Par Stéphane Astier et Anne Charlotte Andrieux
Cette fin d’année 2020 est l’occasion d’une réflexion essentielle sur la place du droit dans la gestion générale des projets informatiques.
Que l’on se place côté client ou côté prestataire, l’introduction d’une démarche de legal design visant à placer le droit au cœur de cette gestion est en effet une pratique ayant vocation à s’imposer à l’avenir.
Assurer la gestion des risques induits par tout projet informatique (risque opérationnel, risque technique, risques financiers et juridiques) constitue en effet un impératif pour chaque entreprise, chaque acteur public. Cette gestion doit intervenir dès le paramétrage de la prestation jusqu’à l’organisation de la fin de celle-ci en passant par son contrôle.
La méthodologie de legal design vise ainsi à :
- identifier les enjeux et problématiques,
- formaliser ceux-ci dans une logique transversale où le juridique vient lier les aspects techniques, opérationnels et commerciaux,
- fixer une stratégie et une gouvernance intégrant les contraintes réglementaires, les garanties essentielles et forces en présence,
- dessiner un cadre contractuel cohérent assurant la sécurité juridique des relations.
Il s’agit d’une fondation essentielle de la gestion de tout projet informatique.
Pour s’en convaincre, Le 17 septembre 2020, l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) a ainsi partagé la dernière version de son projet de référentiel à destination des prestataires d’administration et de maintenance sécurisées (PAMS).
Ce document a vocation à aiguiller les commanditaires de prestations pour qu’ils disposent de garanties sur la capacité du prestataire à assurer un niveau de sécurité suffisant. Il a vocation à s’appliquer :
- aux prestations d’administrationtelles que l’installation de composant, la modification de paramétrage, les mises à jour ou encore la gestion des droits et sauvegardes
- aux prestations de maintenance telles que le maintien en condition opérationnelle (MCO), le maintien en condition de sécurité (MCS) et la tierce maintenance applicative (TMA).
Les exigences du référentiel apportent une réponse aux besoins exprimés dans plusieurs réglementations telles que :
- la loi n° 2018-133 du 26 février 2018 venue transposer la Directive NIS applicable aux opérateurs de services essentiels et aux fournisseurs de services numériques [1]
- les articles 1332-6-1 et suivants du code de la défense sur la sécurité des systèmes d’information d’importance vitale
- la politique de sécurité des systèmes d’information de l’État (PSSIE)
Ainsi, recourir à un prestataire qualifié PAMS permet à un commanditaire de respecter une partie des exigences que ces réglementations imposent.
De manière générale, cette nomenclature peut également guider l’action de toute entreprise pour satisfaire aux obligations générales prévues par l’article 28 du RGPD, lequel dispose que le responsable de traitement doit faire « uniquement appel à des sous-traitants qui présentent des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du présent règlement et garantisse la protection des droits de la personne concernée.
Les PAMS doivent notamment "tenir à jour et mettre en œuvre une procédure de maintien en condition de sécurité de toutes les ressources du service" ou "mettre en œuvre un plan de sauvegarde et de restauration des dispositifs du service".
1. Les points d’attention généraux
A titre liminaire, l’ANSSI émet des préconisations d’ordre général tenant à la qualité du sous-traitant et à ses obligations vis-à-vis du commanditaire.
Pour des raisons tenant à responsabilité du sous-traitant, le commanditaire devra veiller à recourir à une entité dotée de la personnalité morale appliquant le droit d’un État membre de l’Union Européenne.
Le prestataire, en sa qualité de professionnel, sera débiteur d’un certain nombre d’obligations vis-à-vis du commanditaire et notamment :
- D’un devoir d’information et de conseil tout au long de la relation contractuelle
- De l’obligation de décrire l’organisation de son activité d’administration et de maintenance
- De souscrire une assurance couvrant les éventuels dommages causés au commanditaire et notamment à son système d’information
- De s’assurer du consentement du commanditaire avant toute communication d’informations obtenues ou produites dans le cadre de sa prestation. Les modalités d’un tel consentement doivent être précisées dans la convention de service.
- De garantir que les informations qu’il fournit, y compris la publicité, ne sont ni fausses ni trompeuses.
- D’apporter une preuve suffisante que les modalités de son fonctionnement, notamment financières, ne sont pas susceptibles de compromettre son impartialité ou de provoquer des conflits d’intérêts
- De disposer des licences valides des outils (logiciels ou matériels) utilisés pour la réalisation de la prestation.
