wallix.fr

Les risques liés à l'externalisation des équipes IT

Par Marc Balasko, Consultant technique senior de Wallix

Depuis les 5 dernières années, de grandes sociétés françaises ont décidé d’externaliser tout ou partie de la gestion de leur parc informatique via des prestataires dont les centres de services sont basés dans des pays émergents (Inde, Maroc...). Le principal avantage de cette opération est budgétaire : une entreprise française pourrait ainsi réaliser près de 50% d’économie en faisant le choix de l’externalisation.

Toutefois, l’utilisation intensive de centres de services basés à l’étranger présente de nombreux défis dont le principal est un turn-over très rapide. Par exemple, le taux annuel de turn-over des salariés d’Infosys était de 25% en 2010 (source Infosys) !

Ce chiffre très élevé a pour principale conséquence un niveau technique des équipes souvent moyen en raison du nombre important de techniciens débutants. La conséquence directe étant de fortes probabilités d’erreurs de manipulation lors des opérations de maintenance. En complément, compte tenu compte tenu des faibles salaires des personnels du prestataire et de la valeur des informations accessibles, il existe un risque élevé de fuites d’informations.

Ces différents éléments font que l’externalisation est souvent envisagée avec une certaine inquiétude par les RSSI qui sont confrontés à ce cas de figure... mais alors que peut un RSSI face à un DAF !!!

En effet, les dispositifs traditionnels de sécurité informatique s’appuient sur la notion de sécurité périmétrique (le principe du château-fort) or le principe d’externalisation donne, de facto, l’accès à tous les éléments du système d’information, y compris les plus critiques, aux employés des prestataires. La maîtrise des risques liés à ces prestataires devient donc complexe...

La mise en place d’un tel projet nécessite une réflexion approfondie sur la politique de sécurité du système d’information avec un focus sur la gestion des droits d’accès des prestataires et sur les moyens de contrôle des opérations effectuées. Faire des économies oui, mais en évitant de multiplier les risques informatiques c’est mieux.

Pour prendre une analogie, il faut passer du modèle de sécurité du château-fort – on se protège des menaces venant de l’extérieur mais on n’exerce quasiment aucun contrôle à l’intérieur de l’enceinte – à celui de l’aéroport, où les niveaux de sécurité et de contrôle varient en fonction des zones (ex : accéder à la tour de contrôle nécessite des accréditations bien plus élevées de celles nécessaires pour accéder à l’aérogare).

Il est donc de la responsabilité du RSSI d’effectuer une analyse poussée des risques en termes de fuite d’information ou bien d’erreur de manipulation et des conséquences financières qu’ils peuvent engendrer. Son avis pèsera ainsi plus fort sur les choix de l’entreprise en matière d’externalisation du SI et dans ses recommandations en matière de gestion des risques associés.

Après cette analyse, l’application d’une politique spécifique de sécurité pour le prestataire – avec une discrimination des droits en fonction de l’équipement cible ou du compte cible, ainsi qu’une traçabilité totale des actions du prestataire – sera alors envisageable.

A propos de l’auteur

Marc Balasko a rejoint Wallix en 2007 en tant que Chef Produit / Ingénieur avant-vente. En tant que consultant technique Senior,il est également impliqué dans la stratégie marketing produit.
Diplômé de l’École Supérieure de Commerce de Toulouse avec une spécialisation « Business to Business marketing », puis Chef Produit marketing chez Azlan, Chef produit Réseaux & Sécurité chez RISC Technology en 1998, il est en charge des solutions Check Point, Nokia et RSA Security. CESMO Consulting de 2000 à 2002, Puis OXYAN Software pour prendre en charge la définition de la stratégie produit, la veille technologique & concurrentielle et l’organisation des campagnes marketing.