Toutes les entreprises ont aujourd’hui recours à des matériels et des logiciels informatiques, dont le bon fonctionnement conditionne le résultat de l’activité.

Ainsi, tandis que le nombre et la fréquence des menaces informatiques augmentent, les conséquences en cas de panne, de perte d’intégrité des données ou de pertes de données tout court font apparaître des risques importants pour la société, mais aussi pour sa direction informatique et pour ses dirigeants.

C’est pourquoi les DSI ont de plus en plus à cœur d’œuvrer à la protection de la sécurité informatique de l’entreprise, et cette problématique trouve aujourd’hui un écho récurrent à la fois dans la presse et dans les manifestations professionnelles.

 

Cyber sécurité et rôle du DSI

C’est ainsi que pour la 15e année consécutive, à eu lieu une manifestation appelée les “Assises de la Sécurité des Systèmes d’Information”, organisée par le CIGREF. Et la problématique de cette édition s’intitulait justement : le DSI face aux questions de Cybersécurité.

Pour Christian Daviot, Chargé de mission stratégie à l’ANSSI, l’Agence nationale de la sécurité des systèmes d’information, il ne fait aucun doute que le rôle du DSI est de veiller à la continuité de l’activité de l’entreprise, de veiller à la protection de son patrimoine mais également d’éviter des éventuelles pénalités financières à la direction de l’entreprise. Et pour les DSI, il s’agit d’autant plus d’une certitude que les menaces informatiques sont en constante augmentation.

Des menaces informatiques qui augmentent

Comme nous l’évoquions dans notre article 2 juillet 2015 : cyber sécurité : les nouvelles menaces pour les entreprises, plus d’un tiers des entreprises françaises de moins de 250 salariés serait victimes de cyber attaque, ce qui pourrait représenter plusieurs milliards d’euros de pertes.

Ces menaces, qui sont de plus en plus diversifiés, sont exacerbées entre autres par l’utilisation des appareils mobiles, par l’utilisation de l’Internet des objets et l’utilisation des machines virtuelles. Les entreprises doivent donc s’attendre à voir une augmentation des risques dans ces domaines, ainsi qu’une augmentation de la cybercriminalité traditionnelle et des piratages de distributeurs de billets ou de terminaux de vente.

Tout ceci pousse les entreprises à chercher à rationaliser la sécurité de leur informatique, en améliorant leurs connaissances de leurs propres systèmes d’information, en formant leur personnel et en définissant des protocoles de sécurité plus strictes.

Vers une externalisation qui rationalise le système d’information

Mais mettre en place cette rationalisation peut s’avérer difficile pour certaines structures, notamment les plus petites, les PME et les TPE qui ne disposent pas toujours d’un service informatique au sein de leur entreprise ou du moins d’experts chargés de la sécurité.

C’est dans ces conditions que l’externalisation du système d’information représente une opportunité de bénéficier de niveau de sécurité d’une qualité équivalente à la sécurité des grandes entreprises. Ainsi, le Cloud devient une solution majeure à cette problématique de sécurité. Stockage des données sur des serveurs à distance, chiffrage des échanges, hébergement dans des Data Center situé en France, voici quelques-uns des les avantages pouvant être apporté par un prestataire de Cloud Computing tel que Ivision.

Le Cloud : une technologie à maturité

Et pourtant, rappelez-vous, il y a quelques années encore, le principal frein à l’adoption du Cloud Computing évoqué par les entreprises était la sécurité. Il semblerait donc que l’on connaisse aujourd’hui un véritable revirement sur ce sujet.

En effet, à l’occasion des Assises de la sécurité numérique, c’est Guillaume Poupard, le directeur général de l’ANSSI lui-même, qui évoque dans son discours : “Le Cloud répond à un vrai besoin en matière de sécurité informatique. On accompagne les entreprises qui veulent aller vers le Cloud, comme le sens de l’histoire les y encourage, notamment pour les PME et les petites structures qui ne deviendront jamais expert en cybersécurité. Il faut encore élever le niveau de sécurité de certaines solutions mais il y a des acteurs sérieux et pas uniquement français. C’est pour cela que l’ANSSI pousse un référentiel Cloud pour faciliter le choix d’un prestataire de confiance qui garantit la localisation et un bon niveau la protection de leurs données”.

Il semblerait donc qu’il soit possible de combiner l’externalisation de tout ou partie de son système d’information avec l’amélioration du niveau de sécurité informatique. Parce que les technologies sont aujourd’hui arrivées à maturité, qu’elles procurent également économies et rapidité de déploiement des services, parce qu’elles sont gérées par des prestataire qui maîtrisent leur domaine et qui sont spécialisés dans ces problématiques de sécurité, elles apportent de nouvelles solutions pour permettre aux petites et moyennes entreprises de se protéger face à l’augmentation des menaces en matière de sécurité informatique.

De nouvelles missions pour la DSI

Reste pour les DSI qui mettent en place ces solutions dans leur entreprise, à bien piloter et cadrer la réalisation de ces prestations. Cela passe d’abord par l’étude des clauses contractuelles avec le fournisseur, et notamment des clauses de transfert de responsabilité portant sur la sécurité des données.

Le DSI doit également s’inquiéter des clauses spécifiques au respect des obligations réglementaires, et à la mise en place d’une assurance pour couvrir les éventuels risques liés aux services externalisés en cas de problème. Le contrat doit comporter une clause de confidentialité, une clause d’auditabilité, qui impose de mettre en place des contrôles sur les services rendus, une clause de réversibilité qui permet de récupérer la jouissance de ses données en cas de cessation du service, une clause de disponibilité des données ou encore des engagements de niveau de service portant sur la sécurité.

 

Ainsi, pour le DSI, la mission ne s’arrête pas à la sélection du prestataire permettant l’externalisation des données. Le DSI dispose désormais de nouvelles missions de veille, d’information, de sensibilisation à la fois des collaborateurs de l’entreprise mais aussi de la direction, de gestion du risque, de gestion de la contractualisation et de suivi des services apportés par les prestataires.

Enfin, parce que les besoins des services métiers évoluent en permanence, il restera également à la DSI de veiller à la cohérence des différents services Cloud ou Saas souscrits, et à la politique globale de sécurité informatique de l’entreprise.

Dernière mise à jour le 29 décembre 2018