Open in app

Sign in

Write

Sign in

DIY et sécurité, la fausse bonne idée ?

Guillaume COCAULT
INSA TC
Published in
11 min readOct 31, 2020

Par Julien WELKER et Guillaume COCAULT

Du fait de leur taille, les TPE et les PME ont généralement un service informatique minimal, et n’ont pas d’équipe dédiée à la sécurité informatique. Cette équipe gère bien souvent la totalité (ou presque) du système d’information*.

Cet article traite de la cybersécurité au sein de ces structures. Il s’adresse à des TPE/PME moyennement ou faiblement matures sur le plan de la sécurité, et notamment à leurs décisionnaires non-spécialistes. Plus précisément, cet article pourra permettre à des décideurs de pouvoir être mieux informés avant de faire des choix stratégiques comme l’attribution des budgets ou le choix d’un mode de gestion du parc informatique. Il ne nécessite donc aucun prérequis ou connaissances techniques.

Lorsqu’un nouveau besoin apparaît, ou qu’un besoin existant évolue, une entreprise peut décider de faire appel à un prestataire ou se débrouiller par elle-même, en interne. Par la suite, nous opposerons donc les services managés aux solutions déployées voire développées en interne (appelées “DIY” dans cet article). Les offres de services managés sont créées et testées par des équipes expérimentées et expertes. Ces infrastructures sont standards, permettant ainsi aux prestataires d’adresser un large marché, et ainsi amortir le coût élevé de leurs experts sur les différents clients. Le DIY est une approche “sur mesure” pour les entreprises. Elle s’appuie nécessairement sur une équipe interne qui possède des compétences en informatique et une connaissance des besoins métier de l’entreprise. Bien qu’un changement de besoins soit souvent l’événement déclencheur d’une bascule entre services managés et DIY, il est tout à fait possible d’externaliser ou d’internaliser un service existant.

Dans premier temps, nous reviendrons sur les bases de la sécurité informatique et sur ses enjeux, puis nous comparerons la sécurité des approches services managés et DIY dans la mise en place de nouvelles solutions, leur exploitation et leur évolution au sein du système d’information.

Par la suite, nous utiliserons les termes suivants :

  • Système d’information / SI : Désigne l’ensemble des ressources informatiques (physiques et logiques) d’une organisation ;
  • Système distribué : Système d’information comportant des machines distantes physiquement et devant travailler ensemble ;
  • Exploitation : Activité préventive visant à maintenir un système informatique stable, sécurisé et opérationnel que cela concerne le matériel physique (hardware) ou les logiciels (software) ;
  • Support : Activité palliative consistant à traiter et gérer les incidents sur le système d’information.
  • ERP: Désigne un logiciel qui coordonne et gère les interactions des différents services d’une entreprise. Il offre la possibilité d’avoir une seule plateforme pour les activités métiers ainsi que la gestion des ressources humaines, des stocks et des finances.

Vous avez dit cybersécurité ?

La cybersécurité repose sur trois piliers :

  • la confidentialité, qui consiste à rendre accessible une information uniquement aux personnes autorisées ;
  • l’intégrité, qui désigne la capacité à conserver une donnée intacte au cours du temps ;
  • la disponibilité, qui vise à s’assurer qu’un service ou une donnée soit accessible en un temps fixé.

De nos jours, il est évident que la sécurité est un équilibre entre ces trois concepts. L’idéal serait de tous les maximiser en même temps. Toutefois, dans la réalité, la vraie question est d’implémenter le niveau de sécurité adapté à chaque type de donnée et à son environnement. Concrètement, la DGSE aura bien entendu des contraintes de sécurité bien plus fortes qu’un hôpital ou qu’une PME locale. Pourtant, tous sont vulnérables, à leur échelle.

La sécurité, un travail d’équipe

Dans un monde idéal, la sécurité du système d’information d’une entreprise serait assurée par une équipe de très haut niveau qui possède une connaissance du SI de bout en bout. Elle connaîtrait en outre les utilisateurs, leurs besoins et leurs usages, et serait donc capable d’ajuster les paramètres de sécurité du SI avec une grande finesse. De par sa compétence et sa proximité des utilisateurs, cette équipe aurait acquis la confiance du chef d’entreprise, qui pourrait compter sur elle 24h/24 et 7j/j pour assurer l’exploitation* et le support* de l’infrastructure. Lors de l’apparition de nouveaux besoins, elle serait en capacité de trouver, déployer, paramétrer voire même modifier une solution pour répondre à la demande des usagers.

