Les entreprises et les administrations peuvent choisir de confier à un tiers tout ou partie d’une activité qui pourrait être réalisée en interne. Dans le domaine des systèmes d'information (SI), cette externalisation est appelée infogérance. Ces prestations peuvent induire, en fonction du contexte dans lequel elles sont réalisées, des risques pour le système d'information comme pour les données (intégrité, disponibilité, confidentialité). On identifie trois grands domaines de risques (plus d'informations à l'intérieur) :
Pour autant, externalisation et sécurité des systèmes d'information ne doivent pas être opposées, et le recours à un prestataire est même souhaitable lorsque les compétences en interne sont absentes ou insuffisantes.
Parce qu'il est indispensable, dans toute opération d'externalisation, de faire appel à des prestataires qui s'engagent sur la sécurité, l'ANSSI propose un **guide de l'externalisation** (intégré à la page ci-dessous) ****qui vous aidera à maîtriser les aspects de sécurité dans les marchés d'infogérance.
Le guide propose une démarche pour apprécier les risques et fixer les exigences qu'appelle votre contexte, afin de garantir la sécurité de votre système d'information et des données qu'il traite. Il s'appuie pour cela sur le plan d'assurance sécurité et fournit des clauses types permettant d'obtenir du prestataire des engagements contractuels.
11- ANSSI 2010-12-03_Guide_externalisation.pdf
Élaboré en 2016 par l’ANSSI, le référentiel « SecNumCloud » permet la qualification de prestataires de services d’informatique en nuage, plus couramment dénommés « cloud », avec pour objectif de promouvoir, enrichir et améliorer l’offre de prestataires de confiance à destination des entités publiques et privées souhaitant externaliser l’hébergement de leurs données, applications ou systèmes d’information.
En tant qu’autorité nationale en matière de sécurité et de défense des systèmes d’information, l’ANSSI accorde des Visas de sécurité ANSSI à des solutions, produits ou services qui démontrent un niveau élevé de sécurité et de confiance. Dans le cadre de cette démarche, l’agence a élaboré en 2016 le référentiel SecNumCloud pour permettre la qualification de prestataires de services cloud. Son objectif : promouvoir, enrichir et améliorer l’offre de prestataires de cloud à destination des entités publiques et privées souhaitant externaliser, auprès de prestataires de confiance, l’hébergement de leurs données, applications ou systèmes d’information.
Une labellisation qui va au delà des seuls services Cloud
Comme en témoignent les offres qualifiées SecNumCloud que l’on peut retrouver dans cette liste des produits et services qualifiés les catégories de services informatiques externalisés représentées sont très nombreuses. Elles concernent tant des équipements que des services :