• Aucun résultat trouvé

La Lettre Sécurité. Comment démystifier les risques du Cloud computing? Édito. n 31. La sécurité de l information, au service de la relation clients

N/A
N/A
Info
Télécharger
Protected

Academic year: 2022

Partager "La Lettre Sécurité. Comment démystifier les risques du Cloud computing? Édito. n 31. La sécurité de l information, au service de la relation clients"

Copied!
8
0
0

Chargement.... (Voir le texte intégral maintenant)

Texte intégral

(1)

Comment démystifier les

risques du Cloud computing ?

La sécurité est un sujet récurrent lorsque l’on parle de Cloud, à tel point qu’elle est devenue pour de nombreux fournisseurs un argument de vente.

La question de la protection des données transmises, traitées et sauvegardées apparaît notamment comme cruciale. Ces points pré- occupent aujourd’hui les experts techniques, les managers d’information, et parfois même les directions des entreprises.

Le Cloud est-il sûr ? Que risque-t-on en l’adoptant ? Comment y assurer la sécurité de ses données ?

Un service moins cher n’est pas forcément moins sécurisé

Il faut voir les risques liés au Cloud comme proches de ceux existants sur l’externalisation et la virtualisation avec en particulier la perte de contrôle de ses données et les risques liés aux technologies utilisées (virtualisation des systèmes et des réseaux, automatisation d’un certain nombre de tâches, etc.).

Pourtant, de manière générale, nous consta- tons en France que le niveau moyen de sécurité des services Cloud est au-dessus du niveau moyen de sécurité des entreprises.

Plusieurs facteurs expliquent cela.

Le fait de fournir un service informatique à l’état de l’art (et donc sécurisé) est le métier des acteurs du Cloud. Chez la plupart d’entre eux, la mise en place et le respect des procé- dures de sécurité fait l’objet d’une attention particulière. Par ailleurs, ils proposent un service industrialisé à de nombreux clients : les bonnes pratiques exigées par l’un peuvent souvent être appliquées à tous.

Ces fournisseurs sont, enfin, plus exposés que la moyenne des entreprises, et ont de vrais enjeux en termes d’image : la décou- verte de faiblesses de sécurité amène en général à une correction rapide.

Inversement, si un mécanisme de sécurité n’est pas offert par un fournisseur (de base ou en option), il sera malheureusement dif- ficile de l’obtenir : en sécurité comme pour les autres fonctionnalités, les offres Cloud manquent souvent de souplesse.

Attention cependant, contrairement à une idée répandue, toutes les offres Cloud ne se valent pas : de véritables différences peuvent exister d’un fournisseur à un autre.

Suite en page 2 DÉCRYPTAGES

Cybersécurité, l’État investit ! Pourquoi les entreprises n’en font-elles pas autant ? L’État prend actuellement à bras le corps le sujet de la cybersécurité. La loi de program- mation militaire concrétise ces initiatives en apportant des changements importants dans la posture de l’État, en particulier en imposant de nouvelles obligations aux opé- rateurs d’importance vitale (OIV) ou encore par une orientation franche vers la lutte informatique défensive.

En parallèle, l’État se donne les moyens de ses ambitions, malgré des budgets serrés.

Les plans de recrutement en sont une illus- tration, tant au niveau de l’ANSSI que du Ministère de la Défense au sens large. Cela démontre une chose : le sujet de la cyber- sécurite prend une importance cruciale au niveau national.

En regard, les grandes entreprises adop- tent une approche encore trop timorée et réductrice face à l’évolution des menaces.

Et si certaines ont su avancer, c’est bien souvent après avoir été durement touchées par un incident.

Il est aujourd’hui temps que les direc- tions générales prennent conscience de la situation et des menaces qui pèsent sur leur entreprise et qu’elles aussi fassent de la cybersécurité une priorité pour leurs investissements.

Gérôme Billois,

Senior manager au sein de la practice Risk management & sécurité de l’information

Édito

P6 P4

n° 31

La Lettre Sécurité

(2)

Des outils dédiés existent pour évaluer ses risques de sécurité

D’un point de vue sécurité, la démarche est celle – classique – de l’analyse de risque. Le but est ici d’accompagner les projets de mise en œuvre ou de migration vers le Cloud, et pas de les interdire.

