier suite un incident. Cette clause pourra tre complte par un certain nombre dexigences, permettant notamment de garantir une bonne accessibilit des sites dhbergement.
5.7 Convention de service

Cette clause est la formalisation dun accord entre le prestataire et le client relatif au niveau de service attendu (Service Level Agreement). Ainsi, il pourra tre demand au prestataire des engagements concernant : le taux de disponibilit du systme (en heures ouvres / non ouvres) ; la dure et loccurrence maximale dindisponibilit mensuelle, trimestrielle ou annuelle dun composant ou du systme ; le temps de rponse dune application ou de certaines requtes, la dure maximale de certains traitements ; le temps garanti dintervention sur site (GTI) ; 33
le temps garanti de remise en tat dun composant matriel ou logiciel dfectueux (GTR), ou dune chane de liaison ; le temps moyen entre deux pannes (MTBF) ; le taux de panne mensuel, trimestriel ou annuel dun composant ou du systme (taux de fiabilit). Ces engagements pourront tre dfinis pendant une phase probatoire, et rajusts lissue de celle-ci. Ils pourront galement tre redfinis en cas de modification du primtre de lopration. Les niveaux dengagement, de mme que les pnalits en cas de non respect de ces derniers, seront ngocis selon les spcificits de chaque projet.
5.8 Audits de scurit

Le client doit pouvoir, tout moment, contrler que les exigences de scurit sont satisfaites par les dispositions prises par le prestataire. Le primtre et la priodicit des audits de scurit doivent tre prcisment dfinis. Les audits pourront tre raliss par le client, ou dlgus un tiers. Le contrle s'effectuera selon des modalits contractuelles dfinies (visite des locaux du prestataire avec interviews individuelles des membres des quipes du prestataire, accs aux machines mises la disposition du prestataire). Cette visite sera notifie au prestataire selon un dlai prvu par le contrat. Un dlai de 15 jours est recommand car il permet lhbergeur de sorganiser (rassembler la documentation, sassurer de la disponibilit des personnes concernes). Le cas dune intervention urgente du fait, par exemple, de la survenance dun incident de scurit traiter doit tre prvu. La pratique de tests intrusifs doit tre encadre par une charte commune signe entre le prestataire, lexcutant de laudit et le client. Le client doit se rserver le droit de requrir lexpertise dun organisme ou d'une socit tierce prsentant des comptences en matire de scurit.
5.9 Application des plans gouvernementaux

Dans le cadre de lapplication de plans gouvernementaux, le Premier Ministre peut dcider la mise en uvre dun ensemble de mesures spcifiques destines lutter contre des attaques notamment terroristes visant les systmes dinformation de l'tat ou
34
les systmes dinformation et rseaux de tlcommunications des oprateurs dinfrastructures vitales. Dans le cadre de ce march, le prestataire pourrait tre concern par ces alertes dcides au niveau gouvernemental, et sengage appliquer les consignes de scurit donnes par le donneur dordres. Ces mesures sont susceptibles dvoluer. Les modifications seront rgulirement transmises durant lexcution du march.
5.10 Scurit des dveloppements applicatifs

Le prestataire est tenu dassurer la scurit des dveloppements conformment ltat de lart dans chacune des technologies mises en uvre. Voici une liste (non exhaustive) de rgles applicables : environnement applicatif maintenu en tenant compte des recommandations d'application de correctifs par les diteurs ; contrle rigoureux des entres utilisateurs ; scurisation des accs aux fonctions dadministration ; installation du minimum de fonctions ncessaires lors de linstallation ; principe du moindre privilge ; utilisation de mots de passe dans le code interdite ; mise en uvre dune gestion efficace des erreurs. Pour la mise en uvre de technologies web, les dveloppements pourront sappuyer sur les recommandations de lOWASP (Open Web Application Security Project). La recette de lapplication comprend une revue de code permettant de sassurer dune implmentation conforme aux exigences de scurit. La correction dventuelles anomalies dtectes lors de la revue de code sont la charge du prestataire.
5.11 Gestion des volutions