En conséquence, lors de la négociation de la convention de service le commanditaire devra veiller à :
- Examiner avec attention les modalités de partage des responsabilités en tenant compte de toutes les éventuelles activités sous-traitées.
- Communiquer au prestataire les éventuelles exigences légales et réglementaires spécifiques auxquelles il est soumis et notamment celles liées à son secteur d’activité.
2. Les mesures techniques et organisationnelles de protection de l’information
A. L’élaboration d’une PSSI
Le référentiel de l’ANSSI préconise un certain nombre de mesures techniques propres à garantir la maitrise des risques et la protection de l’information du commanditaire, au premier rang desquelles figure l’élaboration par le prestataire d’une politique de sécurité des systèmes d’information (PSSI) sur le périmètre du service.
En effet, la PSSI est la colonne vertébrale de l’architecture de sécurité des SI en ce qu’elle :
- expose la vision stratégique de la direction de l’organisme en matière de sécurité des systèmes d’information (SSI) et de gestion de risques SSI
- décrit les éléments stratégiques (enjeux, référentiel, principaux besoins de sécurité et menaces) et les règles de sécurité applicables à la protection du système d’information.
- informe les différents intervenants (maîtrise d’ouvrage, maîtrise d’œuvre) sur les enjeux de la sécurité des systèmes d’information tout en fixant les choix en termes de gestion des risques
- suscite la confiance des utilisateurs et partenaires envers le système d’information.
Quels sont les livrables associés ? - Une PSSI sur le périmètre du service- Une liste des incidents redoutés - Un plan d’amélioration continue de la sécurité (à réviser annuellement) - L’homologation du SI au minimum au « Niveau Standard » - L’inventaire de l’ensemble des équipements mettant en œuvre le service - Une procédure de restitution des postes - Une procédure de mise au rebut des actifs du SI incluant une procédure d’effacement sécurisé - Une certification ISO27001 sur l’intégralité du périmètre du service |
B. Les autres facteurs clés de la sécurité
- L’administration du SI
L’ANSSI précise notamment que le prestataire doit mettre en œuvre des outils d’administration dédié au SI concerné, et utiliser des protocoles d’authentification et de chiffrement en conformité avec les [G_TLS] ou [G_SSH]. Le prestataire doit également activer et configurer un mécanisme de filtrage pour n’autoriser que les connexions répondant strictement au besoin opérationnel des actions d’administration ou de maintenance du système d’information du service.
Il est recommandé que le prestataire s’appuie sur les guides de durcissement [G_LINUX] ou Windows de l’ANSSI pour le durcissement des configurations système des serveurs outils d’administration du système d’information du service.
Comme nous vous le rappelions dans notre précédente publication relative à la Charte Administrateur des SI, les administrateurs et mainteneurs constituent un rouage essentiel de tout système d’information mais également un facteur de risque en ce qu’ils concentrent des privilèges élevés sur leur périmètre et notamment les capacités techniques d’accès aux informations métier. Par conséquent, le rôle d’administrateur doit s’accompagner de garanties élevées pour la sécurité des SI qui devront être clairement détaillée dans la Charte « Administrateur des SI » de l’entité responsable. |
- Le maintien en condition de sécurité
Le prestataire doit maintenir le SI en condition de sécurité par la mise à jour régulière des applications, la définition de cas d’urgence, la tenue de l’inventaire logiciel ou encore en réalisant une analyse d’impact de l’installation de chaque mise à jour. Ces mesures devront être tracées par le prestataire qui livrera au commanditaire des indicateurs de performance.
- La sécurité physique
L’ANSSI fournit un inventaire détaillé de mesures physiques propres à garantir la sécurité du SI.
On retiendra notamment le marquage des zones privées, publiques et sensibles du SI, la formalisation et l’actualisation des habilitations, ou encore le traçage des maintenances réalisées sur les matériels.
Ces mesures ont à la fois pour objet de prévenir un défaut de service en identifiant les différentes zones du SI et les accès possibles, mais également de faciliter la répartition des responsabilités dans l’hypothèse d’un défaut de service.
- La gestion des sauvegardes
Le prestataire est invité à instaurer une procédure complète et formalisée de gestion des sauvegardes et des restaurations du service sur un dispositif de stockage « hors ligne ». Ces mesures devront être conformes à la norme ISO27002 et la procédure devra être testée au minimum une fois par an.