Dans le cas du Cloud, un outillage spéci- fique commence à apparaître pour réaliser cette analyse. En France, l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’In- formation) a publié un guide pour accom- pagner les démarches de type Cloud compu- ting. Au niveau européen, l’ENISA (European Network and Information Security Agency) fournit une analyse générique mais complète des risques liés au Cloud.

Outre-Atlantique, l’association Cloud Security Alliance regroupant les acteurs majeurs du Cloud a mis au point son outil Cloud Controls Matrix3, qui permet de comparer de nom- breux fournisseurs sur des critères de sécurité très précis. Si elle est basée sur les seules déclarations desdits fournisseurs, cette matrice peut néanmoins s’avérer utile.

Les comparaisons théoriques ne suffisent pas

Il est parfois difficile de distinguer ce qui est présenté de ce qui est réellement fait en termes de sécurité. Plusieurs critères permet- tent d’évaluer les fournisseurs.

Ils peuvent tout d’abord se prévaloir de dif- férentes certifications : ISO 27001 (très adoptée et quasiment obligatoire aujourd’hui) et ISAE 3402/SAE 16 (très adoptées éga- lement, requises pour les groupes cotés aux États-Unis, dans la ligne de SoX). Des démarches spécifiques existent aussi dans certains domaines, comme pour les données de santé en France, ou PCI-DSS pour les don- nées de cartes bancaires.

Pour autant, ces certifications ne sont pas toujours une assurance d’un niveau de sécu- rité adapté. Lors de la phase de choix des fournisseurs ou durant le projet, il apparaît nécessaire de poser des questions très pré- cises, sans laisser de place à des réponses trop larges ou ambiguës.

Un certain nombre d’acteurs du Cloud accep- teront d’ailleurs de fournir des détails sur le fonctionnement de leur solution, après signature d’un accord de non-divulgation.

Des visites de datacenters sont aussi toujours très instructives, et permettent parfois de se forger un avis sur la maturité du niveau de sécurité de l’offre proposée.

Certains fournisseurs sont réticents à fournir des informations très précises préalablement à la signature du contrat, ils peuvent alors proposer l’ajout d’une clause permettant de dénoncer le contrat ultérieurement. Mais attention à ce mécanisme, une fois la mise

en œuvre démarrée, faire marche arrière est presque impossible…

Enfin, la possibilité de contrôler le prestataire Cloud est un critère intéressant. Sa capacité à accepter un audit diligenté par ses clients est en effet une preuve de transparence, voire de confiance en son propre niveau de sécurité.

Les risques d’accès aux données sont réels, depuis longtemps

Si l’actualité récente a fait éclater l’affaire PRISM, la réalité des accès aux données est pourtant connue depuis de nombreuses années.

Les quelques années de recul et d’expérience sur le Cloud montrent que les craintes quant à l’accès aux données hébergées à l’étranger sont justifiées.

L’exemple le plus souvent cité est celui du USA Patriot Act : sur requête du gouverne- ment américain et après contrôle par un juge, toute entreprise américaine, ou située sur le sol américain, ainsi que tout citoyen améri- cain (où qu’il soit), se doivent de fournir aux autorités un accès aux données auxquelles ils ont accès. Dans le cas d’une entreprise de droit américain, l’obligation s’étend en dehors du territoire national : si ses infras- tructures sont situées en Union Européenne, la loi s’applique.

Décryptage

(3)

Le Syntec Numérique a publié un éclairage intéressant sur le sujet en avril 2013. On y précise notamment qu’un contrôle par un juge peut être réalisé avant la divulgation des données… Ou après, donc trop tard pour l’empêcher.

Cette loi pose donc en théorie le problème de la confidentialité des données. Dans la réa- lité, ces craintes se justifient principalement si les données manipulées ont un niveau de sensibilité très élevé : étatiques (administra- tions, défense, etc.), stratégiques pour l’en- treprise dans un environnement à forts enjeux concurrentiels, géopolitiques, etc.

Pour autant, et c’est un aspect moins connu, la majorité des gouvernements mondiaux dis- posent de prérogatives équivalentes.

Le cabinet d’avocats Hogan Lovells a publié une étude à ce sujet en 2012, incluant notamment un comparatif des législations de 10 grands pays sur l’accès aux données Cloud : beaucoup (dont la France) disposent de prérogatives similaires, parfois plus larges et moins contrôlées.