Les volutions fonctionnelles ou techniques ne doivent pas remettre en cause le respect des exigences de scurit ou compromettre une ventuelle opration de rversibilit. En cas dvolution, le prestataire devra vrifier que sa mise en uvre est conforme aux exigences contractuelles et en apporter la justification auprs du donneur dordres, avant validation par ce dernier.
5.12 Rversibilit
En raison des investissements importants quil ncessite, le contrat dexternalisation est destin sinscrire dans la dure. Nanmoins, la clause de rversibilit doit permettre 35
au client de reprendre la gestion de la fonction externalise, soit pour lexploiter directement, soit pour en confier lexploitation un tiers de son choix. Cette clause pourra tre active tout moment en respectant le dlai lgal qui doit tre stipul dans le contrat, et ce, sans justification particulire. Un changement dans lactionnariat du prestataire, une dlocalisation des sites dhbergement, ou le non suivi du Plan dAssurance Scurit sont des raisons envisageables pour activer la clause de rversibilit. Le prestataire sengage apporter lassistance ncessaire durant la priode de migration pour faciliter le transfert des moyens de scurit matriels et logiciels, et la reprise de leur exploitation par le client, ou par un autre prestataire de service. Le prestataire sengage garantir, lors du transfert, la scurit des donnes et des applications qui lui ont t confies, conformment ses obligations. En outre, la phase de rversibilit ne doit pas, en principe, modifier la qualit, les termes et les conditions des services fournis durant le contrat et dfinis dans le Service Level Agreement (SLA). En cas d'arrt des prestations confies au titulaire par le donneur dordres, l'ensemble des matriels, logiciels et documentations confis au titulaire doivent tre restitus. Le dmnagement de cet ensemble des locaux du titulaire sera assur aux frais du titulaire dans un dlai maximum d'un mois aprs l'arrt des prestations confies au titulaire. Une non restitution de tout ou partie de cet ensemble sera considre et traite comme une perte. Une restitution partielle peut tre demande par le donneur dordres, en cas darrt dune partie des prestations avant la fin du march. Dans ce cas, le titulaire en sera inform au moins un mois avant la fin des prestations. la fin de lexcution du prsent march, le titulaire est tenu : de transfrer lquipe du futur titulaire les informations sur le contexte fonctionnel et technique de lensemble applicatif ainsi que sur les aspects de suivi du projet ; de prparer un support informatique dfini par le donneur dordres contenant tous les lments (documentations, programmes, chanes de compilation) grs par le titulaire actuel et qui seront, lissue de cette prestation, placs sous la responsabilit du futur titulaire (cette mise disposition devra tre faite sous un format pouvant permettre au futur titulaire dinstaller, le cas chant, lensemble de ces lments sur une plate-forme de son choix pour examen approfondi par celui-ci) ;
36
dassurer une formation fonctionnelle approfondie (du type formation utilisateur et administrateur) aux personnels du futur titulaire, avec travaux pratiques sur poste de travail, en prsence de reprsentants du donneur dordres. Cette formation devra sappuyer sur les documentations utilisateurs et techniques rdiges par le titulaire. En particulier, au titre de cette prestation, le titulaire : lance la prestation avec le futur titulaire et les reprsentants du donneur dordres. Il sagit, au plus, de deux jours de runion en vue de valider le planning et les modalits pratiques de cette phase ; met disposition tous les lments et documents produits par ou remis au prsent titulaire ; prsente lensemble des composants techniques ou fonctionnels du projet ; rpond aux questions du futur titulaire concernant lorganisation pratique des configurations et des documents techniques sous 48 heures ; prsente lorganisation de la maintenance corrective actuelle et lenvironnement de dveloppement et dexploitation (rpertoires, installation, procdures mises en uvre, priodicit et ordonnancement des oprations dexploitation, etc.) ; accueille, durant deux semaines, deux ou trois personnes du futur titulaire afin de leur permettre dobserver lactivit assure par lquipe projet en place (assistance tlphonique, exploitation de serveurs de dveloppement, etc.) ; communique au futur titulaire les rponses apportes aux demandes dassistance tlphonique traites.
5.13 Rsiliation
Cette clause a pour but de prvoir les motifs de rsiliation de plein droit du contrat. Dans le cadre dun manquement grave par le prestataire lune des obligations de scurit mises sa charge dans le prsent contrat, le client pourra le mettre en demeure de rparer ce manquement dans un dlai donn. lissue de ce dlai, si le manquement nest pas rpar, le client pourra rsilier de plein droit le contrat. De faon gnrale, tout manquement aux clauses doit entraner des pnalits ou la rsiliation, avec ou sans pravis.
37
38
ANNEXE 1 : CLAUSE DE CONFIDENTIALIT TYPE EN CAS DE SOUS-TRAITANCE4

