1 / 47

Externalisation

Externalisation. Les limites de l’infogérance en matière de sécurité 12 janvier 2005. Info gérer sa sécurité - Éric de Bernouis Les contraintes juridiques de l’infogérance sécurité – Raphaël Peuchot Externalisation, sécurité … témoignage – Françoise Bergame. SOMMAIRE. RIBEYRE & ASSOCIES.

merry
Télécharger la présentation

Externalisation

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Externalisation Les limites de l’infogérance en matière de sécurité 12 janvier 2005

  2. Info gérer sa sécurité - Éric de Bernouis Les contraintes juridiques de l’infogérance sécurité – Raphaël Peuchot Externalisation, sécurité … témoignage – Françoise Bergame SOMMAIRE RIBEYRE & ASSOCIES

  3. Info gérer sa sécurité Pour quelle confiance ? Éric de Bernouis

  4. Externaliser ou gérer soi-même ? Que faut-il infogérer ? Comment préparer une infogérance ? Quels services pour quelle confiance ?

  5. Traçabilité Confidentialité Authentification Exactitude Intégrité Disponibilité Non répudiation Externaliser ou gérer soi-même ?

  6. La croissance du marché des services sécurité : 34% par an * Un CA à horizon 2003 : 2 Billions de $ * Le marché des MSSP (Managed Security Services Provider) en 2000 : 400 millions de $ ** La perspective en 2005 : 1.7 Billions de $ ** Un marché pas encore mature Infogérance et sécurité : une réalité (Sources : * IDC, ** Yankee Group)

  7. Elles n'ont pas les ressources nécessaires pour gérer complètement la sécurité Elles n'ont pas la capacité d'évaluer convenablement les nouveaux produits de sécurité, de les intégrer dans leur système d'information, et de les gérer pour garantir leur efficacité dans le temps Elles réalisent qu'ellesne sont pas des sociétés de sécurité et qu'elles ne doivent pas oublier leur métier premier Elles sont conscientes que la sécurité de leur système d'information est une des clés de leurs succès futurs Pourquoi les entreprises font infogérer leur sécurité ?

  8. Elles n'ont pas une idée exacte de la valeur de leur patrimoine informationnel et ont des réactions paranoïaques Elles ne savent pas quelles fonctions infogérer et quelles fonctions conserver Elles n'ont pas confiance dans les sociétés d'infogérance Elles ont peur de perdre la main sur ce qu'elles craignent et qu'elles ne comprennent ou ne maîtrisent pas Pourquoi les entreprises n'infogérent pas leur sécurité

  9. Le MSSP Les services Le contenu des services Les préliminaires Comment aborder l'infogérance ? ?

  10. Fonctionnels Une politique de sécurité pour l'entreprise La connaissance des ressources à protéger L'évaluation des besoins d'une infogérance (stratégique, économique, technologique) Opérationnels Le choix des services info gérés L'existence d'un chef de projet interne (RSSI ou autre) Le choix du MSSP Les préliminaires à l'infogérance

  11. Expertise Fonctionnel Supervision Administration Conception Quels services infogérer ? ?

  12. Il s'agit de services liés à la connaissance la plus à jour possible des évolutions les plus récentes des technologies de la sécurité Services d'expertise La veille technologique Les services d'alertes de sécurité personnalisées Les audits réguliers de vulnérabilité Les tests intrusifs Quels services infogérer ? : expertise Expertise

  13. Il s'agit de services liés au suivi au quotidien des événements de sécurité survenant votre système d'information Services de supervision L'analyse de log avec bilan périodique des événements de sécurité L'analyse de log avec réaction a posteriori et recommandations L'analyse de log avec réaction à chaud La supervision en temps réel des composants de sécurité Quels services infogérer ? : supervision Supervision

  14. Il s'agit de services de délégation de responsabilité d'administration et d'exploitation de composants de sécurité à des tiers en interne ou à distance Services d'administration Les Firewalls, Proxies serveurs Les VPN Les mécanismes d'authentification renforcée La sécurité des services WEB La lutte anti virale Les mécanismes de certification Les ASP Quels services infogérer ? : administration Administration

  15. Il s'agit de services de délégation de responsabilité fonctionnelle de la sécurité à des tiers en interne principalement Services de conception Responsable sécurité Gestionnaire de risques Quels services infogérer ? : conception Conception

  16. Il s'agit du cas particulier des plans de reprise d'activité sur incident ou sinistre majeur Services de reprise Conception Fournisseur de solution de secours Test des plans Maintenance des plans Quels services infogérer ? : reprise d'activité

  17. Le MSSP est un partenaire dans lequel vous devez avoir d'abordCONFIANCE Image de marque et preuve (AFAQ, EQNET, Fédération des Professionnels des Tests Intrusifs) Pérennité et stabilité Solidité financière Démarche et compétences Services fournis Engagement, éthique et politique de gestion du personnel Le choix du MSSP