Pourquoi alors se focalise-t-on généralement sur le USA Patriot Act ? Principalement car les acteurs majeurs du Cloud sont aujourd’hui américains, donc soumis à la législation américaine.

Cependant, ne considérer que l’aspect stric- tement légal est encore trop réducteur : l’en- treprise doit également se demander si le pays sur le sol duquel ses données critiques sont hébergées a des intérêts allant dans le même sens que les siens.

Dans tous les cas, les conseils de juristes spécialisés sont indispensables pour avoir une position précise et adaptée.

Les fournisseurs français de Cloud

computing, solution du problème ? Sur le papier, stocker ou traiter ses données chez un prestataire de droit français sur le sol français semble la solution idéale… en théorie seulement.

En effet, de nombreux fournisseurs français ont des centres de traitement et de stockage dans le monde entier. Même si vos données n’y sont ni stockées ni traitées, ceux-ci pour- raient être connectés aux centres situés sur le sol français (et donc permettre d’y donner accès à distance).

Au-delà des données, se pose la question des équipes décentralisées : un Cloud hébergé en France, mais dont les équipes d’administra- tion sont situées aux quatre coins du monde (par exemple pour fournir un support 24/7) doit également faire l’objet d’attentions.

Une fois encore, tous ces risques sont à rela- tiviser : ils ne concernent que les données réellement sensibles.

Entre protections juridiques et solutions techniques, la bonne parade reste encore à trouver

Un moyen de se protéger des divulgations indésirables pourrait consister en l’ajout de clauses contractuelles interdisant à son fournisseur de le faire. Malheureusement, ce dernier risque de ne tenir aucun compte desdites clauses lorsqu’une demande offi- cielle de son gouvernement lui parviendra.

Pire, dans le cas des lois américaines, il peut lui être interdit d’avertir le propriétaire des données que celles-ci ont été transmises (il s’agit du principe de gag order).

Dans certains cas, il est possible de prendre des précautions très spécifiques. Nous conseillons parfois à nos clients de deman-

der l’isolation de leurs données dans le data- center du fournisseur, dans une salle sous alarme dont seule l’entreprise détient la clé.

Là encore, cela n’empêchera pas un accès aux données, mais permettra au moins à l’en- treprise d’en avoir connaissance.

Une véritable solution pourrait provenir de la technologie : un chiffrement adéquat des données permettrait de s’assurer que même en cas d’accès aux données, celles-ci sont correctement protégées. Cela nécessite des technologies de chiffrement de confiance (par exemple en France, qualifiées par l’ANSSI), afin que les données soient sécurisées sur tout leur parcours : pendant leur transmission sur le réseau, au moment de leur utilisation, et lorsqu’elles sont stockées dans le Cloud.

À ce titre, le chiffrement dit « homomor- phique » constitue une perspective d’avenir intéressante.

Chadi Hantouche, manager chadi.hantouche@solucom.fr

(4)

Dossier

Le projet de loi de programmation militaire a été présenté au Conseil des ministres le 2 août. En attendant de disposer du texte complet, un dossier résumant les points clés a été publié par le Ministère de la Défense.

Ce dernier est plein d’enseignements sur les évolutions à venir en matière de cyberdéfense et de cybersécurité.

Il met en particulier l’ANSSI au cœur de la future stratégie de la France dans ce domaine en renforçant ses pouvoirs et sa capacité d’ac- tion. La majorité de ces points étaient connus ou envisagés depuis la publication du livre blanc Défense et Sécurité nationale 2013, mais ce document donne plus de détails sur les moyens déployés et les orientations à venir.

Les opérateurs d’importance vitale (OIV), sous le contrôle rapproché de l’ANSSI

Le texte prévoit que le Premier ministre, avec l’aide de l’ANSSI, puisse imposer aux OIV, sur leurs périmètres sensibles, la mise en place de mesures de sécurité, la qualification des systèmes de détection et la réalisation d’audit par l’ANSSI. Comme prévu, la notification des incidents est intégrée au texte. Elle se définit par l’obligation de fournir « des informations sur les attaques qu’ils peuvent subir ».

