News
ANSSI : Externalisation, Cloud Computing, maîtriser les risques pour les systèmes d’information
décembre 2010 par Marc Jacob
Face aux risques liés aux opérations d’externalisation, l’Agence nationale de la sécurité des systèmes d’information (ANSSI) publie un guide à destination des entreprises et des administrations pour les aider dans cette démarche. Elle souligne les risques spécifiques à l’informatique en nuage1.
L’absence de compétences en interne ou la nécessité de rationaliser les coûts poussent souvent les entreprises et les
administrations à externaliser tout ou partie de leurs systèmes d’information.
Cependant toute opération d’infogérance
implique des risques pour les systèmes d’information et les données qu’ils hébergent. Dans le cadre de sa mission de
conseil, l’ANSSI publie un guide pour permettre aux entreprises et aux administrations d’externaliser dans des
conditions de sécurité satisfaisantes. Ce guide contient notamment une liste d’exigences types qui peuvent être intégrées
dans les marchés d’infogérance.
« En externalisant un système d’information, on prend le risque de ne plus pouvoir le maîtriser ni protéger ses données.
Il est donc indispensable de faire appel à des prestataires qui s’engagent sur la sécurité » explique Olivier Ligneul, chef
du bureau Assistance et Conseil à l’ANSSI.
L’Agence fait une mise en garde particulière sur les offres d’informatique en nuage public : « les offres d’informatique
en nuage public ne donnent généralement pas des garanties suffisantes pour la sécurité » ajoute-t-il, en recommandant
d’« étudier attentivement les conditions des offres avant d’envoyer ses données et ses applications dans un nuage ».
Le guide d’externalisation est disponible en téléchargement gratuit sur le site de l’ANSSI (PDF) :
http://www.ssi.gouv.fr/externalisation.
Note :
[1] Traduction officielle du terme « Cloud Computing ». L’informatique en nuage public est « un mode de traitement
des données d’un client, dont l’exploitation s’effectue par l’internet, sous la forme de services fournis par un prestataire. »
C’est « une forme particulière de gérance de l’informatique, dans laquelle l’emplacement et le fonctionnement du nuage
ne sont pas portés à la connaissance des clients. » Il convient de distinguer nuage public, nuage privé (dédié à une
organisation) et nuage communautaire (partagé par plusieurs organisations identifiées)
À propos de l’ANSSI :
L’Agence nationale de la sécurité des systèmes d’information (ANSSI) a été créée par le décret n° 2009-834 du 7 juillet
2009 sous la forme d’un service à compétence nationale.
L’agence assure la mission d’autorité nationale en matière de sécurité des systèmes d’information. Elle est rattachée au
Secrétaire général de la défense et de la sécurité nationale, sous l’autorité du Premier ministre.
Pour en savoir plus sur l’ANSSI et ses missions, rendez-vous sur www.ssi.gouv.fr.
