L’accès ubiquitaire au large bande, devenant la norme, l’UIT exhorte les pouvoirs publics à faire des choix éclairés qui favorisent le déploiement, l’innovation et des prix abordables

Beyrouth, le 12 novembre 2009 — Les délégués au 9ème Colloque mondial des régulateurs de l’UIT (tenu du 10 au 12 novembre) ont souligné la nécessité urgente, pour les pouvoirs publics, d’ouvrir les marchés à une plus grande concurrence et d’avoir recours à des mesures d’incitation, afin d’encourager les investissements dans les réseaux large bande, qui sont en passe de devenir l’élément vital de l’économie du savoir.

Le Colloque, qui s’est tenu en présence de 648 participants de 89 pays, s’est efforcé de dégager une vision et une compréhension communes des nombreux problèmes auxquels sont confrontés aujourd’hui les régulateurs des TIC, sur des marchés issus de la convergence de plus en plus complexes.

“Les résultats de cette édition du GSR sont les meilleurs que nous ayons jamais obtenus, qu’il s’agisse du nombre de participants ou de la qualité et de l’intérêt des débats auxquels nous avons assisté au cours des trois derniers jours. Cela atteste du rôle déterminant que jouent aujourd’hui les régulateurs pour définir l’orientation future des marchés qui se caractérisent par des progrès technologiques rapides et par une concurrence toujours plus complexe et en mutation constante” a déclaré le

Secrétaire général, Dr Hamadoun Touré.

la suite du sujet ici …

le document en français PDF

1 – Quelques récentes affaires sont susceptibles d’inciter des risks managers, DSI, RSSI et chefs d’entreprises à s’interroger à nouveau sur les risques liés à l’externalisation de prestations informatiques (cf. article sur les sous-traitants), surtout si elles sont concernées par des contrats « d’infogérance à distance » (infogérance globale ou partielle) . . .

2 – Mal évaluées au niveau du risque, ces « connexions à distance » de prestataires sur le réseau d’information et de communication d’une entreprise cliente peuvent révéler des vulnérabilités.

Naturellement, ces risques sont amplifiés si l’entreprise cliente présente une sensibilité particulière quant aux informations qu’elle détient (informations « classifiées défense » ou « simplement » sensibles comme des « données à caractère personnel » notamment).

3 – La question se pose donc de savoir si le risque consécutif à cette externalisation (et gestion à distance) a été bien évalué et si les éventuelles vulnérabilités induites ont été prises en compte :

• Vulnérabilité de l’entreprise cliente au niveau de son périmètre général (cf. post « ”SECURITE” : CRISE, PARADOXES, PROTECTION DES SAVOIR-FAIRE … ET SOUS-TRAITANT : LE MAILLON FAIBLE ?)

• Brèche dans le périmètre du système d’information de l’entreprise cliente.

4 – S’il n’existe aucun doute quant au professionnalisme des juristes et techniciens chargés de l’élaboration des liens contractuels et de la mise en œuvre de la sécurité informatique, (Les différents types de contrats ne seront pas évoqués, comme les mesures techniques de sécurité qui sont multiples et directement liées à la configuration des réseaux et des flux), certains points méritent certainement d’être soulignés compte tenu :

-          de la sensibilité particulière de certains secteurs d’activité et d’un grand nombre d’entreprises,

-          de l’évolution de la loi et de la jurisprudence en terme de responsabilités.

5 – L’objectif de cette synthèse d’étude est donc de poser les questions qui s’imposent dans de telles situations afin d’attirer l’attention sur d’éventuelles « vulnérabilités » mal maîtrisées en terme de sécurité/sûreté et de participer à l’approche d’ « évaluation des risques ».

6 – Pourquoi s’inquiéter ?!

-          61 – Certaines informations traitées par l’entreprise cliente revêtent un caractère particulièrement sensible.

-          62 – Elles peuvent être « classifiées défense » et, dans ce cas, relèvent des dispositions de l’Instruction Générale Interministérielle sur la protection du secret de la défense nationale (1300 /SGDN/PSE/SSD du 25 août 2003) détaillant notamment l’organisation générale de la protection et la répartition des compétences, l’habilitation des personnes, la protection des informations … Par ailleurs, les conditions de protection du secret et des informations concernant la défense nationale et la sûreté de l’Etat dans les contrats sont décrites par l’arrêté du 18 avril 2005.

-          63 – Ces informations peuvent être des « données à caractère personnel » (anciennement appelées « données nominatives »). Dans ce cas, la loi informatique et libertés (du 6 janvier 1978 modifiée par la loi du 6 août 2004) impose une « obligation de protection » (article 226-17 du code pénal) par « toutes précautions utiles »  et prévoit même une responsabilité en cas de simple imprudence ou de négligence.  La jurisprudence applique la notion de « bon père de famille » qui peut être ainsi déclinée :

o        des mesures logicielles et techniques (authentification des utilisateurs par un mot de passe individuel, firewall, antivirus, fichiers de journalisation des connexions et conservation des données (cf 72, 73, 74, 75…),

o        des mesures organisationnelles (politique de sécurité (cf 71) , formation/sensibilisation (cf 8), charte (cf. 8), plans sauvegardes…),

o        des mesures juridiques (Cf 76, 77, 78).

