6 recommandations méthodologiques pour une bonne gestion d’un projet de sécurisation des infrastructures ICT dans un contexte de forte externalisation d’un système d’information

Les DSI choisissant l’externalisation de leurs services ICT, ne doivent pas négliger les fondamentaux de la sécurité, notamment dans les phases de mise en œuvre et d’exploitation d’infrastructures de sécurité. Parmi ces fondamentaux, il s’agit ainsi de prendre en compte : – la disponibilité pour assurer des services continus et dans des conditions de PRA,

– l’intégrité des données et l’identification des risques de corruption,
– la confidentialité avec la gestion des identités, de leurs droits et de leurs privilèges,
– la traçabilité pour bénéficier d’une surveillance générale du système d’information et de preuves lors de la survenance d’une attaque.

De manière particulière et associée au retour d’expérience des approches en sécurité, au sein de la Ville de Issy-les-Moulineaux, nous pouvons conclure à 6 grandes recommandations.
Au sein d’une collectivité, les services publics entrepris sont extrêmement variés (état civil, patrimoine immobilier, espaces verts, voirie, éducation, sport, culture,…) et répondent à diverses attentes des citoyens résidents, des entreprises présentent sur leurs communes, de leurs pairs (communautés de communes et d’agglomération). Les utilisateurs (grand public, élus, agents territoriaux) d’un système d’information d’une collectivité ont tous ont un point commun : Le système d’information doit être accessible, simple d’usage pour apporter de l’efficacité aux services rendus…et au vu du nombre de profils existants et des volumes de connexions journaliers, il doit être particulièrement bien sécurisé.

RECOMMANDATION n°1 – Fluidifier la gestion des changements

Pour une DSI, il est important de ne pas subir la pression des acteurs « métier » au détriment de la maitrise de la sécurité. En effet, ces deux acteurs possédant respectivement des contraintes de production et des niveaux de services, il est primordial d’adopter une posture de gestion des changements sans « coutures ».

Le « métier » porte la production de son entité tandis que la DSI est garante de la bonne tenue des infrastructures et des processus en respectant les contraintes intrinsèques à son secteur d’activité. L’enjeu est donc d’obtenir le meilleur rapport entre le temps de mise en œuvre des changements et la qualité de la solution mise en place. La communication et la sensibilisation prennent une place importante dans cette quête de collaboration efficiente entre acteurs « support » et « métier ».

RECOMMANDATION n°2 – Positionner le curseur au bon endroit

Ceci signifie que selon les contextes, les objectifs fixés et les budgets, un projet en sécurité se construit par étape. L’apparition de nouveaux processus amène de nouvelles pratiques tant pour les utilisateurs que pour les exploitants d’une DSI. Il est important de définir des métriques par objectif et par niveau de criticité et ainsi avancer avec échelonnement.

RECOMMANDATION n°3 – Anticiper l’exploitation

Qu’il soit question de création, d’évolution, ou de migration d’infrastructures, il faut bâtir un projet de sécurité informatique en incluant deux composantes complémentaires : celle réservée à l’intégration d’équipements et celle inhérente à leurs exploitations… L’une ne pouvant exister sans l’autre. En effet, il s’agira ici aussi de bien appréhender la construction du modèle OPEX qui garantira in fine la pérennité des investissements qui seront réalisés (penser au fonctionnement opérationnel dans le temps d’un projet, aux processus de gestion des plates-formes, aux transferts de compétences…)

RECOMMANDATION n°4 – Veiller à rester pragmatique/Ou privilégier la simplicité

Les règles de sécurité (cloisonnement, filtrage entre zone…) et les procédures d’exploitation doivent être compréhensibles et documentées. Ce point est d’autant plus critique et utile dès lors qu’un SI est fortement externalisé où différents prestataires (éditeurs) doivent garantir, selon des contraintes de SLA négociés, des interventions de maintenances logicielles sur le système d’information. La rationalisation des systèmes est un levier pour conserver un bon niveau de cohérence et de simplicité, l’idée par exemple d’adopter une approche « best of breed » est en effet de moins en moins pertinente car l’expérience a prouvé que les principales causes de manquement aux politiques de sécurité et aux bonnes pratiques viennent des erreurs humaines.

RECOMMANDATION n°5 – Challenger la sécurité !

Au-delà des tests réguliers à réaliser pour vérifier le bon fonctionnement d’un équipement de sécurité, c’est tout le principe de sécurité général qu’il faut challenger en mettant à l’épreuve son installation, ses règles et ses processus. Ce principe permet de remettre en question des procédures qui ont été légitimes au moment de leurs conception mais qui dans un fonctionnement général ultérieur ne sont plus suffisantes et peuvent présenter à terme un risque pour le système d’information. La mise en place d’un SOC est un élément primordial pour mesurer l’efficacité et alimenter le processus d’amélioration continue. Il permet de donner de la visibilité sur le niveau de sécurité dans le temps et aide à le corriger si nécessaire.

6/ RECOMMANDATION n°6 – Inclure l’expérience utilisateur

Pour toute solution de sécurité mise en place à destination de différents type de public, il est primordial de prévoir son adoption, que ce soit un processus, une règle ou un outillage. Nous parlons de conduite de changement, de sensibilisation, d’intelligibilité ou d’ergonomie. En effet le public visé n’est pas forcement versé dans la sécurité informatique et dans ce cas la performance de la solution proposée est toujours régit par l’utilisation qui en est faite.

Stéphane Nouvellon, expert en sécurité informatique chez SPIE Communications