Les supports informatiques et documents fournis par la socit [identit du responsable de traitement] la socit [identit du prestataire] restent la proprit de la socit [identit du responsable de traitement]. Les donnes contenues dans ces supports et documents sont strictement couvertes par le secret professionnel (article 226-13 du code pnal), il en va de mme pour toutes les donnes dont la socit [identit du prestataire] prend connaissance loccasion de lexcution du prsent contrat. Conformment larticle 34 de la loi informatique et liberts modifie, la socit [identit du prestataire] sengage prendre toutes prcautions utiles afin de prserver la scurit des informations et notamment dempcher quelles ne soient dformes, endommages ou communiques des personnes non autorises. La socit [identit du prestataire] sengage donc respecter les obligations suivantes et les faire respecter par son personnel : ne prendre aucune copie des documents et supports dinformations qui lui sont confis, lexception de celles ncessaires lexcution de la prsente prestation prvue au contrat, laccord pralable du matre du fichier est ncessaire ; ne pas utiliser les documents et informations traits des fins autres que celles spcifies au prsent contrat ; ne pas divulguer ces documents ou informations dautres personnes, quil sagisse de personnes prives ou publiques, physiques ou morales ; prendre toutes mesures permettant dviter toute utilisation dtourne ou frauduleuse des fichiers informatiques en cours dexcution du contrat ; prendre toutes mesures de scurit, notamment matrielles, pour assurer la conservation et lintgrit des documents et informations traits pendant la dure du prsent contrat ; et en fin de contrat, procder la destruction de tous fichiers manuels ou informatiss stockant les informations saisies. ce titre, la socit [identit du prestataire] ne pourra sous-traiter lexcution des prestations une autre socit, ni procder une cession de march sans laccord pralable de la socit [identit du responsable de traitement].
4
Clause de confidentialit inspire de celle propose par la CNIL en cas de sous-traitance.
39
La socit [identit du responsable de traitement] se rserve le droit de procder toute vrification qui lui paratrait utile pour constater le respect des obligations prcites par la socit [identit du prestataire].
40
ANNEXE 2 : EXIGENCES DE SCURIT TYPES