La question des coûts

Dans un monde parfait, la sécurité n’aurait pas de prix. Les entreprises se donneraient les moyens de garantir la sécurité de leur SI. Toutefois, ces investissements sont difficiles à prévoir et à quantifier, posant ainsi deux problèmes majeurs aux sociétés : en général, elles doivent premièrement se projeter financièrement sur le long terme, et deuxièmement partager leurs enveloppes budgétaires entre les différents services et projets.

En réalité, environ 5 à 20% du budget du service informatique est utilisé pour la sécurité du SI. Quelles options les entreprises ont-elles pour répondre à leurs besoins, tout en assurant la sécurité du SI et en respectant leurs contraintes ?

Deux approches possibles

Un système d’information évolue au fil des années, il convient donc de voir comment gérer les différentes étapes de la vie des technologies qui le composent. Nous ferons cette comparaison au travers des options que nous offrent le DIY et les services managés.

Installation

Lors de l’installation d’une nouvelle solution, les deux modes de fonctionnement définis ci-dessus ont des avantages bien différents.

Dans le cas des services managés, le prestataire s’occupe de tout ou presque et le client bénéficie d’une solution clé-en-main. Il n’a pas besoin d’éplucher en détail la documentation technique et les prérequis constructeurs, ni de se confronter seul au processus d’installation et de déploiement, souvent long et fastidieux. Toutefois, cette facilité cache bien souvent un cadre strict en dehors duquel il est difficile de sortir : ainsi, la solution ne sera probablement pas aussi personnalisable que si le client l’avait déployée lui-même.

Une implémentation DIY permettra, elle, de déployer des configurations très fines ou marginales, afin de pouvoir répondre précisément au besoin initial. Mais d’un point de vue pratique, il faudra soit renforcer le service informatique pour faire face à la charge de travail supplémentaire, soit répartir la charge sur les ressources existantes, au risque d’allonger la durée du déploiement et dégrader le reste des services. Généralement, le choix sera dicté par le budget alloué au service informatique.

Il est important de savoir que surcharger un service informatique n’est pas une bonne idée. En effet, ces équipes doivent être à-même de pouvoir réaliser un temps de veille technologique. Ce temps leur donnera l’occasion de pouvoir progresser et surtout de se tenir informées des nouvelles vulnérabilités qui pourraient impacter le SI de l’organisation, ou encore de découvrir de nouvelles technologies permettant de mieux répondre aux menaces qui pèsent sur le SI de l’organisation. Le choix du DIY peut donc être contre productif du point de vue de la sécurité.

Maintien en condition opérationnelle

Toutefois, dès la finalisation de l’installation d’une nouvelle solution, il faut se poser la question de son exploitation et de son maintien en condition opérationnelle. En effet, l’informatique est un domaine en constante évolution, en particulier en termes de sécurité : de nouveaux risques et menaces apparaissent quotidiennement, et peuvent toucher n’importe quelle brique du SI, même les plus critiques (l’ERP par exemple). Il est donc primordial d’effectuer un suivi rigoureux et très régulier de l’ensemble du SI.

Sur le modèle du DIY, cette tâche cruciale peut être réalisée par le service informatique de l’entreprise. Fort de sa proximité avec les utilisateurs, il a une connaissance transverse et profonde du SI. En cas de panne, il fera preuve d’une grande réactivité et mettra tout en œuvre pour rétablir le service au plus vite. Cela aura donc un impact sur le temps de rétablissement et donc sur la disponibilité. De plus, le travail de veille en sécurité informatique sera plus ciblé et donc plus pertinent. Cependant, un service informatique sera souvent assez généraliste, et ses compétences seront limitées dans la résolution d’un problème hors du commun.

Le suivi peut également être réalisé par un prestataire externe selon le modèle du service managé. Le principal bénéfice pour l’entreprise est l’expertise du prestataire. Ses équipes possèdent des certifications constructeurs, gages de compétences de pointe dans certaines technologies. En cas de problème très complexe, le prestataire possède généralement un support premium auprès des constructeurs et éditeurs, et peut ainsi proposer à ses clients une assistance d’experts. Toutefois, un contrat de maintenance 24/7 est très onéreux, et toutes les entreprises ne sont pas en mesure de s’offrir ce type de service. Cela veut donc dire que les experts sont en mesure de proposer des infrastructures secure by design et ont la connaissances des dernières améliorations et failles. Ceci permet d’ajuster au mieux la sécurité de l’implémentation, voire même d’éviter la mise en place de certaines briques qu’ils ne jugeraient pas assez sécurisées.