Au delà du guide d’hygiène informatique qui pourrait être la base des mesures imposées, l’ANSSI travaille actuellement sur d’autres référentiels, par exemple sur les systèmes industriels ou sur le Cloud.

En cas de non-respect de ces obligations, des sanctions pénales sont prévues. Il se posera alors la difficile question des moyens à disposition pour respecter ces obligations.

Aujourd’hui, même si la sécurité est sou- vent préservée des coupes budgétaires, les budgets alloués sont souvent trop faibles au regard des enjeux et des risques. Espérons que cette réglementation, au-delà de paraître

« intrusive », aura des vertus pédagogiques et fera prendre conscience aux dirigeants des OIV des réels enjeux de sécurité et permettra le déblocage de ressources.

La lutte informatique défensive dans le champ d’action de l’ANSSI

Le récent rapprochement « géographique » entre le CALID (centre d’analyse en lutte informatique défensive) du Ministère de la Défense et le COSSI (centre opérationnel en sécurité SI) de l’ANSSI le laissait présager : Il y a aujourd’hui une volonté de renforcer les capacités de lutte informatique défensive au sein de l’Etat. L’ANSSI sera ainsi en mesure

« d’accéder à un serveur informatique à l’ori- gine d’une attaque afin d’en neutraliser les effets ». C’est une première dans ce domaine.

Des dispositifs juridiques sont prévus pour que ces actions ne rentrent pas dans le champ des articles 323-1, 2 et 3 du code pénal qui répriment des actions de ce type.

Le volet militaire n’est pas en reste : recrutements et investissements sont prévus.

De nombreuses autres évolutions sont pré- vues, en particulier dans le domaine du développement des capacités de cyberdé- fense militaire avec la mise en place d’une chaîne opérationnelle unifiée, centralisée et spécialisée. Le projet de loi prévoit la mise en place des capacités défensives mais aussi offensives pour préparer ou accompagner les opérations militaires. Les moyens humains seront renforcés et des investissements sont également prévus en particulier pour mieux surveiller les systèmes critiques. La DGA sera en charge de la composante technique de cette organisation.

L’Etat investit dans la cybersécurité…

mais les entreprises restent à convaincre

Nous ne sommes qu’au début du processus législatif et les débats au Parlement et au Sénat amèneront certainement des modifi- cations. Cependant, l’orientation est claire et tout cela va dans la bonne direction pour renforcer nos capacités de défense face à des attaquants de plus en plus virulents et pointus.

Enfin, ce projet de loi démontre que l’État a compris les enjeux de la cybersécurité et investit fortement dans ce domaine. Espérons que cela sera un électrochoc pour les orga- nisations privées, aujourd’hui en retrait face aux évolutions de la cybercriminalité.

Loi de programmation militaire

2013 : de réelles avancées pour la cybersécurité

Décryptage

Gérôme Billois, senior manager gerome.billois@solucom.fr

(5)

Regroupant tous les acteurs, internes et externes, impliqués dans la production et la distribution, la supply chain est devenue la colonne vertébrale de l’entreprise.

Rationalisée et optimisée depuis des années, elle est souvent devenue moins apte à résis- ter aux chocs violents : un cas d’école pour le risk manager qui doit démontrer que la croissance n’a de sens que si elle est durable.

Une recherche de performance centrée sur le gain à court terme

Pour faire face à un environnement concur- rentiel exacerbé, la supply chain a été parmi les premières fonctions mises à contribution pour réduire les coûts, via la rationalisation des canaux de distribution, le sourcing et l’offs- horing. Avec des résultats indéniablement à la hauteur des espérances et dont la presse économique se fait régulièrement l’écho.

Mais ce faisant, les supply chains ont insen- siblement et progressivement été fragilisées.

Ainsi, ces cinq dernières années :

• 74% des entreprises ont allongé géogra- phiquement leur supply chain ;

• 70% ont réduit le nombre de fournisseurs sollicités pour une même fourniture ;

• 63% ont eu recours à des fournisseurs implantés dans des régions à risque, régulièrement théâtres de perturbations majeures (tsunamis, ouragans, guerres civiles, etc.).

Le résultat est là aussi sans appel : 75 % des entreprises interrogées ont connu au moins un incident majeur lors des deux dernières années, avec des conséquences parfois dévastatrices.

Quel rôle pour le Risk manager ?