  18. La base de l'engagement : le SLA (Service Level Agreement) ou le contrat de service L'engagement du MSSP " Écrire ce que l'on fait et faire ce que l'on écrit "

  19. Le SLA doit obligatoirement contenir de manière très précise Le périmètre (services couverts, contenus, limites) Les responsabilités de chacun dans les différents domaines Les conditions de prise en compte de l'infogérance La durée, les prix et les clauses de réversibilité Les engagements et obligations du prestataire (Sécurité, Traçabilité, Livrables, Obligations légales, …) Les engagements et obligations du clients (Contrôle qualité, Direction de projet, Escalade, Obligations légales,…) L'engagement du MSSP

  20. Les points à prendre en compte plus particulièrement Conservez la maîtrise de votre sécurité Conservez la maîtrise de vos risques fonctionnels et technologiques Disposez d'un droit de contrôle complet sur votre MSSP dans le cadre de votre contrat Définissez très précisément les obligations sécuritaires du MSSP vis-à-vis de votre système d'information (confidentialité, disponibilité, intégrité, physique, ...) L'engagement du MSSP

  21. Infogérer une partie de sa sécurité permet de prendre en compte: la réduction des budgets informatiques la complexification des architectures client - serveur et Internet Infogérer une partie de sa sécurité permet de : recentrer l'activité de l'entreprise sur sa vocation première disposer pour autant d'un niveau de prestation élevé Mais infogérer une partie de sa sécurité, c'est : maîtriser ses besoins et ses risques mettre en œuvre un partenariat de confiance avec un prestataire formaliser précisément ce partenariat Conclusions

  22. Conclusions “ NE PAS PREVOIR C’EST DEJA GEMIR “ (Socrate) “ GAGNER, CE N'EST PAS ÊTRE LE MEILLEUR, C'EST SAVOIR S'ENTOURER DES MEILLEURS “ (Mac Arthur)

  23. Les contraintes juridiques de l’infogérance de sécurité Me Raphaël PEUCHOT, avocat, Ribeyre & Associés

  24. Sommaire Définition du périmètre technique de la prestation La gestion du contrat La clause de réversibilité Mérites et risques de la sous-traitance Responsabilité et assurance Gestion des sinistres

  25. la définition des besoins incombe au client - exigences de sécurité - degré de latitude dans les préconisations - niveau de sécurité attendu (qualification des obligations) une obligation générale d’information pèse sur le client - politique de sécurité - architecture technique et contraintes d’exploitation - périmètre contractuel préexistant le prestataire doit déclarer et garantir sa bonne information - obligation de conseil (et de critique) - engagement écrit 1. Le périmètre technique de la prestation d’infogérance

  26. la double finalité du contrat - la définition des obligations réciproques - la sanction des inexécutions le suivi contractuel - la bonne exécution de ses obligations par le prestataire - l’exécution conforme du contrat en interne 2. La gestion du contrat

  27. le cadre de la réversibilité - les cas de cessation du contrat - la procédure collective du prestataire les exigences de réversibilité - la continuité de service - la confidentialité et l’intégrité des données - l’absence de toute rétention les modalités techniques et financières - le plan de réversibilité - le transfert de savoir-faire - le coût de la réversibilité 3. La réversibilité du contrat d’infogérance

  28. le régime juridique de la sous-traitance - notion et modalités - l’agrément - le paiement direct les intérêts de la sous-traitance - la complémentarité des compétences - l’unicité d’interlocuteur (maître d’œuvre) les risques de la sous-traitance - la mauvaise définition des rôles - la sous-traitance non déclarée - la gestion déficiente de la chaîne de sous-traitance 4. Mérites et risques de la sous-traitance

  29. fondement de la responsabilité : l’inexécution contractuelle - inexécution d’une obligation - inexécution partielle - inexécution totale les conséquences de la responsabilité - la faille de sécurité méconnue - le préjudice - l’atténuation de la responsabilité l’assurance des prestations d’infogérance de sécurité - l’assurance de responsabilité civile - l’assurance dommage 5. Responsabilité et assurance

  30. les situations de crises - qualification - plan de réaction la préservation des preuves - modalités et utilité - suites contractuelles et/ou judiciaires 6. La gestion des sinistres

  31. Externalisation, sécurité… Témoignage Françoise BERGAME Janvier 2005

  32. Mission • EM LYON est une institution européenne dans la tradition des «Grandes Écoles Françaises» dédiée à l’apprentissage du management international tout au long de la vie. • Sa mission consiste à accompagner le développement des individus et des entreprises au travers d’une gamme de programmes et de solutions – de la formation initiale pour étudiants à la formation continue pour cadres dirigeants. • Son expertise repose sur des formations à la fois académiques et en prise directe avec les réalités de l’entreprise soutenue par une recherche pertinente. • Son identité s’appuie sur une tradition d’innovation pédagogique et d’approche entrepreneuriale de la formation au management.