Enfin, les prestataires demandent bien souvent un accès à distance, et notamment des accès administrateurs. Une entreprise peut être réticente à accorder de nombreux droits à un prestataire. En effet elle ne pourra pas maîtriser le nombre de personnes ayant accès à ces mots de passe ni leur expérience. Cet état de fait augmente mécaniquement le risque de fuite des informations d’identifications vers des personnes mal intentionnées. En conséquence il est vivement recommandé de donner aux prestataires les droit minimaux pour gérer leurs périmètres et de leur donner des comptes qui leurs sont dédiés. Ceci permettra de limiter l’impact d’une intrusion (fuite ou corruption des données) et également de pouvoir en trouver l’origine a posteriori.

De plus, en cas de compromission d’un prestataire ou de son SI, comment garantir que des informations sensibles ne fuitent pas ?

Il convient donc de bien choisir son prestataire informatique, en la matière le bon réflexe peut-être de se baser sur les expériences d’entreprise qui ont déjà adopté ce mode de fonctionnement. Mais il faudra toujours s’assurer vous-même du sérieux de votre interlocuteur. Pour aider dans cette démarche l’ANSSI propose des liste de prestataires reconnus afin de vous aider à juger de la valeur des prestataires en fonction du type de service dont vous avez besoin. Mais également un guide global sur l’externalisation. Par ailleurs, il peut être intéressant d’observer les certifications que possède un potentiel prestataire.

Evolutions

Ensuite, la stratégie d’évolution du SI est un axe majeur de réflexion pour les entreprises. Les besoins des utilisateurs évoluent sans cesse, et il faut parvenir à adapter le SI aux nouveaux besoins et usages.

Les entreprises qui pilotent elles-mêmes l’évolution de leur SI auront tendance à avoir une approche davantage métier, à la façon du design thinking : les utilisateurs sont au cœur du changement et leurs retours influencent grandement les évolutions. Toutefois, cette approche met souvent à mal la sécurité du SI, car la sécurité est généralement vue comme une contrainte pour les utilisateurs. En effet, un simple blocage de port peut empêcher le fonctionnement de certaines applications ou fonctionnalités. Ainsi, les administrateurs seront incités par leur hiérarchie à réduire le niveau de sécurité au profit de l’expérience et de la productivité des utilisateurs.

Les entreprises qui ont fait le choix d’un service managé auront moins de leviers pour adapter le SI à leurs collaborateurs. En effet, les prestataires qui vendent des services managés ont une approche beaucoup moins souple sur la sécurité. Ils connaissent parfaitement leur solution, elle possède des fonctionnalités de détection d’intrusion, de nombreuses tâches sont automatisées, ils l’ont testée, et ne souhaitent pas introduire de faille de sécurité pour des besoins qu’ils ne jugent pas légitimes. Les clients se retrouvent relégués au second rang : il sera probablement difficile pour une entreprise d’imposer des changements au prestataire, sauf si la situation est prévue dans le contrat. Cette rigidité est toutefois gage de sécurité, de fiabilité et de robustesse pour le client.

Enfin, le passage à l’échelle est systématiquement un élément critique pour le SI, synonyme de nombreux enjeux à la fois matériels (nombre de serveurs, dimensionnement des interconnexions, climatisation…) et logiciels (équilibrage de charge, outils de monitoring adaptés…). Dans le cas d’une solution DIY, la sécurité est bien souvent mise à mal dans une telle opération, que ce soit sur l’aspect disponibilité (phases de migrations parfois longues et risquées, services sous-dimensionnés avant une évolution…) mais aussi sur l’aspect confidentialité (gestion de l’authentification et des droits plus complexe, accès distants, reliquat d’anciennes configurations…). Les services managés sont généralement conçus pour faciliter ce type d’évolution, et le client peut grandir à son rythme sans craindre pour la sécurité de son SI.