Avertissement : les exigences de scurit qui suivent doivent tres slectionnes avec prudence, dune part en fonction des spcificits du systme dinformation, dautre part en tenant compte de la nature des prestations externalises. Gestion de la scurit Le candidat prcisera les moyens mis en uvre dans le cadre du processus damlioration continu de la scurit de ses infrastructures dhbergement. Cette description peut tre avantageusement prsente selon les 4 tapes de la mthode de gestion de la qualit PDCA (Plan-Do-Check-Act) : phase de prparation ; phase de ralisation ; phase de vrification : prciser la frquence ainsi que le primtre technique et organisationnel des audits raliss en interne par les quipes du prestataire ou par une socit tierce ; phase dajustement (mesures correctives suite aux insuffisances constates lors de la vrification). Protection antivirale Une politique antivirale stricte devra tre mise en place au niveau des serveurs dont le titulaire a la charge. La mise jour des signatures devra tre automatique et d'une frquence leve (30 minutes). La politique antivirale applique sur le systme dinformation du titulaire devra tre prcise (postes de travail des exploitants notamment). Le candidat fournira dans sa rponse une description des solutions anti-virus sur lesquelles se base son service de messagerie (logiciel, version) et dcrira les modalits et la frquence de mise jour du service. Un contrle de non contamination des serveurs Web de production devra tre effectu priodiquement. Le candidat prcisera les modalits de mise en uvre de ce contrle. Mises jour, correctifs de scurit Le titulaire applique les correctifs recommands par les fournisseurs de solutions matrielles ou logicielles (logiciels systme ou applicatifs, logiciels embarqus) sur tous les matriels dont il a la charge. En cas dalerte grave (attaque virale, faille critique) annonce par le CERTA (Centre dExpertise Gouvernemental de Rponse et de Traitement des Attaques informatiques), 41
le correctif doit tre appliqu dans un dlai de 24 heures sur les infrastructures hbergeant le systme du donneur dordres (serveurs, pare-feux, routeurs ouverts vers lextrieur). Lorsquaucun correctif nest disponible, le titulaire doit suivre les recommandations de lditeur ou du CERTA dans le cadre dun contournement provisoire. Si le contournement ncessite la dsactivation dune fonctionnalit indispensable au systme, le titulaire sengage proposer des mesures permettant dviter lexploitation de la vulnrabilit. Le traitement des alertes mineures pourra intervenir durant les priodes de maintenance hebdomadaires ou mensuelles. Les passages de correctifs doivent tre prcds dune sauvegarde spcifique du systme et des donnes quil contient, ainsi que de tests sur un environnement de prproduction. Le titulaire devra mettre jour le dossier de dfinition avec la liste des correctifs de scurit appliqus sur les serveurs et communiquer au donneur dordres la version actualise du document. La validation du bon fonctionnement du systme se fera conjointement avec les quipes techniques du titulaire et le chef de projet responsable de lapplication hberge. En cas dalerte donne par les quipes dexperts du titulaire, par ladministration ou le CERTA, le matre douvrage sera notifi par tlphone et courrier lectronique avant toutes oprations. La dcision de laction ne pourra tre prise que par des personnels de la matrise douvrage dsigns par crit. En particulier, le responsable scurit de la matrise douvrage sera le correspondant privilgi pour le suivi des oprations. Le titulaire sengage fournir une adresse mail, un numro de tlphone et les priodes correspondantes dopration (H24, heures ouvrables, ) permettant au matre douvrage de suivre le traitement dune alerte. Sauvegardes et restauration Le titulaire doit prendre toutes les mesures qui simposent en termes de sauvegarde et de restauration pour se conformer au niveau de service exig. Les oprations de sauvegardes donnent lieu un compte-rendu par messagerie avec indicateur de russite ou dchec. La fiabilit des sauvegardes sera mise lpreuve par des tests de restauration mensuels, dont les rapports seront communiqus dans le mois suivant les tests.
42
Un double exemplaire des sauvegardes doit tre conserv dans des locaux physiquement spars du centre informatique du prestataire hbergeant lapplication du donneur d ordres. Le titulaire doit prendre des mesures permettant de garantir la confidentialit des donnes relatives aux sauvegardes : confidentialit des flux lors des oprations de sauvegardes ; stockage scuris des sauvegardes. En cas de sauvegarde externalise, les sauvegardes doivent tre chiffres avant leur transfert et la cl de chiffrement connue seulement du titulaire et du donneur dordres. Dans le cadre de plans de scurit gouvernementaux, le donneur dordres pourra imposer une augmentation de la frquence des sauvegardes. Continuit dactivit Le titulaire doit prendre toutes les mesures ncessaires pour assurer la disponibilit du systme dinformation, conformment aux exigences dfinies dans la clause relative au niveau de service exig. Le candidat indiquera les mesures techniques, organisationnelles, procdurales quil sengage prendre pour assurer la continuit dactivit du systme, ou en cas de sinistre la reprise dactivit conformment aux exigences dfinies dans la clause sur la convention de service. Les procdures de sauvegarde et de secours seront