Les effets collatéraux de la cyberattaque contre Xplain sur la Confédération a rappelé l’importance d’une bonne gestion des risques des prestataires externes. La Confédération a “profité” de cet événement pour rappeler quelques bonnes pratiques de sécurité attendues de sa part vis-à-vis de ses fournisseurs IT.

L’importance de maîtriser les prestations externalisées

Comme le rappelle plus bas l’article de Inside-IT, le Conseil Fédéral avait décidé fin juin de mettre en place une cellule de crise et d’examiner les contrats existants avec les prestataires de services informatiques de la Confédération suite au piratage Xplain.

Une action récemment rapportée par les médias suisses indique que la Confédération a ainsi envoyé un courrier à tous ses prestataires de services informatiques. La lettre concernée de deux pages, inclue dans l’article de inside-it.ch ci-dessous, résume les attentes sous la formes des 5 obligations suivantes:

Une Authentification forte et tous les mots de passe chiffrés Des données anonymisées systématiquement avec un processus de suppression des données obsolètes. Pour les données classifiées, l’encryption est alors requis Une segmentation réseau pour éviter une porte ouverte directe vers les systèmes centraux (AD par ex) pour les pirates en cas d’intrusion réussie et offrir également des possibilités de détection intermédiaires Une surveillance centralisée et continue des logs (journaux des événements IT et de sécurité) Un processus de réponse au incident formalisé avec des responsabilités claires

Des bonnes pratiques et des responsabilités

Ce rappel de bonnes pratiques en cas d’externalisation ne doit par ailleurs pas faire oublier que la responsabilité ultime reste chez le mandant.

Il faut donc bien sûr initialement clarifier le plus précisément possible les prestations et leurs niveaux de services (qualité et sécurité) attendus. Ceci est le prérequis pour établir ensuite les contrôles (moyens et formats des reporting) nécessaires au mandant pour obtenir une assurance raisonnable que les prestations délivrées respectent les conditions contractualisées.

Dans la pratique, cela s’avère beaucoup plus complexe. Sans parler simplement de la problématique de la surveillance de 100+ voir 1’000+ fournisseurs IT, il faut être conscient qu’une mise à jour contractuelle n’est pas faite en deux coups de cuillère à pot malheureusement. Les nouveaux contrats peuvent eux par contre directement adopter les exigences minimums de sécurité sous peine d’alourdir encore la charge de travail pour rattraper le nouveau retard pris.

Pour en savoir plus

