Les entreprises et les administrations peuvent choisir de confier à un tiers tout ou partie d’une activité qui pourrait être réalisée en interne. Dans le domaine des systèmes d’information (SI), cette externalisation est appelée infogérance. Ces prestations peuvent induire, en fonction du contexte dans lequel elles sont réalisées, des risques pour le système d’information comme pour les données (intégrité, disponibilité, confidentialité). On identifie trois grands domaines de risques (plus d’informations à l’intérieur) :
– la perte de maîtrise du système d’information ;
– les interventions à distance ;
– l’hébergement mutualisé.
Pour autant, externalisation et sécurité des systèmes d’information ne doivent pas être opposées, et le recours à un prestataire est même souhaitable lorsque les compétences en interne sont absentes ou insuffisantes. Parce qu’il est indispensable, dans toute opération d’externalisation, de faire appel à des prestataires qui s’engagent sur la sécurité, l’ Agence nationale de la sécurité des systèmes d’information (ANSSI) propose un guide de l’externalisation, qui vous aidera à maîtriser les aspects de sécurité dans les marchés d’infogérance. Le guide propose une démarche pour apprécier les risques et fixer les exigences qu’appelle le contexte de l’entreprise, afin de garantir la sécurité de son système d’information et des données qu’il traite. Il s’appuie pour cela sur le plan d’assurance sécurité et fournit des clauses types permettant d’obtenir du prestataire des engagements contractuels.
> Le guide est téléchargeable ici
Commentez