Externaliser (outsourcer en bon franglais) signifie de confier à un tiers la réalisation de tout ou partie des traitements informatiques nécessaire à la réalisation des objectifs d’une organisation. Certains fournisseurs d’infrastructures et de services en nuage (cloud) peuvent apporter une réponse globale au besoin d’informatisation des organisations et offrir des prestations techniques qui intègrent des éléments de la sécurité informatique et de celle des réseaux de télécommunication.
S’il est désormais courant de penser à la sécurité informatique d’une organisation en terme de cybersécurité, englobant de ce fait toutes les dimensions de la sécurité physique et logique des infrastructures numériques, des systèmes d’information et de l’information, cela correspond en fait au besoin de pouvoir maitriser les risques générés par l’usage des technologies numériques.
Au regard de la complexité et des ressources que nécessite la mise en place d’un processus continu de gouvernance des risques et de la sécurité, certaines entreprises choisissent d’externaliser cette fonction. Pour autant, peuvent-elles, doivent-elles tout externaliser et ce faisant externalisent-elles aussi leur responsabilité ?
Est-ce que la dépendance à un fournisseur n’introduit pas un nouveau risque de sécurité ?
Les conséquences des risques induits par l’informatique sont toujours à la charge de l’organisation qui dépend du bon fonctionnement, de la disponibilité, de l’intégrité des ressources et des infrastructures informationnelles et parfois de la nécessaire confidentialité de ses données. Si en amont d’un processus d’externalisation, l’institution n’a pas été en mesure d’assurer un niveau de cybersécurité cohérent au regard de ses actifs informationnels et des menaces qui peuvent les mettre à mal, comment peut-elle être en mesure de garantir la sécurité de son patrimoine informationnel en dehors de son périmètre ?
Quel est son niveau de sécurité avant le passage au Cloud ? Ce qui revient à se poser d’autres questions : Comment sont protégés les actifs à l’intérieur de l’organisation ? Comment le seront –ils hors du contrôle de celle-ci ? Est-ce que le fournisseur de cloud peut résoudre tous les problèmes de sécurité ? Sachant que ces derniers peuvent être augmentés par des accès à distance de l’infrastructure qui peut même être localisée dans un autre pays ? Est-ce que le passage au cloud ne va pas favoriser des mécanismes parallèles d’usage d’outils informatiques non contrôlés (shadow IT) ? Comment s’assurer que les clauses contractuelles ne soient pas préjudiciables au contrôle de la maitrise de la sécurité par un fournisseur ? Quelles sont les garanties sur le lieu d’hébergement des données et de transit, sur la manière dont les données sont exploitées, traitées et maintenues ? Peut –il y avoir de l’outsourcing de l’outsourcing, quelle est alors la chaine de responsabilité ? Comment la sécurité est réalisée (quel chiffrement, qui maîtrise les clés de chiffrement, comment les mises à jour de sécurité sont effectuées, … ?), maintenues, auditées, vérifiées et optimisées ?
La confiance se bâtit sur des faits et des clauses contractuelles
S’il peut paraître aisé de démontrer un avantage économique à court terme de passer à une solution Cloud, qu’en est-il sur le long terme ? La vigilance est requise notamment pour ce qui concerne des offres globales « package tout en un », bien évaluer ce qui est réellement proposé est incontournable. Il ne suffit pas de se fier uniquement à l’expérience d’un prestataire ou au nombre de ses clients. La confiance est essentielle, elle se bâtit sur des faits et des clauses contractuelles. Par ailleurs, les experts sécurité qualifiés ne sont pas légion, certaines entreprises n’hésitent pas à étiqueter comme experts de jeunes diplômés sans expérience (qui construisent leurs compétences sur le dos des clients) ou recourent à des experts auto-proclamés. Le marché s’arrache les personnes d’expérience, leur nombre est limité.
L’outsourcing n’est pas synonyme de déresponsabilisation
L’entreprise qui externalise son infrastructure IT peut avoir tendance à penser que la sécurité informatique n’est plus son problème. Cela serait oublier le fait que d’externaliser n’est pas synonyme de se défaire de ses responsabilités envers notamment les données de ses clients. Les risques de perte de disponibilité, d’intégrité ou de celle de confidentialité, occasionnés par un défaut de sécurité lors de traitements informatiques à l’interne de l’organisation existent toujours. Elle n’est pas à l‘abri de fraudes, d’escroqueries, d’actions d’ingénierie sociale, de fuites ou de compromission de ses données par exemple.
L’organisation, quels que soient son type (commerciale, hospitalière, gouvernementale…) et sa taille, ne peut pas se défausser de sa responsabilité de développer en interne une culture de la cybersécurité, de sensibiliser et de former tous les acteurs qui interagissent avec des systèmes d’information, même s’ils sont hébergés dans des clouds externes.
Plus rares sont les institutions qui ont compris les risques de sécurité inhérents à la phase de migration vers le cloud. Comment sont-ils pris en compte lors de la phase de migration, qui est responsable, qui en supporte les coûts cachés? La transition vers une externalisation de l’infrastructure et des services nécessite une préparation minutieuse sans oublier de vérifier la résilience et la sécurité de l’infrastructure du réseau local. Or cet aspect est généralement passé sous silence par les fournisseurs de cloud, cela augmenterait le coût de leur offre et est rarement exprimé correctement dans des appels d’offres.
Confiance, confort et stratégie
L’informatique d’une organisation dont le niveau de sécurité est adapté aux risques que celle-ci encourt, permet la réalisation de toutes ses tâches et missions avec un certain niveau de confiance et de confort.
La sécurité informatique est stratégique dans le sens où elle dépend de la stratégie d’une organisation et aussi parce qu’elle nécessite une vision stratégique qui tient compte des dimensions politique, économique, organisationnelle, humaine, juridique et technologique du contexte dans lequel évolue l’institution. Avoir une cybersécurité défaillante n’est pas une option pour la compétitivité et la survie d’une organisation, cela est amplifié si l’organisation en question est une infrastructure vitale comme peut l’être un hôpital, il en va de sa réputation (quid d’une fuite de données des dossiers et secrets médicaux ?) mais surtout de la sécurité et de la survie des patients eux-même (quid de cyberattaques portant atteintes à la disponibilité et à l’intégrité des dossiers médicaux, à celles des ressources informatiques nécessaires à bon fonctionnement de la structure hospitalière (chaine d’approvisionnement logistique, systèmes de santé connectée, d’aide à la prise de décision, à la médecine de précision, …)) ?
Docteur en informatique, la professeure Solange Ghernaouti dirige le Swiss Cybersecurity Advisory & Research Group (UNIL) est pionnière de l’interdisciplinarité de la sécurité numérique, experte internationale en cybersécurité et cyberdéfense.