Pour nombre d'entreprises, l'externalisation est un service particulièrement utile pour s'affranchir des tâches informatiques de moindre importance. Mais encore faut-il que celles-ci soient confiées à un prestataire disposant d'une culture minimale de la sécurité.

« J'ai découvert une société qui avait souscrit un contrat de gestion de sa sécurité " tout-en-un " chez son opérateur. Outre l'accès à Internet, ce dernier s'occupait également de la messagerie et du filtrage IP. Le contrat datait d'il y a cinq ans et n'avait jamais été mis à jour. Il stipulait que le filtrage serait réalisé sur un routeur filtrant partagé. La solution était peut-être valable à l'époque de sa mise en service, mais au fil de l'évolution de cette fonction, le routeur s'est retrouvé à tel point mutualisé que, au final, presque tous les ports étaient ouverts afin d'accommoder tel ou tel client ! Tout a bien fonctionné les premières années, mais lorsque les grandes épidémies virales sont apparues, la société en question s'est retrouvée neutralisée par un ver. Cela n'aurait jamais dû se produire si le filtrage avait été réalisé correctement » , se souvient Aurore Seebaluk, responsable du pôle sécurité chez Euriware, société spécialisée dans l'infogérance et le conseil.

L'anecdote donne une bonne illustration de ce que doivent être les priorités des prestataires de services externalisés (hors spécialistes de la sécurité) : leur objectif est, en effet, de délivrer le service commandé au meilleur tarif et dans les meilleurs délais. Ces prestataires considèrent trop souvent la notion de sécurité comme une vague contrainte... lorsqu'elle existe. « Les fournisseurs de services ne sont pas formés à la sécurité et, de surcroît, ils s'en moquent. Pour eux, c'est une obligation et non une culture », confirme Élisabeth Conseil, consultante en sécurité pour le groupe Telindus, spécialisé dans le conseil, la formation ainsi que dans l'intégration réseaux et sécurité.

Témoin cette société, qui avait confié à un prestataire extérieur la gestion de son parc bureautique, dont certains ordinateurs fonctionnaient avec l'environnement Novell. « Lorsque nous avons enfin pu auditer le prestataire, à la demande de notre client, nous nous sommes rendu compte que pour faciliter la maintenance à distance du serveur NetWare de notre client, les techniciens de ce prestataire y avaient installé un outil freeware disponible sur Internet, pas du tout sécurisé, qui redirigeait la console d'administration du serveur. Bien sûr, le client n'était pas au courant et se croyait protégé alors qu'en fait sa console était parfaitement accessible depuis l'extérieur », détaille Élisabeth Conseil.

De telles pratiques ne sont pas rares : après tout, les contrats d'infogérance ne spécifient pas souvent les obligations du prestataire en matière de sécurité. Ces contrats se contentent bien souvent d'aborder le thème de la confidentialité des données de l'entreprise vis-à-vis des employés du prestataire d'externalisation.

Mais on y trouve peu d'engagements en termes fonctionnels (assurer la confidentialité des données, garantir une authentification forte, etc.) ou même techniques (n'utiliser que des technologies représentant l'état de l'art du moment, par exemple). Toutes ces considérations sont généralement l'apanage des contrats d'infogérance de la sécurité... mais les entreprises ont souvent tendance à penser que toute externalisation est gouvernée par un tel souci de la sécurité.