audites conformment aux modalits identifies dans la clause relative aux audits de scurit. Authentification Pour chaque interface daccs au systme, (Interface Homme-Machine, interface entre applications) le titulaire doit fournir une documentation prcisant : les mcanismes dauthentification mis en uvre (protocoles, algorithmes de hachage et de chiffrement utiliss) ; la liste exhaustive des comptes daccs existants ainsi que des rles et privilges qui y sont associs. Les moyens dauthentification associs aux interfaces doivent tre interoprables tant au niveau des applications clientes (par exemple navigateurs web) que des systmes dexploitation. Les interfaces daccs aux fonctionnalits bas niveau (exemple : configuration du BIOS) doivent imprativement authentifier un utilisateur (mise en place dun mot de passe pour lutilitaire de configuration du BIOS).
43
Les identifiants des comptes daccs sont nominatifs. Lutilisation dun mme compte par plusieurs personnes nest pas autorise sauf si une contrainte le justifiant est accepte par le donneur dordres. Dans ce cas, le candidat prsentera les mesures techniques et/ou organisationnelles pour garantir limputabilit. Lutilisation de mots de passe constructeur ou par dfaut est interdite. Lutilisation de protocoles dont lauthentification est en clair est interdite Les mots de passe doivent satisfaire aux contraintes de complexit suivantes : Avoir une longueur minimale de 10 caractres (sauf limitation technique) ; Comporter au minimum une majuscule, un chiffre et un caractre spcial ; Ne pas tre vulnrables aux attaques par dictionnaire. Lutilisation de certificats clients et serveurs pour lauthentification est une alternative prfrable aux mots de passe condition que la clef prive soit protge dans un matriel adquat. Confidentialit et intgrit des flux Tous les flux dadministration doivent tre chiffrs par des procds fiables (SSH, SSL, Ipsec,etc.), garantissant la confidentialit et lintgrit des donnes. De faon gnrale, tous les flux contenant des informations sensibles et circulant sur un rseau public doivent tre chiffrs par des procds apportant ces mmes garanties. Le choix et le dimensionnement des algorithmes cryptographiques doivent tre effectus conformment aux rgles et recommandations du RGS en la matire. Le candidat indiquera lensemble des mcanismes et mesures mis en uvre pour garantir la confidentialit et lintgrit des flux dadministration. Contrle et filtrage des flux Au titre de la dfense en profondeur, trois zones seront mises en place, chacune tant protge par un dispositif de filtrage : une zone publique regroupant les machines qui hbergent des services ayant vocation communiquer avec lextrieur (Reverse Proxy, Serveur Web, FTP, Serveur de mail, DNS ,etc.) ; une zone prive regroupant les machines nayant pas vocation communiquer avec lextrieur ; un rseau ddi ladministration des machines et des quipements partir de postes de travail situs chez lhbergeur.
44
Le trafic rseau en provenance et destination du systme doit faire lobjet dun contrle permanent afin de nautoriser que les flux lgitimes. Une matrice de flux (inventaire des flux lgitimes) sera fournie par le prestataire. La politique de filtrage est dfinie partir de la matrice des flux. Les dispositifs de filtrage sont bloquants par dfaut, tout ce qui nest pas explicitement autoris tant interdit. Le service global doit tre protg contre les attaques classiques sur IP et les protocoles associs (filtrage sanitaire) notamment : attaque en dni de service (TCP SYN Flood, Ping Flooding, SMURF, Ping of Death, large packet attacks, etc.) ; IP options (source routing, etc.). Le candidat dcrira dans sa rponse les diffrents mcanismes de protection prvus au niveau des quipements pour contrer les attaques classiques sur IP et les protocoles associs. Les interfaces dadministration des machines ou des quipements du systme ne doivent pas tre accessibles depuis lextrieur. Les services correspondants seront donc configurs pour ne pas accepter de connexions sur les interfaces publiques. Seuls les services utiles au bon fonctionnement de lapplication doivent tre activs. Les autres services doivent tre dsactivs et si possible dsinstalls. Imputabilit, traabilit Les informations suivantes devront tre enregistres : entre en session d'un utilisateur : date, heure, identifiant de l'utilisateur et du terminal ; russite ou chec de la tentative ; actions qui tentent d'exercer des droits d'accs un objet soumis l'administration des droits : date, heure, identit de l'utilisateur, nom de l'objet, type de la tentative d'accs, russite ou chec de la tentative ; cration/suppression d'un objet soumis l'administration des droits : date, heure, identifiant de l'utilisateur, nom de l'objet, type de l'action ; actions d'utilisateurs autoriss affectant la scurit de la cible : date, heure, identit de l'utilisateur, type de l'action, nom de l'objet sur lequel porte l'action. Marquage des supports de donnes et quipements sensibles Prciser les mesures mises en uvre pour assurer le recensement, la classification et le suivi des supports de donnes et quipements sensibles (botiers de chiffrement, parefeux, etc.) Le marquage des supports de stockage de donnes est obligatoire (disque dur, bandes de sauvegardes, etc.). 45
Personnels en charge des prestations