En parallèle, le sous-traitant devra s’assurer de la confidentialité et de l’intégrité des données dont les sauvegardes devront être conservées pendant une durée minimale de 2 mois (sous réserve du respect des exigences légales et règlementaires).
- La journalisation et la gestion des incidents de sécurité
Le prestataire se doit de mettre en œuvre des moyens de détection des incidents de sécurité au titre desquels figure la mise en œuvre d’un processus formalisé de journalisation des accès aux dispositifs du service et des actions réalisées. Ce système de journalisation pourra être établi sur la base de la note technique de l’ANSSI pour la mise en œuvre d’un système de journalisation.
En cohérence avec les recommandations de la CNIL, l’ANSSI préconise de conserver les logs pendant une durée de 6 mois.
Sur la base des risques identifiés dans la PSSI, le prestataire doit adopter une stratégie de gestion des incidents en 4 temps :
- Une stratégie de collecte (1) et une stratégie d’analyse (2) conformes au référentiel PDIS.
- Une stratégie de notification (3): le prestataire est tenu de notifier au commanditaire les incidents affectant son SI mais également de l’accompagner dans ses démarches de notification aux instances gouvernementales ou aux autorités de régulation.
Sur ce point, rappelons que de manière générale tout sous-traitant au sens du RGPD est tenu par une obligation de d’assistance, d’alerte et de conseil qui le contraint à aider son client dans le respect de ses obligations en matière de sécurité, de notification des violations de données à caractère personnel et d’analyse d’impact relative à la protection des données. |
- Une stratégie de réponse (4): l’ANSSI recommande que le sous-traitant fasse appel à un prestataire de réponse aux incidents de sécurité (PRIS) qualifié pour l’investigation numérique du périmètre affecté et des fichiers suspects.
- La segmentation et le cloisonnement du SI
L’ANSSI préconise notamment au prestataire de segmenter le SI du service en plusieurs zones de confiance étanches cloisonnées par des mécanismes de filtrage périmétrique, d’authentification et de contrôle d’accès reposant sur des produits qualifiés par l’ANSSI.
- Une Charte éthique intégrée
Le prestataire doit veiller à encadrer contractuellement les relations avec les administrateurs PAMS et des administrateurs du SI dans le cadre de son activité, d’autant plus si le PAMS sous-traite une partie de son activité à un prestataire tiers.
Pour ce faire, l’ANSSI suggère l’élaboration d’une Charte éthique intégrée à la documentation contractuelle du PAMS prévoyant que :
- les prestations sont réalisées avec loyauté, discrétion, impartialité et dans des conditions de confidentialité des informations traitées
- les personnels ne recourent qu’aux méthodes, outils et techniques validés par le prestataire
- les personnels s’engagent à ne pas divulguer d’informations à un tiers, même anonymisées et décontextualisées, obtenues ou générées dans le cadre de la prestation sauf autorisation définie dans le cadre de la convention de service
- les personnels s’engagent à signaler au prestataire tout contenu manifestement illicite découvert pendant la prestation
- les personnels s’engagent à respecter la législation et la réglementation en vigueur et les bonnes pratiques liées à leurs activités.
Quels sont les livrables clés ? - Une Charte administrateur des SI- Une Charte éthique de la sous-traitance - Une politique de journalisation des accès et des logs - Une politique d’habilitation - Un plan de sauvegarde et de restauration des SI - Une procédure de protection du matériel en attente d’utilisation |
Pour plus de détail sur les recommandations de l’ANSSI nous invitons les PAMS et leurs clients à se tenir à jour des exigences du projet de référentiel dont la version finale est attendue au premier semestre 2021.
***
Le Cabinet HAAS Avocats, fort d’une expertise de plus de vingt ans en droit des nouvelles technologies, bénéficie d’une triple labellisation CNIL et accompagne régulièrement les entreprises dans la mise en conformité de leur sécurité informatique.
Le cabinet HAAS propose à ce titre :
- La formalisation de référentiels sécurité ou encore la dispense de formations relatives à la prévention des risques liés aux cyber menaces dans le cadre d’une offre globale de Data Compliance.
- L’externalisation de la fonction de délégué à la protection des données (DPO)
- La réalisation d’études d’impact (PIA)
[1] Loi n° 2018-133 du 26 février 2018 portant diverses dispositions d’adaptation au droit de l’Union européenne dans le domaine de la sécurité ; Directive 2016/1148 Network Information Security dite « directive NIS ».