Dans ce contexte, le Risk manager peut (doit) travailler main dans la main avec le respon- sable de la supply chain pour sensibiliser le management aux risques encourus (consi- dérés comme « à très faible probabilité », ils sont rarement présents dans le top 10 suivi à haut niveau), et pour apporter aux décideurs

les éléments poussant à des arbitrages plus équilibrés entre rentabilité court terme et résilience.

Ces éléments d’arbitrage découlent du plan d’action « classique » de maîtrise des risques :

• Analyse du fonctionnement global de la supply chain pour en identifier les vulné- rabilités, et en déduire les scénarios de risque les plus probables et redoutés ;

• Ajout des informations « risque » (sur l’environnement, par exemple) dans le référentiel partenaires, en ouvrant si possible le panel aux acteurs alterna- tifs potentiels ;

• Vérification de leurs plans de continuité (participation aux tests dans l’idéal, au moins en tant qu’observateur) ;

• Simulation des scénarios de risque, pour éva- luer la résistance globale de la supply chain.

Des solutions de bon sens

À l’issue de cette analyse, de nombreuses pro- positions d’amélioration sont envisageables : Le recours, autant que possible, à des parte- naires locaux.

Cela permet en effet une meilleure com- munication (même fuseaux horaires, faci-

litation des rencontres) et l’élimination des ruptures dues aux incompréhensions. En outre, les temps de transport réduits limi- tent l’impact des ruptures de stock (délais de réapprovisionnement plus courts).

L’utilisation d’un SI partagé entre les différents acteurs de la supply chain, pour faciliter la diffusion de l’information à l’ensemble des maillons.

Une diffusion rapide des prévisions de com- mandes limite en effet le risque de rupture de stock, et permet de réduire les stocks de sécurité des maillons les plus amont.

Au final, le Risk manager et le responsable

de la supply chain ont donc une partition à 4 mains à jouer intelligemment, pour mettre ce sujet à l’ordre du jour du Comité des Risques… et faire en sorte que le prochain tsunami en Asie ne bloque pas nécessaire- ment la production de voitures en Europe ! [Article rédigé en collaboration avec Jean- Charles Pezeril]

Décryptage

Supply chain : le maillon faible ?

Florian Carrière, senior manager florian.carriere@solucom.fr

« 75 % des entreprises interrogées ont connu au moins un incident majeur lors

des deux dernières années »

(6)

À l’heure du multi-canal, et même du cross-canal, bâtir une relation de « confiance numérique » est un enjeu clé pour les entreprises privées, mais aussi les organismes du service public (déclara- tion d’impôts, espaces personnels sur le site de Pôle emploi…). Ils se doivent de montrer la sécu- rité de l’ensemble de leurs canaux pour accom- pagner le développement de la relation client sur les médias numériques.

La sécurité de l’information,

un prérequis sur les canaux numériques

La protection des données est aujourd’hui une préoccupation évidente des clients et usagers.

C’est ce que révèle un sondage de l’Economist Intelligence Unit en 2013, dans lequel 90% des sondés affirment penser que leurs données uti- lisées en ligne peuvent être volées, notamment pour détourner de l’argent. C’est également une préoccupation des pouvoirs publics qui renforcent les obligations en termes de sécurité. Attirer les clients sur les canaux digitaux est une nécessité pour beaucoup d’entreprises. La sécurité est un prérequis indispensable à cette transition.

D’une part, Il faut rassurer les clients, et pour cela démontrer de manière visible que des mesures de sécurité existent pour protéger les données critiques et éviter notamment les fraudes finan- cières. Une création de compte, une transaction, un changement de RIB... Une bonne sécurisation, organisationnelle ou technique, peut conforter les clients dans leur confiance dans le canal numé- rique pour ces actions.

D’autre part, en cas d’incident, la capacité à bien réagir, tant pour résoudre l’incident le plus rapidement possible, que pour communiquer clairement et rassurer les clients concernés est un élément clé. L’évolution de la réglementation autour de la notification des incidents poussera d’ailleurs les organisations à développer ce point.

Enfin, il est important de relayer cette position au travers des acteurs de la relation client sur le terrain (vendeurs, conseillers, etc.) en les sensibi- lisant pour qu’ils portent également ces messages en magasins, agences, etc.