Perspective

Finalement, le choix d’une solution DIY ou de services managés dépend de nombreux facteurs, et doit être fait en fonction des objectifs de l’entreprise et de son projet. Ces deux philosophies ont des qualités et des limites différentes tout au long du cycle de vie du projet. Pour faire un choix éclairé, l’entreprise doit avant tout se connaitre et connaitre son système d’information.

A cet effet, l’Agence National de Sécurité des Systèmes d’Information propose des outils pour accompagner les entreprises dans cette démarche. Parmi ces documents, on trouve notamment un guide d’évaluation de la maturité cyber ainsi qu’un guide des bonnes pratiques en matière de cybersécurité. Ces guides constituent un bon point de départ pour tendre vers un SI plus sûr.

Sources

France Num. Guide de la cybersécurité de pour les TPE PME [en ligne]. Disponible sur : https://www.francenum.gouv.fr/comprendre-le-numerique/guide-de-la-cybersecurite-pour-les-tpe-pme (consulté le 21/10/2020)

Total Product Marketing. DIY vs. managed hosting [en ligne]. Disponible sur : https://totalproductmarketing.com/ebooks/TotalProductMarketing-DIYvsManagedHosting.pdf (consulté le 21/10/2020)

SDTEK. Do-It-Yourself (DIY) IT Support vs Hiring a Managed IT Service Provider [en ligne]. Disponible sur https://www.sdtek.net/do-it-yourself-it-support-vs-hiring-a-managed-it-service-provider/ (consulté le 21/10/2020)

Journal du Net. Suppression d’un faux sentiment de sécurité (open source) [en ligne]. Disponible sur : https://www.journaldunet.com/solutions/dsi/1489041-suppression-d-un-faux-sentiment-de-securite-open-source/ (consulté le 21/10/2020)

ZDNet. Les failles des logiciels libres se sont multipliées au cours des 12 derniers mois [en ligne]. Disponible sur https://www.zdnet.fr/actualites/les-failles-des-logiciels-libres-se-sont-multipliees-au-cours-des-12-derniers-mois-39881555.htm (consulté le 21/10/2020)

CERN. Sécurité informatique : quand « libre » ne veut pas dire gratuit [en ligne]. Disponible sur https://home.cern/fr/news/news/computing/computer-security-when-free-not-free (consulté le 21/10/2020)

Le Parisien. Cybersécurité : les PME sont des cibles elles aussi [en ligne]. Disponible sur https://www.leparisien.fr/economie/business/cybersecurite-special-tpe-pme/cybersecurite-les-pme-sont-des-cibles-elles-aussi-03-12-2019-8208690.php (consulté le 21/10/2020)

ANSSI. L’ANSSI publie un guide sur la cybersécurité des systèmes industriels [en ligne]. Disponible sur https://www.ssi.gouv.fr/publication/lanssi-publie-un-guide-sur-la-cybersecurite-des-systemes-industriels/ (consulté le 21/10/2020)

ANSSI. Sécurité et infogérance : du nouveau pour le futur référentiel PAMS de l’ANSSI [en ligne]. Disponible sur https://www.ssi.gouv.fr/actualite/securite-et-infogerance-du-nouveau-pour-le-futur-referentiel-pams-de-lanssi/ (consulté le 21/10/2020)

ANSSI. Guide relatif à la maturité SSI [en ligne]. Disponible sur https://www.ssi.gouv.fr/guide/guide-relatif-a-la-maturite-ssi/ (consulté le 21/10/2020)

ANSSI. La télé-assistance sécurisée [en ligne]. Disponible sur https://www.ssi.gouv.fr/guide/recommandations-de-securite-relatives-a-la-tele-assistance/ (consulté le 21/10/2020)

ANSSI. Administration sécurisée des systèmes d’information — V.2 [en ligne]. Disponible sur https://www.ssi.gouv.fr/guide/securiser-ladministration-des-systemes-dinformation/ (consulté le 21/10/2020)

ANSSI. Externalisation et sécurité des systèmes d’information : un guide pour maîtriser les risques [en ligne]. Disponible sur https://www.ssi.gouv.fr/guide/externalisation-et-securite-des-systemes-dinformation-un-guide-pour-maitriser-les-risques/ (consulté le 21/10/2020)

Secu2020

--

--

Guillaume COCAULT
INSA TC

Written by Guillaume COCAULT

0 Followers
Writer for

Help

Status

About

Careers

Press

Blog

Privacy

Terms

Text to speech

Teams