Pour les quatre RSSI, l’externalisation est bénéfique pour les entreprises car elle leurs permet de bénéficier d’idées nouvelles, de challenger leurs pratiques et à termes d’améliorer les pratiques internes. Toutefois, elle doit se pratiquer dans un cadre sécurisé d’autant que souvent on donne accès aux partenaires à des données confidentielles.

Pour ce qui concerne la sécurité, un des RSSI du Jericho Group estime que le montant des investissements nécessaires à sécuriser le périmètre est aujourd’hui très élevé. Il est donc préférable d’avoir recours à l’externalisation.

Chris Schwartzbauer, Shavilk : Si tout le monde externalise, que va-t-il advenir des éditeurs et des innovations ?

Pour un des RSSI, il n’y a pas de problème d’ailleurs, il travaille actuellement avec un éditeur pour améliorer ses solutions qui seront implantés par la suite par son sous-traitant.

Chris Schwartzbauer, Shavilk : Quels sont les principaux risques de l’externalisation ?

Pour tout le monde, ils sont peu nombreux d’autant que les législations en vigueur permettent de limiter les risques. Dans tous les cas, il est nécessaire de prendre des mesures de protection comme une classification des données très strictes, le cryptage…

Chris Schwartzbauer, Shavilk : La classification des données n’est-elle pas une mesure trop contraignante ?

Ce n’est pas très difficile a appliqué d’autant que des outils de classification sont nativement inclus dans des logiciels. De plus, des logiciels spécifiques existent qui permettent de classifier aisément les données.

Chris Schwartzbauer, Shavilk : L’IPV6 est-il adapté à l’externalisation ?

Que cela soit IPV4 ou IPV6 ce n’est pas le problème de l’externalisation, il s’agit toujours d’outils. Ce qui est important pour moi, explique ce RSSI, c’est de savoir qui est connecté à mon réseau et ce qu’il vient y faire, à quels types de données ou d’applications il accède… Un second RSSI recommande de ne pas sortir les données sensibles en dehors de son entreprise.

Chris Schwartzbauer, Shavilk : Mais avoir recours à l’externalisation n’est-ce pas ouvrir son SI ?

Effectivement, mais en mettant des règles strictes les données peuvent être surveillées en permanence et ainsi éviter les fuites d’information. Dans tous les cas, il faut prendre la mesure des risques.

Chris Schwartzbauer, Shavilk : Les outils collaboratifs ne risquent-ils pas d’accroître les menaces ?

Effectivement, mais des outils de sécurisation existent. Dans le domaine des nouvelles technologies la sécurité est souvent le défaut de la cuirasse. De plus, il n’est aujourd’hui, plus nécessaire d’avoir des données sur les PC et en particulier sur les Laptops. Pour ce RSSI, il faut aussi limiter le nombre de PC Portables uniquement aux collaborateurs qui en ont vraiment besoin. Quand au Cloud Computing, tous les RSSI présents avouent regarder son évolution en particulier pour ce qui concerne la sécurité.