07/12/2025
IT-Connect » Cours - Tutoriels » Cybersécurité » Sécu’ en bref – ANSSI : l’externalisation des SI

Sécu en bref - Externalisation des SI
Cybersécurité

Sécu’ en bref – ANSSI : l’externalisation des SI

Mickael Dorigny 0 commentaire

I. Présentation

Cet article décrypte les points clés du guide ANSSI "Externalisation et sécurité des systèmes d’information : un guide pour maîtriser les risques" pour vous aider à maîtriser les risques de l’externalisation, et vous donner envie d’approfondir !

L'idée de vous exposer les principales idées de ce document pour vos besoins opérationnels, mais aussi de vous donner envie de le lire pour mieux comprendre cette thématique.

L'objectif principal de ce guide publié par l'ANSSI est d'exposer les risques liés aux opérations d'externalisation, de fournir une démarche pour gérer ces risques ainsi que des exemples de clauses types à intégrer aux contrats d'externalisation.

II. Rappel des termes

Pour mieux comprendre le contenu de ce guide, il faut rappeler les principales idées citées dans celui-ci :

  • Externalisation : démarche consistant à confier à un tiers tout ou partie d’une activité qui jusqu’alors était réalisée en interne.
  • Infogérance : externalisation appliquée au domaine des systèmes d'information.
  • Hébergement mutualisé : héberger plusieurs services sur un seul et même serveur, afin de rationaliser les ressources entre utilisateurs/clients.

Cette infogérance se décline en plusieurs formats selon le périmètre ou les services souhaités (non exhaustif) :

  • MCO : maintien en condition opérationnelle ;
  • MCS : maintien en condition de sécurité ;
  • TMA : tierce maintenance applicative ;
  • SAAS : Software as a service ;
  • MSSP : Managed Security Service Provider ;
  • etc.

Il existe trois grandes catégories d'infogérance :

  • Gestion d’infrastructures : maintenance d’un parc informatique, de l’hébergement, de l’administration de serveurs, de la supervision d’équipements réseau et de sécurité, de la gestion de baies de stockage ou de solutions de sauvegarde, etc.
  • Gestion des applications : support fonctionnel, maintenance préventive ou corrective, et gestion des évolutions. Souvent pour les appli web et les ERP.
  • Hébergement de service : hébergement et gestion d'une application utilisée comme un service, accessible le plus souvent par le biais d’un navigateur web ou d’une application spécifique.

III. Les risques de l'externalisation

L'externalisation est généralement une opportunité pour faire mieux et plus rapidement pour une entreprise, néanmoins, de nombreux risques sont à considérer et à gérer au plus tôt dans son déploiement.

A. Risques liés à la perte de maîtrise de son système d'information

Externaliser tout ou partie de son SI ou d'un service, c'est en partie perdre la main sur celui-ci. Cette perte de contrôle entraine plusieurs risques sur le moyen et long terme :

  • Perte des compétences internes pour adapter le SI à l'entreprise.
  • Perte de poids dans les prises de décision liées aux changements souhaités sur le composant externalisé.
  • Risque d'incapacité à revenir en arrière, créant une dépendance forte vis-à-vis du prestataire.

Également, un service/SI externalisé est mécaniquement hébergé en dehors de l'entreprise, ce qui pose la question de la localisation des données. Celle-ci peut parfois être inconnue ou difficile à déterminer (Cloud, backup externe, etc.), bien que cela puisse être vital. Les risques liés à ce facteur sont la fuite de ces données par manque de maitrise, la difficulté à se conformer à certaines normes de sécurité ou à auditer/contrôler leur exposition réelle, et donc à la renforcer.

Cette maitrise des données et leur gestion porte aussi sur les données à caractère personnel (de vos salariés ou de vos clients). Leur traitement, stockage et transmission sont soumis à différentes normes et réglementations (RGPD, notamment) qu'un sous-traitant se doit de respecter. Le risque de l'externalisation est que ces données personnelles soient traitées comme n'importe quelles autres données, sans tenir compte de leur sensibilité durant leur traitement, stockage et transmission.

Enfin, les choix techniques du prestataire peuvent directement impacter la sécurité de vos données ou de votre entreprise. Ceux-ci étant réalisés en fonction de facteurs différents des vôtres (économiques principalement). Ainsi, des limitations en termes de sécurité peuvent apparaitre et mettre en danger les systèmes d'informations gérés par les prestataires.

B. Risques liés aux interventions à distance

Bien que pratique pour permettre l'intervention rapide et à distance des prestataires d'infogérance, la mise en place d'un accès distant à votre SI représente des risques certains qu'il faut également considérer. Les principales mauvaises pratiques observées sont par exemple l'établissement d'une liaison permanente entre votre SI et le prestataire (une autoroute pour les attaquants), l'absence d'authentification multifacteur, l'utilisation de mots de passe par défaut, des solutions d'accès distant obsolètes et vulnérables, une absence de traçabilité des actions (qui est intervenu, sur quoi et pourquoi ?), etc.

Ainsi, l'accès distant mis à disposition à des fins pratiques peut vite devenir une porte d'entrée privilégiée par les attaquants, car conçu pour accéder à tout sans que personne se demande pourquoi. Également, l'absence de contrôle sur les interventions et le périmètre d'action permet un abus de la part du technicien d'infogérance, qui peut alors accéder à des données confidentielles ou effectuer des actions non souhaitées sans être tracé.

