1 – Quelques récentes affaires sont susceptibles d’inciter des risks managers, DSI, RSSI et chefs d’entreprises à s’interroger à nouveau sur les risques liés à l’externalisation de prestations informatiques (cf. article sur les sous-traitants), surtout si elles sont concernées par des contrats « d’infogérance à distance » (infogérance globale ou partielle) . . .

2 – Mal évaluées au niveau du risque, ces « connexions à distance » de prestataires sur le réseau d’information et de communication d’une entreprise cliente peuvent révéler des vulnérabilités.

Naturellement, ces risques sont amplifiés si l’entreprise cliente présente une sensibilité particulière quant aux informations qu’elle détient (informations « classifiées défense » ou « simplement » sensibles comme des « données à caractère personnel » notamment).

3 – La question se pose donc de savoir si le risque consécutif à cette externalisation (et gestion à distance) a été bien évalué et si les éventuelles vulnérabilités induites ont été prises en compte :

• Vulnérabilité de l’entreprise cliente au niveau de son périmètre général (cf. post « ”SECURITE” : CRISE, PARADOXES, PROTECTION DES SAVOIR-FAIRE … ET SOUS-TRAITANT : LE MAILLON FAIBLE ?)

• Brèche dans le périmètre du système d’information de l’entreprise cliente.

4 – S’il n’existe aucun doute quant au professionnalisme des juristes et techniciens chargés de l’élaboration des liens contractuels et de la mise en œuvre de la sécurité informatique, (Les différents types de contrats ne seront pas évoqués, comme les mesures techniques de sécurité qui sont multiples et directement liées à la configuration des réseaux et des flux), certains points méritent certainement d’être soulignés compte tenu :

-          de la sensibilité particulière de certains secteurs d’activité et d’un grand nombre d’entreprises,

-          de l’évolution de la loi et de la jurisprudence en terme de responsabilités.

5 – L’objectif de cette synthèse d’étude est donc de poser les questions qui s’imposent dans de telles situations afin d’attirer l’attention sur d’éventuelles « vulnérabilités » mal maîtrisées en terme de sécurité/sûreté et de participer à l’approche d’ « évaluation des risques ».

6 – Pourquoi s’inquiéter ?!

-          61 – Certaines informations traitées par l’entreprise cliente revêtent un caractère particulièrement sensible.

-          62 – Elles peuvent être « classifiées défense » et, dans ce cas, relèvent des dispositions de l’Instruction Générale Interministérielle sur la protection du secret de la défense nationale (1300 /SGDN/PSE/SSD du 25 août 2003) détaillant notamment l’organisation générale de la protection et la répartition des compétences, l’habilitation des personnes, la protection des informations … Par ailleurs, les conditions de protection du secret et des informations concernant la défense nationale et la sûreté de l’Etat dans les contrats sont décrites par l’arrêté du 18 avril 2005.

-          63 – Ces informations peuvent être des « données à caractère personnel » (anciennement appelées « données nominatives »). Dans ce cas, la loi informatique et libertés (du 6 janvier 1978 modifiée par la loi du 6 août 2004) impose une « obligation de protection » (article 226-17 du code pénal) par « toutes précautions utiles »  et prévoit même une responsabilité en cas de simple imprudence ou de négligence.  La jurisprudence applique la notion de « bon père de famille » qui peut être ainsi déclinée :

o        des mesures logicielles et techniques (authentification des utilisateurs par un mot de passe individuel, firewall, antivirus, fichiers de journalisation des connexions et conservation des données (cf 72, 73, 74, 75…),

o        des mesures organisationnelles (politique de sécurité (cf 71) , formation/sensibilisation (cf 8), charte (cf. 8), plans sauvegardes…),

o        des mesures juridiques (Cf 76, 77, 78).

-          64 – Il est peut-être utile de rappeler que le responsable du traitement de données reste le client (gestionnaire dans ce cas) et assure de ce fait toutes les obligations légales afférentes au respect de la sécurité des données personnelles. C’est à l’entreprise cliente de prescrire au prestataire les mesures de sécurité que celui-ci doit respecter. En cas de problème, c’est la responsabilité pénale du client qui sera recherchée.