Le titulaire sengage fournir une liste, rgulirement mise jour, des personnels autoriss intervenir sur le systme dinformation du matre douvrage ainsi que leur niveau dhabilitation (types daccs et ressources concernes du client). Le candidat prcisera les moyens mis en uvre, dans le cadre de son processus de recrutement du personnel, pour vrifier les ventuelles condamnations, le cursus et lexprience professionnelle des futurs employs. Si le candidat ou des employs de son entreprise possdent une habilitation au niveau Confidentiel-Dfense, il pourra en faire mention. Le candidat prcisera dans son offre si dautres clients peuvent accder aux mmes locaux que ceux utiliss par le matre douvrage et dans quelle mesure il sera possible de limiter ces accs la demande de ce dernier. Dans le cadre de plans de scurit gouvernementaux, le donneur dordres pourra imposer un renforcement des contrles daccs physiques et logiques ces quipements. Qualifications et exprience, formations et sensibilisation dans le domaine de la SSI des personnels en charge des prestations Le candidat indiquera dans sa rponse : les qualifications, diplmes ainsi que le niveau dexprience des personnels retenus pour la ralisation des prestations dinfogrance ; la frquence et le contenu des actions de formation et de sensibilisation des personnels de lhbergeur aux enjeux de scurit. Exigences de scurit concernant les personnels extrieurs (maintenance, entretien)
Le candidat prcisera les moyens de contrle mis en uvre pour sassurer du respect des exigences de scurit du donneur dordres par ses sous-traitants ventuels, ainsi que des consultants ou techniciens amens intervenir dans le cadre du support et de la maintenance sur le systme du client. Cette exigence peut tre tendue tous les types de soutiens (mnage, chauffage, climatisation, etc) si la sensibilit du systme le justifie. Continuit des services essentiels : nergie, climatisation et tlcommunications Une solution de secours doit tre mise en uvre en cas de dysfonctionnement de lalimentation lectrique, de la climatisation ou des moyens de communication.
46
Le candidat dcrira les moyens mis en uvre afin dassurer la continuit des services essentiels (nergie, climatisation, tlcommunications) sur le site dexploitation du systme : situation et caractristiques gnrales du site dexploitation ; protection et redondance lectriques (groupes lectrognes, onduleurs, protection contre les surtensions, etc.) ; contrats de service avec les fournisseurs daccs, caractristiques des liaisons de secours ; systmes de climatisation ; moyens de supervision et remontes dalarme ; les quipements utiliss par le systme du donneur dordres, en particulier les composants redondants seront dcrits (alimentations, disques, cartes contrleurs, serveurs, quipements rseau, liens rseau) ; Le candidat prcisera les ventuels agrments gouvernementaux ou certificats de conformits quil dtient. Protection contre les incendies, la foudre et les dgts des eaux Le candidat dcrira les moyens mis en uvre en ce qui concerne : la prvention, la dtection et le traitement des incendies ; la protection contre les dgts des eaux ; la protection contre la foudre et les surtensions. Il sera notamment indiqu dans la rponse si les btiments du site dexploitation se situent ou non en zone inondable. Surveillance et contrle des accs aux locaux de lhbergeur, en particulier au local dhbergement du systme dinformation Le site dhbergement doit tre surveill 24h/24 et 7j/7. Le titulaire doit mettre en uvre un dispositif permettant de rserver l'accs aux locaux hbergeant lensemble des machines et postes de travail utiliss aux seules personnes autorises par le client : filtrage des accs au btiment ou aux tages, et filtrage des accs aux salles machines. Il dfinira les conditions daccs du client au service (horaires douverture, cas dindisponibilit ponctuelle, etc.). Le candidat doit dtailler tous les moyens mis en uvre afin dassurer la scurit des locaux dhbergement, notamment : moyens de surveillance, dispositifs anti-intrusion ; contrle et enregistrement des accs (gardiennage, sas, moyen d'identification, etc.) ; protection physique des quipements (verrouillage des baies, etc.).
47
Intervention des socits de maintenance ou de support de solutions informatiques (matrielles ou logicielles) Les intervenants des socits assurant la maintenance ou le support technique de solutions doivent tre accompagns par une personne habilite intervenir sur le systme pendant toute la dure de leur intervention. Si un intervenant a besoin de se connecter au systme, il doit utiliser un compte spcifique permettant de garantir limputabilit de ses actions. Le candidat prsentera les mesures techniques et organisationnelles pour empcher les extractions massives dinformation (par exemple : extraction dune copie de la base de donnes partir dun poste ddi ladministration). Les supports de stockage de donnes (disques durs, bandes de sauvegardes, etc.) restent la proprit du client. Ils ne peuvent tre mis au rebut ou emports par une socit de maintenance, ou encore rutiliss dautres fins que celles prvues initialement sans lautorisation expresse du donneur dordres. Ils doivent tre conservs en lieu sr par le titulaire, en attendant de procder leur effacement ou leur destruction avec des moyens adapts visant sassurer quaucune donne ne puisse tre rcupre. Leffacement ou la destruction ont lieu en prsence dun reprsentant du donneur dordres.
48
ANNEXE 3 : BONNES PRATIQUES POUR L'HEBERGEMENT MUTUALISE