Recommandation techniqueDescription
Anticiper et validerDemande aux entreprises candidates un descriptif précis de leurs dispositifs de télémaintenance et des mesures de sécurité associées
Analyse des risquesRéaliser une analyse des risques complète pour formaliser les objectifs de sécurité, les risques et les mesures associées pour s'en protéger
PasserelleMise en place d'une passerelle sécurisée, maitrisée par l'équipe interne, pour authentifier, autoriser et tracer les accès d'infogérance.

C. Risques liés à l'hébergement mutualisé

L'hébergement mutualisé permet de rationaliser les coûts, mais apporte aussi des risques, car une attaque sur l'une des applications hébergées par le serveur mutualisé peut impacter l'ensemble des applications (dont la votre) :

  • Perte de disponibilité : attaque par déni de service provoquant un crash, une saturation des données ou une suppression des données.
  • Perte d'intégrité : une intrusion d'un attaquant sur le serveur hébergeant l'ensemble des applications du serveur mutualisées permettant un accès à votre application et vos données également.
  • Perte de confidentialité : héberger ses données sur le même serveur physique que d'autres applications/clients peut entrainer des fuites d'informations en cas d'intrusion, de vulnérabilité ou de mauvaise configuration des droits.

Pour se protéger, il convient dans un premier temps de peser le pour et le contre de l'hébergement mutualisé au regard des exigences de sécurité et de l'importance des données traitées. Également, le contrat passé avec le prestataire externe doit prévoir les mesures et garanties de sécurité (prévention d'une attaque, MCS) mais aussi les réactions prévues en cas d'incident. Cela inclut par exemple la transparence des informations fournies, la livraison des logs (journaux) d'évènements relatifs à vos données dans le cadre de l'incident, etc.

Les 3 piliers des risques de l’externalisation

IV. Prise en compte de la sécurité dans les appels d'offres

Opter pour un prestataire externe, c'est mécaniquement perdre le contrôle sur les mesures techniques de sécurité pouvant être mises en place pour sécuriser son SI. Ainsi, la majorité des recommandations du guide porte sur les bonnes pratiques pour intégrer la sécurité lors de l'appel d'offres et du contrat passé avec les prestataires externes. L'idée principale étant de blinder ces deux éléments afin de sélectionner le meilleur prestataire en fonction de ses garanties de sécurité, mais aussi d'avoir les moyens juridiques pour réagir en cas de non-respect des exigences de sécurité.

Dans le cadre du projet d’infogérance, une analyse des risques du système d’information s’impose. Cette démarche vise à identifier, évaluer et prioriser les menaces, mais permet aussi de cartographier les actifs critiques de l’entreprise, d’analyser les risques associés et de définir les mesures de sécurité adaptées (évitement, réduction, transfert ou acceptation) pour en maîtriser les impacts.

La rédaction du cahier des charges auquel devra répondre le prestataire d'externalisation ou d'infogérance permet de déterminer les exigences de sécurité souhaitées. Il doit absolument mentionner le PAS (Plan d'Assurance Sécurité), un document qui doit être rédigé et fourni par le prestataire candidat pour décrire l'ensemble des mesures mises en place dans le cadre de son infogérance pour répondre aux exigences de sécurité de l'appel d'offres. Pas de PAS = pas de garanties de sécurité : vous pourrez difficilement exiger des actions du prestataire en termes de sécurité si ce n'est pas mentionné dans l'appel d'offres et le contrat.

Exemple d'exigence de sécurité d'un appel d'offre d'externalisation.
Exemple d'exigence de sécurité d'un appel d'offre d'externalisation.

C'est en lisant ce document et en l'incluant dans la liste des documents contractuels qu'une entreprise pourra avoir des garanties de sécurité valables en cas de pépin.

Enfin, il convient d'inclure différentes clauses de sécurité dans le contrat passé avec le prestataire externe. Ces clauses doivent par exemple porter sur les obligations du prestataire, les modalités de transfert du système, la définition des responsabilités, la confidentialité, la localisation des données, les audits de sécurité, la réversibilité, etc.

Ces clauses contractuelles de sécurité sont très importantes et doivent être utilisées en fonction du type de prestation externalisée. Le document de l'ANSSI contient en annexe des exemples pouvant être inclus dans les contrats, je vous encourage fortement à les consulter et à vous en inspirer.

5 bonnes pratiques pour sécuriser son externalisation

V. Conclusion

C'est tout pour ce format court ! Je vous rappelle qu'il ne s'agit que d'un résumé qui vise à vous donner une synthèse et une idée de ce qui est mentionné dans le document. Si vous souhaitez avoir des informations plus complètes et précises, je vous invite à lire le document complet de 56 pages directement sur le site de l'ANSSI :

Il vous permettra notamment de vous attarder plus longuement sur les recommandations proposées par l'ANSSI et de consulter les différents exemples de clauses proposées en annexe.

N'hésitez pas à nous dire dans les commentaires si vous souhaitez d'autres articles de ce type, mais aussi si vous avez mis en place (ou auriez dû mettre en place) les bonnes pratiques de ce guide !

author avatar
Mickael Dorigny Co-founder
Co-fondateur d'IT-Connect.fr. Auditeur/Pentester chez Orange Cyberdéfense.
Voir la bio complète
social network icon
Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Envoyer par mail

Vous pourrez aussi aimer

Quels sont les points à vérifier pour déployer une stratégie de mots de passe

Quels sont les points à vérifier pour déployer une stratégie de mots de passe ?

Mickael Dorigny 0

Comment durcir la configuration de son serveur SSH ?

Geoffrey Sauvageot-Berland 2
Sweepatic - Surveillance Dark Web - Surface d'attaque externe

Évitez les cyberattaques avec Sweepatic : surveillance du Dark Web et de la surface d’attaque externe

Florian BURNEL 0

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur la façon dont les données de vos commentaires sont traitées.