-          65 – La délégation de pouvoir impose notamment un cadre de relations hiérarchiques organisées. Elle ne peut s’appliquer entre une société cliente et le salarié d’un tiers. Le fait d’ « infogérer » tout ou partie du SI ne décharge par les préposés de l’entreprise cliente de leur propre responsabilité.

-          66 - La responsabilité civile respective de l’infogérant et du client est régie par le contrat.

7 – Les questions essentielles :

Les moyens mis en oeuvre sur les systèmes d’information du prestataire utilisés pour s’interfacer avec le système d’information de l’organisme ne sont pas nécessairement adaptés, cohérents, voire compatibles, avec les moyens de sécurité déjà en place. Les personnes utilisant et manipulant le système d’information ne sont pas toujours connues de l’organisme. Sur le plan technique, les « privilèges d’accès » accordés au prestataire pour réaliser sa tâche sont, en général, particulièrement étendus en terme de sécurité et peuvent être utilisés pour s’introduire dans l’intégralité du système d’information.

-          71 – Dans l’élaboration de sa politique globale de sécurité, l’entreprise cliente a-t-elle prise en compte le périmètre GENERAL de sa structure ? Ce périmètre comprend l’entreprise dans son intégralité, les services excentrés, les partenaires contractuels, sous-traitants concernés par la chaîne de confidentialité…  (Pour mémoire, la POLITIQUE DE SECURITE (défense) dans l’entreprise est l’ensemble,  formalisé dans un DOCUMENT APPLICABLE, des directives, procédures, codes de conduire, règles organisationnelles et techniques, ayant pour objectif la protection du patrimoine informationnel de l’entreprise). Dans le cas présent, ce périmètre est important car il influence les  « brèches » dans le périmètre du systèmes d’information, espace de responsabilité. Une connexion à distance dans un système d’information doit être considéré comme un vulnérabilité supplémentaire et prise en compte (technique et organisationnelle – cf. 63) ) comme telle.

-          72 – Pour quel motif précis et quand cet accès direct peut-il être utilisé ?

-          73 – Qui a le droit d’utiliser cet accès direct (nominativement) ? (habilitations bien définies (cf.62), codes d’accès strictement personnels, engagement contractuel de confidentialité de ces codes, mise en œuvre d’une authentification forte ?, obligation pour le prestataire d’informer immédiatement de l’existence d’une fraude). Comment peut-on être sûr que cette entreprise ne va pas sous-traiter la maintenance à distance ? (moyens techniques, contractuels)

-          74 – A quoi ont accès ceux qui utilisent cet accès direct ? (limites d’accès dans le système d’information). Accès à des données classifiées ? DCP ? Périmètre technique défini par contrat et par mesures techniques (cf 62) ?

-          75 – Garde-t-on la trace de ces données de connexion ? (date, heure, identification / authentification, navigation, importation/exportation, modifications …) (Administration de la preuve numérique – traçabilité, imputabilité – Cf 63)

-          76 – L’entreprise cliente  s’est-elle impliquée directement dans l’organisation de la sécurité du prestataire et de cette connexion à distance (Cf 64) ?

-          77 – Cette  stratégie de protection/défense  peut notamment se développer autour  de  (Cf 63) :

o        la vérification régulière de la crédibilité, de la solvabilité et de la fiabilité des futurs partenaires et le suivi de l’évolution de ces paramètres (stratégie de veille),

o        la stratégie organisationnelle et l’élaboration d’un document de référence «politique de protection des informations» confiées à l’organisme (notamment les informations présentant une classification ou une mention particulière de protection) (stratégie organisationnelle),

o        la contractualisation de l’engagement des parties vis-à-vis des informations échangées (contrôle de l’absence de codes malveillants, règles de protection physique et logique des supports d’information et des moyens de connexion et de communication), stratégie organisationnelle développée pour lutter notamment contre le risque opérationnel,  appliquées en interne, le support d’échange et les moyens de protection contre la divulgation, l’intégrité …, et la vérification régulière de ces moyens (stratégie de sécurité juridique).