  33. Profil • 1872 – création de l’Ecole par des industriels de la Chambre de Commerce et d’Industrie de Lyon • 1997 – le Groupe ESC Lyon devient EM LYON – Ecole de Management de Lyon • 30 000 m2 de bâtiments situés dans une domaine de 6 hectares • 2 résidences universitaires • 2 sites de formation : le campus de Lyon-Ecully et le Centre de Formation de Paris • 30 millions d’euros de budget de fonctionnement • 2 200 étudiants dont 25% d’étrangers • 5 000 cadres d’entreprise en éducation permanente par an • 300 salariés dont 80 professeurs • 400 intervenants (professeurs, consultants ou responsables d’entreprise) • 12 500 diplômés • 87 universités ou Business Schools étrangères partenaires

  34. Classements et Accréditations • N°4 du Classement Grandes Ecoles du Magazine l’Etudiant (décembre 2003). • N°17 en Europe pour l’International MBA par The Economist (septembre 2003) • N°37 dans le monde pour les programmes sur-mesure en formation permanente par The Financial Times (mai 2004) • Accréditée EQUIS par l’EFMD (European Foundation for Management Development) • Accréditée AMBA (Association of MBAs) pour les programmes EM LYON International MBA et EM LYON Executive MBA) • Accrédité AACSB (Association to Advance Collegiate Schools of Business)

  35. Organisation orientée-client Comité Executif Faculté et recherche Carrières et Partenariats Drh, Daf, Dmc, Dsit… Des programmes de formation initiale adaptés à chaque profil > Programme ESC (Bachelor & Master of Science in Management) > Master in European Business > Mastères Spécialisés Des programmes et séminaires pour créateurs ou repreneurs d’entreprises > Programme d’Appui à la Création d’Entreprise > Programme Reprise d’Entreprise > Séminaires pour Dirigeants Propriétaires > Séminaires et conférences > Programmes sur-mesure  Accompagner les entreprises dans le développement de leurs compétences > Programmes MBA > Individual Learning Solutions : diplômes, certificats, séminaires > Corporate Learning Solutions : Programmes sur mesure  > Programmes Linguistiques > Solutions e-learning

  36. Activité et projets DSIT • Schéma directeur, politique sécurité, reporting, indicateurs, budget… (3 BU, Lyon, Paris, résidences…) • Assistance au personnel • Formation au personnel • Assistance participants, salles de cours, jeux pédagogiques • Administration, exploitation… • Projets Urbanisation des SI • modèlisation process, • modèlisation architecture • annuaire, EAI, WebServices. • couche décisionnelle • Projets SI • Evolution du campus virtuel et jeux pédagogiques. • Evolution du SIcontrôle de gestion, • Gestion de la relation client (partenaires, prospects, clients,anciens), • Fidélisation, Mail à vie • Maintenance • évolutive et corrective • Projets postes de travail • Projets Infrastructures • Migration messagerie • Sauvegarde, supervision, QoS • Nouveau réseau Wifi 2G • Nouveau réseau filaire 2G • Réseau LyRE • e-center • Nouvelles Techno : Umts, • WebTv, Web radio…

  37. Organisation D.S.I.Tinterneexterne Ingénieur Exploitation CdP Système CdP Réseau/Télécom Responsable Assistance/Postes Technicien d’assistance Technicien d’assistance Technicien d’assistance Technicien d’assistance Directeur Assistante Achat/Gestion Responsable Formation/Communication Responsable du service Etudes et Projets Responsable du service Réseau Système Maintenance CdP SI de Gestion CdP Campus Virtuel CdP Internet/Intranet CdP Assistance MOA Technicien TMA Ingénieur TMA Réalisation d’application mode projet Mise en place Infrastructure, mode projet Hébergement Infrastructure Campus Virtuel Assistance utilisateur aux participants

  38. Les raisons de cette répartition • Politique Rh de la DSIT : • plus d’embauche de profils «technicien d’assistance», difficulté à proposer des évolutions de carrière… • Pas d’embauche des profils Chef de projet «Réseau/Système» car grands chantiers, mais à durée limitée. • Volonté de conserver en interne les Chefs de projet «Etudes et Projets» (cœur de métier), les pilotes d’activités (chefs de service, Directeurs de projets) • Prise en compte de l’historique, des équipes internes et externes en place, de leur compétence, de leur désir d’évolution… Du rythmenécessaire pour de telles conduites de changement. Points faibles - Ne colle plus à notre Schéma Directeur - Mixte interne/externe sur certains domaines - Zone de responsabilités non toujours claires - Sociétés partenaires nombreuses Points forts - Connaissance terrain forte - Esprit d’équipe interne/externe

  39. Équipe permanente sur site, Répartition de l’effectif.

