Les bonnes pratiques de la sécurité dans l’externalisation des services informatiques ?

Ces bonnes pratiques permettent un suivi rigoureux de toutes les données personnelles et non personnelles qui sont créées et mises à jour quotidiennement par l’ensemble des conseillers, consultants et techniciens ESDI. D’après la CNIL Définition d’une donnée personnelle : une donnée personnelle est toute information se rapportant à une personne physique identifiée ou identifiable (nom, prénom, adresse, numéro de téléphone, numéro de sécurité sociale…) Le mode projet permet, dès la phase d’intégration d’une nouvelle prestation, d’identifier les interfaces utilisées, de tracer les données traitées et de réaliser l’Analyse d’Impact (PIA). Cela donne, dès le kick off du projet, une vision claire au donneur d’ordre des processus de traitements de ses données. Chaque prestation comprend systématiquement la réalisation d’une cartographie exhaustive en toute transparence avec le client. Ce travail est d’autant plus important lorsque la prestation implique le traitement de données sensibles dans le secteur de la santé et le secteur bancaire. Dans cette cartographie sont identifiées, pour les applications suivantes, toutes les typologies de données et les facteurs de risque : · les applications internes utilisées par ESDI dans le cadre de la gestion des activités (ressources humaines, comptabilité, paie…) · les applications propriétés d’ESDI mises à la disposition des clients pour piloter leur activité (outil de ticketing, outil de téléphonie, bases de connaissance …) · les applications propriétés des clients utilisées par les conseillers (outil de ticketing, outils métiers) Les bonnes pratiques éprouvées permettent de documenter l’ensemble des actions sur les données, leur stockage et la sécurité.

Garantir la mise en œuvre de prestations sécurisées signifie pour ESDI être capable de répondre aux exigences de sécurité du donneur d’ordre et aux obligations légales et réglementaires. On identifie trois grands domaines de risques dans l’externalisation des services informatiques : • La perte de maîtrise du système d’information • Les interventions à distance • L’hébergement mutualisé Pour autant, externalisation et sécurité des systèmes d’information ne doivent pas être opposées, et le recours à un prestataire est même préconisé lorsque les compétences en interne sont insuffisantes ou totalement absentes. ESDI s’emploie pour chaque projet à apprécier les risques et fixer les exigences qu’appelle le contexte, afin de garantir la sécurité du système d’information du donneur d’ordre et des données traitées. Le Delivery Manager fournit avec les engagements contractuels des clauses types au donneur d’ordre concernant la sécurité. Le prolongement du service assuré par le prestataire pour concilier sécurité des systèmes d’information et externalisation peut s’illustrer par le Security Operation Center (SOC) externalisé, centre de supervision du système d’information qui est chargé de collecter et analyser les données en provenance des éléments de sécurité, de détecter les éventuelles anomalies ou failles de sécurité et par conséquent sécuriser les données contre une cyberattaque.