-          78 – Ces contrats devraient comprendre un volet SSI qui spécifie clairement les engagements du prestataire et de chacun de ses personnels concernés. Ils devront notamment spécifier très précisément :

o        Le périmètre et contenu exact des prestations attendues (obligation de moyens ou de résultat lorsque la reprise d’activité est essentielle),

o        les exigences de sécurité avec engagement du prestataire, la confidentialité, l’imputabilité d’éventuels incidents (traçabilité), la continuité du service, le délai de reprise, en cas de panne, une éventuelle clause de non retour des disques durs défectueux,

o        les procédures de contrôle du respect de ces exigences,

o        la possibilité d’évolution des exigences et des procédures, en conformité avec une évolution de la politique de sécurité ou de ses déclinaisons opérationnelles, et l’obligation pour le prestataire de se conformer à ces évolutions,

o        Les obligations des parties à l’égard de la loi informatique et libertés,

o        La prévision de l’évolution du contrat, la réversibilité (clause de retour) et les clauses de fin de contrat,

o        la nature des responsabilités et convention de preuve.

8 – Par ailleurs, outre la charte d’utilisation du système d’information et d’échange de données,  dont le canevas doit répondre à certaines exigences, des séances de sensibilisation/formation devraient être régulièrement organisées pour l’ensemble des personnels concernés (dés la mise en œuvre, puis tous les 2 ans au maximum), sur :

-          l’éthique (sens des responsabilités, respect de l’intérêt général, objectif d’atteindre une démarche de sécurité proactive),

-          la culture sécurité/sûreté (sécurité du système d’information / sûreté aéroportuaire), le traitement des incidents,

-          la culture juridique (droits et devoirs des acteurs de l’entreprise face au système d’information et aux données sensibles).

9 – Enfin, dans une démarche d’ « intelligence économique territoriale » (I.E.T.), encadré par une circulaire du ministère de l’Intérieur du 13/9/2005,  le plan régional de sécurité économique doit permettre d’identifier et d’accompagner les « entreprises sensibles ».

L’objectif de ce plan de sécurité est notamment d’impliquer les structures institutionnelles (services du Minefi, DCRI, Gendarmerie…) dans l’évaluation du niveau de protection des entreprises et dans la sensibilisation des responsables aux enjeux de l’intelligence économique.

Cette action semble aujourd’hui s’étendre tout naturellement à un grand nombre de PME qui, bien que n’étant pas concernées directement par l’un des secteurs stratégiques initialement prévus, présente tout de même une certaine sensibilité (d’origine interne ou externe).

Joseph Triquell

Le jeudi 26 mars prochain, de 8h30 à 10h30, la Jeune Chambre Economique d’Orléans organisera dans les locaux de la Chambre de Commerce et d’Industrie du Loiret, dans le cadre des Conférences du Martroi, une conférence gratuite destinée aux PME et TPE de la région Orléanaise ayant pour thème :

” Espionnage et pratiques déloyales … Votre entreprise est-elle à l’abri ? “

L’espionnage n’est plus un risque réservé aux grandes sociétés internationales.

Pour chaque entreprise, il est devenu impératif de savoir protéger son patrimoine informationnel.

La conférence mettra l’accent sur la protection du savoir-faire et du patrimoine informationnel, les risques de fuite des informations sensibles, ou encore les pressions exercées par la concurrence.

Les places sont limitées et uniquement sur inscription avant le 20 mars sur le site Internet de la

Jeune Chambre Economique d’Orléans.

Cette initiative se déroulera en partenariat avec la CCI du Loiret

et avec le soutien de Oliv’graphicdesign, Easyflyer et l’UDEL.

Pour toute question, vous pouvez contacter Sébastien GERARD au 06 07 17 66 48, par e-mail, ou laisser votre commentaire sur ICI.

Le jeudi 26 mars prochain, de 8h30 à 10h30, la Jeune Chambre Economique d’Orléans organisera dans les locaux de la Chambre de Commerce et d’Industrie du Loiret, dans le cadre des Conférences du Martroi, une conférence gratuite destinée aux PME et TPE de la région Orléanaise ayant pour thème :

” Espionnage et pratiques déloyales… Votre entreprise est-elle à l’abri ? “

L’espionnage n’est plus un risque réservé aux grandes sociétés internationales. Pour chaque entreprise, il est devenu impératif de savoir protéger son patrimoine informationnel.

