Synthèse de la conférence donnée aux Assises de la Sécurité

Quels leviers pour sécuriser les opérations d’outsourcing ?

L’outsourcing représente un marché de près de 100 milliards de dollars dans le monde, dont 30% en Europe. Sur ce marché, 61% concernent des fonctions informatiques. Gestion du parc applicatif, des serveurs en production, support aux utilisateurs, etc., l’ensemble des activités IT traditionnellement réalisées en interne utilise en réalité des ressources externes. La fonction sécurité n’échappe pas à la règle avec, par exemple, l’externalisation de l’infogérance des équipements ou de la veille Internet.

L’outsourcing : des avantages bien identifiés, des risques non maîtrisés

L’appel à des ressources externes présente de nombreux avantages. Il permet avant tout de focaliser les ressources internes sur les tâches à valeur ajoutée tout en améliorant le delivery réalisée par un expert de sa partie.
De plus, les contraintes réglementaires se trouvent partiellement transférées au prestataire et les coûts sont également réduits (moins de formations…).

Si les bénéfices de l’outsourcing sont bien identifiés, les risques associés le sont, eux, beaucoup moins. La principale raison de cette négligence est le manque de sensibilisation à la sécurité des équipes qui outsourcent. A l’image d’une banque sous-traitant la fabrication de ses chéquiers et dont les interlocuteurs sécurité découvrent le projet lors de l’envoi des fichiers au prestataire.
Le paradoxe est réel : la généralisation de l’externalisation rend évidente la prise de risque sans pour autant multiplier les mesures de sécurité.
Or il est indispensable de garder la maîtrise des risques et de traiter les problèmes de confiance, d’environnement partagé, de dépendance, d’implémentation, de coûts cachés ou encore de responsabilités qui se posent lors de chaque outsourcing.

Un bon accompagnement sécurité permet de réduire efficacement les risques :

  • La mise en place de dispositifs techniques ou processus organisationnels ciblés protège les informations sensibles communiquées au prestataire.
  • Une analyse des enjeux sécurité en amont identifie le niveau de mutualisation acceptable dans le cadre d’environnement partagé.
  • La formalisation des pratiques sécurité existantes facilite la transition lors du transfert de compétences.
  • Enfin, le risque majeur de désengagement de la sécurité du SI après délégation du fournisseur doit impérativement être traité. L’identification des engagements sécurité attendus en couverture des risques permet une « réassurance sécurité » auprès du fournisseur.

Pour continuer la lecture, cliquez ici.

Télécharger la présentation de la conférence