  40. Répartition coût externe/interne

  41. Externalisation : nouvelle cible • Changement du périmètre du Système d’Information : • Campus virtuel et e-learning, • Informatique des entreprises clientes, • Anciens participants, mails à vie, portail à vie… • Importance grandissante de la maîtrise des coûts, des niveaux de service, des niveaux de sécurité (confidentialité, fiabilité, pérennité…) • Rythme élevé de l’évolution des nouvelles technologies • Exigence grandissante :public international (maîtrise de l’anglais), informatique très sollicitée (24/24h, 7j/7) • Évolution de la politique RH globale de l’entreprise, désir de se concentrer sur les fonctions cœur de métier.

  42. Organisation D.S.I.T cible • En externe : • Assistance technique (personnel et étudiant) • Réalisation applicative, paramétrage progiciel • Mise en œuvre projet Infrastructure, postes de travail • meilleures maîtrises des coûts, des niveaux de services par BU • plus grande prise de responsabilité de la ssii • meilleure évolution des profils techniciens • meilleure tenue des délais sur les gros chantiers • meilleure visibilité sur les coûts • engagement, garantie de la ssii, de l’éditeur • concentration de nos équipes sur l’accompagnement • des équipes fonctionnelles, les validations… • maîtrise délais, coûts • compétences spécifiques difficiles à avoir • concentration de nos équipes sur le pilotage

  43. Organisation D.S.I.T cible • En externe : • Hébergement des serveurs destinés à un public large (messagerie à vie, campus virtuel destiné aux entreprises clientes…) • Hébergement application non cœur de métier (paye…) • 7j/7, 24/24h impossible en interne • volume trop important, à terme, pour nos équipes internes, • exigence sécurité (disponibilité, fiabilité…) • fortes pour les entreprises clientes • engagement contractuel externe • gestion interne non rentable, • mobilisant nos ressources sur des domaines • où ils n’apportent pas de valeur ajoutée • exigences sécurité pouvant être fortes

  44. Organisation D.S.I.T cible • En interne : • Pilotage niveau Direction : Schéma Directeur, Politique Sécurité, Budgets… • - Pilotage activités des Services : Etudes & Projet, Maintenance applicative, Infrastructure, Assistance/Poste de travail. • - Pilotage projets de mise en œuvre • - Assistance à maîtrise d’ouvrage • - Hébergement applications cœur de métier, stratégiques • meilleure connaissance des orientations stratégiques Entreprise, DSIT, • meilleure connaissance des priorités, des enjeux et risques • meilleure connaissance des métiers : • interlocuteurs, process existants, process cibles… • meilleures gestion multi-projets, gestion des priorités • appel à l’extérieur restant possible : conseil, expertise, accompagnement… • maîtrise globale de l’infrastructure, • maîtrise de son administration et exploitation (sécurité, réactivité, évolution…)

  45. Organisation D.S.I.T cible • Mixte Interne/Externe : • Conception d’architecture, de solutions, veille • Exploitation, Administration, Sécurité • Maintenance applicative • besoin d’une bonne maîtrise des architectures existantes, des choix passés…. • besoin d’une bonne connaissance des nouveautés du marché • prise en compte de l’organisation existante, des équipes existantes, • études d’externalisation non encore menées, • priorité donnée aux études d’externalisation de l’assistance, • de l’hébergement.

  46. Zoom sur les aspects sécurité • Politique sécurité définie en interne, pilotage des actions sécurité en interne, mais appel à l’expertise et à la technicité des prestataires. • Le dialogue interne/externe : levier pour améliorer la sécurité. • Vigilance sur les contrats de prestation externe, d’hébergement externe (définition des périmètres de responsabilité, clauses de réversibilité, de confidentialité) • Fort partenariat avec les prestataires externes, travail sur le long terme, niveau de confiance mutuelle élevée. • Clients finaux : décideurs d’aujourd’hui et de demain. • Partenaires Taxe d’apprentissage, Stages/Emplois, participation dans la pédagogie…

  47. Conclusions • L’externalisation des serveurs et applications a été guidée par la recherche d’une plus grande sécurité • plus grande disponibilité • meilleure fiabilité, meilleur plan de secours • confidentialité respectée • Mais moins bonne réactivité… • L’externalisation de prestation a davantage été guidée • par des aspects RH • par la recherche de la meilleure répartition des compétences, des charges • Le travail sur les contrats a renforcé notre sensibilisation sur les aspects sécurité au sens large. • CLUSIR

More Related