-          64 – Il est peut-être utile de rappeler que le responsable du traitement de données reste le client (gestionnaire dans ce cas) et assure de ce fait toutes les obligations légales afférentes au respect de la sécurité des données personnelles. C’est à l’entreprise cliente de prescrire au prestataire les mesures de sécurité que celui-ci doit respecter. En cas de problème, c’est la responsabilité pénale du client qui sera recherchée.

-          65 – La délégation de pouvoir impose notamment un cadre de relations hiérarchiques organisées. Elle ne peut s’appliquer entre une société cliente et le salarié d’un tiers. Le fait d’ « infogérer » tout ou partie du SI ne décharge par les préposés de l’entreprise cliente de leur propre responsabilité.

-          66 - La responsabilité civile respective de l’infogérant et du client est régie par le contrat.

7 – Les questions essentielles :

Les moyens mis en oeuvre sur les systèmes d’information du prestataire utilisés pour s’interfacer avec le système d’information de l’organisme ne sont pas nécessairement adaptés, cohérents, voire compatibles, avec les moyens de sécurité déjà en place. Les personnes utilisant et manipulant le système d’information ne sont pas toujours connues de l’organisme. Sur le plan technique, les « privilèges d’accès » accordés au prestataire pour réaliser sa tâche sont, en général, particulièrement étendus en terme de sécurité et peuvent être utilisés pour s’introduire dans l’intégralité du système d’information.

-          71 – Dans l’élaboration de sa politique globale de sécurité, l’entreprise cliente a-t-elle prise en compte le périmètre GENERAL de sa structure ? Ce périmètre comprend l’entreprise dans son intégralité, les services excentrés, les partenaires contractuels, sous-traitants concernés par la chaîne de confidentialité…  (Pour mémoire, la POLITIQUE DE SECURITE (défense) dans l’entreprise est l’ensemble,  formalisé dans un DOCUMENT APPLICABLE, des directives, procédures, codes de conduire, règles organisationnelles et techniques, ayant pour objectif la protection du patrimoine informationnel de l’entreprise). Dans le cas présent, ce périmètre est important car il influence les  « brèches » dans le périmètre du systèmes d’information, espace de responsabilité. Une connexion à distance dans un système d’information doit être considéré comme un vulnérabilité supplémentaire et prise en compte (technique et organisationnelle – cf. 63) ) comme telle.

-          72 – Pour quel motif précis et quand cet accès direct peut-il être utilisé ?

-          73 – Qui a le droit d’utiliser cet accès direct (nominativement) ? (habilitations bien définies (cf.62), codes d’accès strictement personnels, engagement contractuel de confidentialité de ces codes, mise en œuvre d’une authentification forte ?, obligation pour le prestataire d’informer immédiatement de l’existence d’une fraude). Comment peut-on être sûr que cette entreprise ne va pas sous-traiter la maintenance à distance ? (moyens techniques, contractuels)

-          74 – A quoi ont accès ceux qui utilisent cet accès direct ? (limites d’accès dans le système d’information). Accès à des données classifiées ? DCP ? Périmètre technique défini par contrat et par mesures techniques (cf 62) ?

-          75 – Garde-t-on la trace de ces données de connexion ? (date, heure, identification / authentification, navigation, importation/exportation, modifications …) (Administration de la preuve numérique – traçabilité, imputabilité – Cf 63)

-          76 – L’entreprise cliente  s’est-elle impliquée directement dans l’organisation de la sécurité du prestataire et de cette connexion à distance (Cf 64) ?

-          77 – Cette  stratégie de protection/défense  peut notamment se développer autour  de  (Cf 63) :

o        la vérification régulière de la crédibilité, de la solvabilité et de la fiabilité des futurs partenaires et le suivi de l’évolution de ces paramètres (stratégie de veille),

o        la stratégie organisationnelle et l’élaboration d’un document de référence «politique de protection des informations» confiées à l’organisme (notamment les informations présentant une classification ou une mention particulière de protection) (stratégie organisationnelle),

o        la contractualisation de l’engagement des parties vis-à-vis des informations échangées (contrôle de l’absence de codes malveillants, règles de protection physique et logique des supports d’information et des moyens de connexion et de communication), stratégie organisationnelle développée pour lutter notamment contre le risque opérationnel,  appliquées en interne, le support d’échange et les moyens de protection contre la divulgation, l’intégrité …, et la vérification régulière de ces moyens (stratégie de sécurité juridique).