La sécurité de l’information, un facteur de différenciation et de compétitivité

Démontrer un réel engagement dans la sécurité de l’information peut être un élément différenti- ant sur le marché. Pour ce faire, des solutions de sécurité avancées peuvent être proposées. Des banques comme Société Générale ou HSBC pro- posent ainsi un logiciel à installer gratuitement pour renforcer la sécurité du terminal de l’utili- sateur lorsqu’il utilise leur site. D’autres, comme Natwest et Barclays mettent à disposition de leurs clients des moyens d’authentification renforcés.

Au-delà des solutions techniques, certains acteurs vont jusqu’à sensibiliser leurs clients et usagers sur l’importance du respect de bonnes pratiques de sécurité. AXA a ainsi publié le « Le guide du bon sens numérique » et encore Le Groupe La

Poste a communiqué sur des bonnes pratiques à adopter sur les réseaux sociaux .

Les services marketing doivent donc travailler en collaboration avec les équipes de sécurité à la fois pour innover et proposer des solutions de sécurité, mais aussi pour écouter et savoir tenir compte des attentes des consommateurs.

La sécurité de l’information, une offre à part entière ?

Et si de centre de coûts, la sécurité devenait une source de gains ? En étant attentifs aux attentes des clients, différentes entreprises se sont posées cette question et lancent aujourd’hui des offres de sécurité en tant que telles...

Plusieurs secteurs se sont d’ores et déjà lancés : celui de l’assurance par exemple.

Cyberassurance ou encore protection de l’identité numérique, des assurances comme AIG, AXA ou Swiss Life, ont entendu l’intérêt que portent leurs clients à la sécurité de l’information, B2B comme B2C. Autre exemple, les opérateurs télécoms qui proposent un anti-virus avec les abonnements d’accès à internet. Ou encore, d’autres opéra- teurs, d’un tout autre secteur, celui des jeux en ligne, mettent à disposition de l’authentification renforcée pour leurs clients.

Ainsi, au-delà d’être un prérequis la sécurité de l’information peut devenir un avantage concur- rentiel, voire représenter une offre à part entière.

C’est à chaque organisation de choisir la posture qu’elle souhaite adopter !

La sécurité de l’information, au service de la relation client

Décryptage

Amal Boutayeb, manager amal.boutayeb@solucom.fr

(7)

Décryptage

La pré-production constitue-t-elle la meilleure solution de continuité informatique ?

La mise en place d’un Plan de Continuité Informatique (PCI) est souvent vue comme un poste de coût supplémentaire, une forme d’assurance pour couvrir des évènements rares. Dès lors, le bon sens conduit souvent à vouloir en réduire les coûts et donc à favori- ser le secours sur des serveurs existant « hors production » (développement, recette, quali- fication, intégration, test, formation, pré-pro- duction) et notamment ceux de pré-production (plus proches de l’environnement réel).

Mettre ainsi à profit des ressources qu’on ne juge pas essentielles en cas de crise semble permettre d’optimiser leur usage – et au final les coûts du PCI. Cette asser- tion mérite cependant d’être confrontée au contexte de chaque organisation. Un tel secours est-il vraiment une source d’écono- mie ? Réellement plus simple à mettre en œuvre ? Éligible pour toutes les applications ?

Prendre en compte les contraintes applicatives pour évaluer la complexité de mise en œuvre

Les environnements « hors-production » peu- vent présenter des enjeux aussi forts pour les métiers que leur environnement de produc- tion, notamment lorsque :

• Les applications doivent évoluer rapide- ment ou régulièrement ;

• Les incidents applicatifs nécessitant correctifs sont fréquents.

Ces besoins métiers entrent ainsi en concur- rence avec ceux liés à la mise en place du secours (construction du PCI, recette, tests, etc.). Si le métier est en charge de définir les priorités d’utilisation de ces environnements, il y a fort à parier que le planning de mise en œuvre du PCI devra être défini en fonction des plages d’usage laissées vacantes par les autres besoins.

Autant dire que pour les applications évoluant souvent ou victimes d’incidents à répétition, le projet de secours sera complexifié ; les phases de construction et de test du secours ne pouvant être déroulées, le métier exigeant la disponibilité de ces ressources pour d’autres besoins plus prioritaires à ses yeux. Contrainte d’autant plus forte dans un contexte au sein duquel la mise en production (MEP) ne serait pas complètement industrialisée.