Outre la rversibilit du contrat dhbergement, quatre domaines mritent de faire lobjet de prescriptions explicites : journaux dvnements et conservation des traces ; suivi de la ressource hberge ; prvention dune attaque ; raction sur incident. Journaux dvnements et conservation des traces Le prestataire est tenu de sassurer quune journalisation des accs et des vnements (systme, Web) est active sur tous les quipements dont il a la charge. Une politique de sauvegarde de ces traces doit exister (deux mois de sauvegarde sont demands sur les pare-feux et les serveurs Web). Le donneur dordres peut tre amen demander un extrait de ces traces, soit dans le cas dun incident, soit des fins de suivi de la (des) ressource(s). Conditions daccs ces journaux : le client doit pouvoir avoir accs aux journaux dvnements (rduits ventuellement un extrait) sa demande et dans les dlais contractualiss (ex. : dans la journe). Lidal est que le client ait un moyen de suivi des vnements en temps rel ; le client doit, de plus, tre sr que les journaux concernant ses ressources hberges ne sont pas divulgus dautres organismes co-hbergs (garantie de confidentialit) ; lhbergeur doit certifier que toutes les informations prsentes sur les journaux sont exploitables au regard de ltat de lart (pas de biais horaire ou biais horaire matris et document, journaux dports ou copis sur une autre machine, etc.). Dans le cadre de plans de scurit gouvernementaux, le donneur dordres pourra imposer une augmentation de la frquence des sauvegardes des traces. Suivi du service hberg Outre le contrle des journaux dvnements, il est ncessaire de pouvoir disposer dindicateurs sur lhistorique du service hberg. Il est ainsi possible de dgager les principaux vnements relatifs lutilisation du service, ce qui permet davoir accs
49
des vnements ayant prcd une ventuelle crise. Les indicateurs les plus courants sont (liste non exhaustive) : frquence et suivi des mises jour effectues (indispensable) ; dure dindisponibilit maximum et suivi de ces indisponibilits ; frquence des sauvegardes et tests de restauration effectus ; indicateurs sur les ressources dont laccs et la mise disposition ne dgradent pas la scurit du systme dinformation : charge rseau pour le serveur et pour la ressource ; charge processeur utilise par la ressource et pourcentage de la charge du serveur ; charge mmoire utilise par la ressource et pourcentage de la charge du serveur ; etc. De la mme manire, il est ncessaire que le client connaisse au pralable lorigine et/ou la teneur des services co-hbergs, ce qui permettra dtayer son analyse de risques. Dans le meilleur des cas, il conviendra dopter pour une solution hybride de cohbergement. Celle-ci consiste nhberger sur un serveur donn quun ensemble de ressources, appartenant toutes la mme organisation, ou fruit dune communaut dintrt. Il sera alors plus facile dobtenir un accord crit de la communaut sur laccs la machine pour analyse en cas dincident. Prvention dune attaque Le contrat pass avec lhbergeur doit prvoir le cas dventuelles attaques informatiques. La ractivit en cas dincident tant extrmement importante, il conviendra de faire figurer dans le contrat les points suivants : identification dun contact technique (ou plusieurs) clairement identifi chez lhbergeur ainsi que chez le client, joignable 24/24, 7/7, tous les jours de lanne ; identification dun contact dcisionnel (ou plusieurs) clairement identifi chez lhbergeur ainsi que chez le client, joignable 24/24, 7/7, tous les jours de lanne ; garantie dinformation immdiate : le client doit tre tenu inform sans dlai en cas dattaque afin de dclencher le circuit de raction adquat ; dfinition des procdures de remonte dincident ; dfinition claire et exhaustive avec lhbergeur de ce que lon entend par incident (dfiguration, temps dindisponibilit, etc.).
50
Raction sur incident
En cas dincident, le client seul doit avoir le contrle total sur la marche suivre. Ainsi, le contrat doit prvoir que : la dsignation de lorganisme charg de traiter lincident doit tre laisse la seule apprciation du client ; cet organisme doit pouvoir jouir au nom du client dun contrle total de lenvironnement de la ressource des fins danalyse. Par exemple : prlvement de tout lment ncessaire lanalyse conformment aux rgles de lart ; analyse du systme en fonctionnement. la gestion de lincident et de la conduite des actions postrieures sont la seule initiative du client. Ceci comprend : toute action sur la machine : redmarrage, arrt, rtablissement dune sauvegarde, isolement physique du reste du rseau, tablissement dun primtre de scurit, etc. ; dlai dindisponibilit de la ressource ; dlai dindisponibilit du serveur et pnalits dastreinte ventuelles ; contrle sur les rgles de filtrage.
51
Agence nationale de la scurit des systmes d'information, 2010. Ce guide est un document crit et dit par l'Agence nationale de la scurit des systmes d'information (ANSSI). Il est soumis aux termes de la licence information publique librement rutilisable (LIP V1 2010.04.02), consultable l'adresse suivante :
http://www.rip.justice.fr/information_publique_librement_reutilisable.
L'URL mentionner pour attribution est