La conférence mettra l’accent sur la protection du savoir-faire et du patrimoine informationnel, les risques de fuite des informations sensibles, ou encore les pressions exercées par la concurrence.

Les places sont limitées et uniquement sur inscription avant le 20 mars sur le site Internet de la Jeune Chambre Economique d’Orléans.

Cette initiative se déroulera en partenariat avec la CCI du Loiret et avec le soutien de Oliv’graphicdesign, Easyflyer et l’UDEL.

Pour toute question,veuillez contacter Sébastien GERARD

au 06 07 17 66 48 ou laisser votre commentaire sur cet article.

Stocker ses données en ligne…

L’intérêt est certain puisque outre le faible prix voire la gratuité, ce service permet de consulter, de modifier ses documents depuis n’importe quel endroit pourvu d’un accès internet, éventuellement de mettre à la disposition d’un tiers identifié certaines données utiles et pourquoi pas de faire une sauvegarde (bien utile en cas de vol du PC ou de panne de celui-ci).

Tout cela serait idéal dans le meilleur des mondes, mais voilà…

Les données internes, dites sensibles, d’une entreprise valent parfois beaucoup d’argent mais pas seulement et certains sont prêts à payer pour les obtenir, c’est dire…

Quelques précautions donc peuvent s’avérer utiles à l’utilisation du stockage en ligne pour certains types de données (celles que vous n’aimeriez surtout pas voir entre les mains de vos concurrents ou simplement diffusées).

Il est donc intéressant de se poser certaines questions :

- Le PC depuis lequel vous consultez vous documents n’est pas le votre ?

* Il est peut être infecté ou piégé (un “Keylogger” par exemple, permettra de retrouver vos mot de passe et identifiant et ainsi d’accéder à votre espace de stockage)…

- Vous vous connectez à un réseau WIFI ?

* Ce réseau est sécurisé ! oui, mais connaissez vous le temps nécessaire pour casser une clé WEP ?

- Le serveur de stockage:

* Où est il situé ? aux Etats unis, en Asie ?

Certains états sont capables de payer des hackers pour obtenir les informations stratégiques et économiques d’autres pays alors si ces informations sont déjà stockées chez eux…

* L’opérateur travaillant sur le serveur est il contre un complément de revenu pour lequel il n’aurait qu’à “sortir” quelques informations intéressantes ?

Aucune solution n’est parfaite mais il faut utiliser les outils adaptés, peser les avantages et les inconvénients de telle ou telle formule et toujours se poser les questions suivantes:

- Quels risques suis-je prêt à prendre ?

- Que vaut mon information sensible et que me coûterait le vol de celle ci ?

- Est ce que les moyens utilisés rendraient ce vol rentable pour le commanditaire ?

Sans tomber dans la paranoïa, il faut prendre conscience des possibilités, des éventualités, faire preuve de bon sens, se renseigner et dans le doute ne pas hésiter à consulter des professionnels qui sauront vous aider et vous présenter des solutions adaptées.

Article en rapport…

Loin des clichés mais aussi de l’insouciance, dans le contexte économique actuel, l’Espionnage Industriel est une réalité dont les entreprises Françaises font régulièrement les frais.

Les facteurs de vulnérabilité sont divers, et sans tomber dans la paranoïa, la prise de conscience, quelques précautions d’usage et une bonne dose de bon sens permettent souvent d’éviter le pire…

Voir : Le Parisien 28 avril 2008  “Gare aux espions dans les entreprises”

L’Espionnage Industriel peut coûter cher aux entreprises : fuite d’informations sensibles = savoir faire en danger ! Mais pas seulement : vols, déstabilisations, coulage, etc. sont monnaie courante.

Attention toutefois aux parades mises en place, quelques précautions sont nécessaires : l’utilisation de certains matériels est prohibée et les informations recueillies par leur biais sont inutilisables en justice.

L’Intelligence Economique dite “défensive” peut vous éviter certains pièges.

Dans tous les cas, un professionnel saura vous conseiller… En savoir plus