Dès lors, la mise en œuvre d’un secours sur pré-production ne peut être envisagée serei- nement que pour des organisations au sein desquelles la DSI priorise seule l’accès et l’utilisation des ressources hors-production.

Il conviendra alors de privilégier les applica- tions les mieux maîtrisées et les plus stables, afin de réduire au maximum les conflits avec les chantiers d’évolution applicative ou de correction de problèmes.

Ne pas conclure trop vite à une économie substantielle en évaluant les coûts cachés

Si le secours sur pré-production est considéré comme moins coûteux, c’est qu’il réduit le volume des investissements et la mise en œuvre de serveurs. Mais cette vision apparaît réductrice dès qu’on identifie les autres coûts à prendre en considération.

En effet, la majeure partie des coûts d’un projet de secours informatique réside sou- vent dans le pilotage, les études, les travaux d’infrastructures et le secours des données.

Au final, les serveurs ne représentent par- fois que 10 à 20% de l’investissement total.

L’économie réalisée n’est donc pas nécessai- rement conséquente.

Par ailleurs, le secours sur pré-production peut également impliquer des coûts spéci- fiques. Bien souvent il s’agira de déménager les serveurs de pré-production, en général situés à proximité de ceux de production, et de les mettre à niveau en termes de confi- guration avec ces derniers. Il s’agira égale- ment d’études techniques complémentaires (ex : comment faire cohabiter des environ- nements de pré-production et de secours sur un même serveur ?) pouvant nécessiter des enveloppes de charges supplémentaires.

Enfin, en cas de coordination avec les métiers pour prise en compte de leurs contraintes (application en cours d’évolution, correction de bugs récurrents, etc.) des charges de ges- tion de projet complémentaires sont à prévoir.

Autant de points pouvant rendre le secours sur pré-production aussi voire plus onéreux qu’une solution dédiée de secours. Il convient donc de bien évaluer son coût en fonction de ces différents paramètres et de le comparer aux coûts des autres solutions envisagées.

Ne pas réduire le secours sur pré- production à sa composante économique

« La solution du bon sens est la dernière à laquelle songent les spécialistes » citait l’édi- teur Bernard Grasset.

Nous l’avons vu, et contrairement à ce que le bon sens nous le laissait imaginer, le secours sur pré- production n’est pas une garantie d’économie.

Cette solution est à privilégier dans des contextes matures (maîtrise forte du proces- sus de mise en production et des environne- ments hors production par la DSI), pour des applications stables (n’évoluant pas ou peu) et des environnements techniques adaptés.

Autant d’éléments à prendre en compte avant d’acter ou non la mise en œuvre de cette solution, notamment à l’aide de projets de virtualisation des environnements…

Raphaël Brun, consultant senior raphael.brun@solucom.fr

(8)

Événements

Les assises de la sécurité (2 au 5 octobre 2013) Solucom sera présent aux Assises de la sécurité. Retrouvez-nous sur le Forum ! ...

Atelier « Cybercriminalité : gestion de crise, cyberassurance et notification clients, think global ! » Cybercriminalité, notification des incidents, cyberassurance, détection et réaction face aux attaques… Autant de sujets que le RSSI doit adresser dans un programme cohérent de lutte contre la cybercriminalité.

L’enjeu principal ? Impliquer les métiers, de la communication au juridique en passant par la relation client, pour limiter les impacts au maximum.

Dans le cadre de notre atelier nous présenterons comment revoir sa gestion de crise et mettre en œuvre une stratégie complète face à ces nouvelles menaces.

Atelier animé par Gérôme Billois, Marion Couturier et Christophe Batbedat (res- ponsable de la gestion de crise cybercriminalité chez SFR)...

Table ronde PCA et cybercriminalité

Continuité d’activité, résilience et cybercriminalité : quelles opportunités ? Quelles limites ? Vol de données, destruction logique de postes de travail, dénis de service…

La cybercriminalité défraie la chronique avec des scénarios d’attaques poussés qui remettent en cause la viabilité et l’intégrité du système d’information. Ces risques sont dans le radar des Responsables continuité d’activité.