http://www.ssi.gouv.fr/externalisation.
Les demandes de permissions supplmentaires peuvent tre adresses communication@ssi.gouv.fr.
Dcembre 2010 Licence information publique librement rutilisable (LIP V1 2010.04.02)
Agence nationale de la scurit des systmes d'information

ANSSI - SGDSN - 51 boulevard de la Tour-Maubourg - 75700 PARIS 07 SP Sites internet : www.ssi.gouv.fr et www.securite-informatique.gouv.fr Messagerie : communication [at] ssi.gouv.fr

2010 12 03 Guide Externalisation

Transféré par

Informations du document

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

2010 12 03 Guide Externalisation

Transféré par

Droits d'auteur :

Formats disponibles

MATRISER LES RISQUES DE LINFOGRANCE

Externalisation des systmes dinformation

Externalisation des systmes d'information

Externalisation des systmes d'information

Toutes remarques sur ce guide peuvent tre adresses conseil@ssi.gouv.fr

Externalisation des systmes d'information

Table des matires

RISQUES LIS AUX INTERVENTIONS DISTANCE...............................................................10

RISQUES LIS LHBERGEMENT MUTUALIS .................................................................13

Externalisation des systmes d'information

Externalisation des systmes d'information

1.2 Typologie de linfogrance

Norme AFNOR Z 67 801-1.

Externalisation des systmes d'information

Externalisation des systmes d'information

2 Les risques inhrents lexternalisation

Risques lis la localisation des donnes

Externalisation des systmes d'information

Risques lis aux donnes caractre personnel

Externalisation des systmes d'information

Risques lis aux choix techniques du prestataire

Externalisation des systmes d'information

2.2 Risques lis aux interventions distance

Externalisation des systmes d'information

Risques inhrents aux interventions distantes

Externalisation des systmes d'information

Mise en uvre dune passerelle scurise

Externalisation des systmes d'information

2.3 Risques lis lhbergement mutualis3

Risques inhrents lhbergement mutualis

Externalisation des systmes d'information

Externalisation des systmes d'information

Externalisation des systmes d'information

L'informatique en nuage ou nbuleuse

Les risques de linformatique en nuage

Externalisation des systmes d'information

Externalisation des systmes d'information

Externalisation des systmes d'information

3 Prise en compte de la scurit dans les appels d'offres

3.1 Apprcier les risques et dterminer les objectifs de scurit

Externalisation des systmes d'information

3.2 Rdaction du cahier des charges

3.3 Choix du prestataire

Externalisation des systmes d'information

Externalisation des systmes d'information

Externalisation des systmes d'information

4 Le plan dassurance scurit

Externalisation des systmes d'information

3. Description du systme externalis

4. Rappel des exigences

Externalisation des systmes d'information

Externalisation des systmes d'information

Externalisation des systmes d'information

6. Responsabilits lies au PAS

7. Procdure dvolution du PAS

Externalisation des systmes d'information

Externalisation des systmes d'information

Externalisation des systmes d'information

10. Matrice de couverture des exigences de scurit

11. Documentation de suivi

Externalisation des systmes d'information

5.1 Transfert du systme

5.3 Obligations du prestataire

Externalisation des systmes d'information