-          78 – Ces contrats devraient comprendre un volet SSI qui spécifie clairement les engagements du prestataire et de chacun de ses personnels concernés. Ils devront notamment spécifier très précisément :

o        Le périmètre et contenu exact des prestations attendues (obligation de moyens ou de résultat lorsque la reprise d’activité est essentielle),

o        les exigences de sécurité avec engagement du prestataire, la confidentialité, l’imputabilité d’éventuels incidents (traçabilité), la continuité du service, le délai de reprise, en cas de panne, une éventuelle clause de non retour des disques durs défectueux,

o        les procédures de contrôle du respect de ces exigences,

o        la possibilité d’évolution des exigences et des procédures, en conformité avec une évolution de la politique de sécurité ou de ses déclinaisons opérationnelles, et l’obligation pour le prestataire de se conformer à ces évolutions,

o        Les obligations des parties à l’égard de la loi informatique et libertés,

o        La prévision de l’évolution du contrat, la réversibilité (clause de retour) et les clauses de fin de contrat,

o        la nature des responsabilités et convention de preuve.

8 – Par ailleurs, outre la charte d’utilisation du système d’information et d’échange de données,  dont le canevas doit répondre à certaines exigences, des séances de sensibilisation/formation devraient être régulièrement organisées pour l’ensemble des personnels concernés (dés la mise en œuvre, puis tous les 2 ans au maximum), sur :

-          l’éthique (sens des responsabilités, respect de l’intérêt général, objectif d’atteindre une démarche de sécurité proactive),

-          la culture sécurité/sûreté (sécurité du système d’information / sûreté aéroportuaire), le traitement des incidents,

-          la culture juridique (droits et devoirs des acteurs de l’entreprise face au système d’information et aux données sensibles).

9 – Enfin, dans une démarche d’ « intelligence économique territoriale » (I.E.T.), encadré par une circulaire du ministère de l’Intérieur du 13/9/2005,  le plan régional de sécurité économique doit permettre d’identifier et d’accompagner les « entreprises sensibles ».

L’objectif de ce plan de sécurité est notamment d’impliquer les structures institutionnelles (services du Minefi, DCRI, Gendarmerie…) dans l’évaluation du niveau de protection des entreprises et dans la sensibilisation des responsables aux enjeux de l’intelligence économique.

Cette action semble aujourd’hui s’étendre tout naturellement à un grand nombre de PME qui, bien que n’étant pas concernées directement par l’un des secteurs stratégiques initialement prévus, présente tout de même une certaine sensibilité (d’origine interne ou externe).

Joseph Triquell

Tout comme les abonnements à la téléphonie mobile, Orange Business Services propose, via sa nouvelle entité dédiée à la virtualisation, “un forfait informatique”, intéressant pour les PME.

Jean-Pierre Gardille, Directeur marketing, explique le positionnement de ce forfait, et de cette nouvelle division “virtualisation”, fruit de l’intégration de Neocles dans OBS.

A la demande de nos amis de Cisco France, j’ai rédigé ce court article (voir ci-dessous) sur le rôle de l’innovation dans la relation client, à paraître dans leur journal client intitulé Ciscomag. Pour écrire cet article je me suis librement inspiré d’une interview réalisée en septembre 2007 pour NextTimes, la revue équivalente d’Orange Business Services (cliquer ici pour lire le numéro concerné, mon article est en page 2). J’y ai ajouté quelques références récentes. L’intérêt principal de cet article est de mettre l’emphase sur la demande des clients à l’externalisation et son évolution. Mais l’exercice ne s’arrête pas là. En fait, ce n’est même que le début. Dans un article intitulé ‘is innovative outsourcing a pipe-dream’ (l’innovation en outsourcing: un rêve inatteignable? En fait, elle fait déjà un contresens, car elle parle « d’innovative outsourcing », outsourcing innovant, versus « la ou les innovations à l’intérieur d’un outsourcing » qui est le vrai sujet. J’ai corrigé ce point dans ma traduction), Stephanie Overby (http://www.computerworlduk.com/management/infrastructure/development/hot-topic/index.cfm?articleid=826) y décrit la difficulté à passer de la parole à l’acte. En substance, le client (futur outsourcé) réclame son économie d’échelle (outsourcing standard, les 20% qui en moyenne sont la cible de ce genre de contrats), le prestataire fait alors force promesses et elles ne trouvent selon l’article quasiment jamais la voie de la réalisation concrète. Venue la signature du contrat, l’outsourceur est en effet pris dans les contraintes journalières de sa prestation et ne pense plus à remplir sa mission d’innovation. Si ce genre d’exemples cités par la journaliste sont fréquents – c’était le cas de notre client de décembre dernier qui est cité dans l’article (le nom restera secret) – l’innovation en outsourcing n’est en aucun cas à mon avis une fatalité.

Cette conclusion fataliste est à mon avis le fait d’une série de mauvaises interprétations, d’un effet de halo (voir ici le blog de Phil Rosenzweig), une confusion de plusieurs causes qui ne sont pas liées et aussi entre la justesse d’un objectif et la qualité de son exécution :

Il se peut que j’aie oublié des points, mais l’essentiel y est. Je renvoie encore une fois à mon papier blanc de l’innovation qui décrit tout cela par le menu.