Mais attention, aujourd’hui les mécanismes de continuité habituels peuvent atteindre rapide- ment leurs limites. Quelles sont-ils ? Comment le RPCA / RSSI doit-il positionner ses actions dans ce contexte ? Quels engagements peut-il prendre ? Et quelle approche innovante adopter dès maintenant ?

Table ronde animée par Gérôme Billois, avec les interventions de : Emmanuel Adeline, Deputy CISO, Société Générale

Pascal Basset Responsable Conformité et Sécurité des SI, PMU

Pierre-Dominique Lansard, Directeur Mission Infrastructures Vitales, France Telecom et Président du Club de la Continuité d’Activité

. . . . . . . . . . .

Plus d’informations : www.lesassisesdelasecurite.com ...

Directeur de la publication : Patrick Hirigoyen

Responsable de la rédaction : Frédéric Goux

Contributeurs : Gérôme Billois, Amal Boutayeb, Rapahël Brun, Florian Carrière, Chadi Hantouche, Jean-Charles Pezeril.

Photographies : Getty images Fotolia

Graphiques : Solucom

Conception graphique : les enfants gâtés Impression : Axiom Graphics ISSN 1995-1975

La Lettre Sécurité revue de la practice risk management et sécurité de l’information du cabinet Solucom Tour Franklin,

100-101 terrasse Boieldieu La Défense 8

92042 Paris - La Défense solucom@solucom.fr http://www.solucom.fr

abonnement : lettresecurite@solucom.fr

L’actualité Solucom

Actualités Solucom

Pour mieux porter ses ambitions à horizon 2015, Solucom a adopté une nouvelle confi- guration au 1er juillet 2013.

Pour réussir les transformations d’entreprise, la maîtrise simultanée des enjeux business et technologiques est souvent indispensable.

Solucom a décidé de répondre à cet impératif en combinant, au sein d’une proposition de valeur unique, compétences sectorielles et expertises technologiques, faisant notam- ment émerger 2 practices business transfor- mation tournées vers les premiers secteurs où Solucom a développé son savoir-faire de conseil en management, avec l’ambition de devenir le champion de la transformation.

Cette offre de conseil est ainsi portée par 6 practices : Business transformation Banque Assurance, Business transformation Energie Transports Telcos, Excellence opérationnelle

& IT, risk management & sécurité de l’infor- mation, Innovation digitale, Architecture des systèmes d’information.

Références

Télécharger maintenant ( PDF - 8 Page - 2.11 MB )

Documents relatifs

VERS UNE IDENTIFICATION DES RISQUES INTEGREE AU MANAGEMENT STRATEGIQUE: LE CAS DE LA SUPPLY CHAIN

L’application d’une démarche globale de gestion du risque au sein de la chaîne logistique intégrée permet d’en déduire un certain nombre d’enjeux

Risques encourus

Pour les réseaux souterrains, en raison du nombre important d’interconnexions entre les réseaux, les gestionnaires s’attacheront à prendre toutes mesures utiles pour éviter

Information de sécurité - Pièce à main (ophtalmologie) - REF SU

- Nous vous demanderons ensuite de bien vouloir remplir le formulaire de confirmation de mise en quarantaine pour les produits concernés, et d'indiquer le nombre d'unités

Information de sécurité - Orthopédie - Fixateur externe de main

Suite à la casse d’un LIGAMENTOTAXOR après son implantation, la société AREX® a décidé d’exposer les bonnes règles d’implantation du dispositif médical LIGAMENTOTAXOR,

Information de sécurité - Implant - Main (orthopédie) - Tactys

Stryker a identifié une incohérence entre l’étiquette de l’emballage (taille L) et le dispositif présent dans l’emballage (taille M). L’investigation interne a révélé

Information de sécurité - Implant - Main (orthopédie) - Moovis

Nos dossiers indiquent que vous avez reçu au moins un des dispositifs cités en objet. Vous êtes donc concerné par cette action. Nous vous invitons à lire attentivement le présent

Information de sécurité - Pièce à main de système de morcellati

Ces informations doivent être transmises à toutes les personnes impliquées dans votre éta- blissement ou d'autres établissements, les personnes qui savent, où et à qui sont

Information de sécurité - Pièce à main Aquabeam - Procept Bioro

Si l’embout du tube de l’endoscope se détache du tube télescopique avant l’insertion dans l’organisme du patient lors de la préparation, la pièce à main doit être