Journal de bord d’un DSI : "l’ITSM dans le cloud" - épisode 2
Le cloud devient incontournable sur de nombreux sujets métier et l’ITSM ne fait pas exception à la règle. Êtes-vous serein sur le sujet ou en proie à des interrogations ?
Nous avions évoqué lors d'un premier épisode un DSI confronté au déploiement d’une solution ITSM dans les nuages. Interpellé par ses collaborateurs et les métiers, il s’est interrogé sur l’intérêt mais aussi les risques liés au cloud et a décidé de faire appel à un consultant. Découvrez la suite de ses aventures…Un article rédigé à quatre mains par Thomas Lévêque (Information Security Officer - Crédit Agricole Consumer Finance) et Sébastien Tournel (Expert ITSM - Timspirit)
Jour 15: « Houston, we have a problem »
J’ai du boulot en perspective pour cette journée ensoleillée mais je n’arrête pas de repenser à la soirée des anciens de mon école où j’ai croisé Jean-Pierre, un vieux pote. Dans sa boîte, ils sont soumis à la Loi de Programmation Militaire qui impose un hébergement des données dans l’Union Européenne. Dans son cas, le cloud c’est bien mais en Europe… Il a dû négocier des conditions spéciales avec son fournisseur IT et un hébergeur français pour sa solution d’ITSM. Le format cloud, ce n’est pas forcément 0 ou 1, full SaaS ou on premise. Des solutions hybrides sont envisageables.
D’un côté, cela m’ouvre de nouvelles perspectives, de l’autre, cela me complique la tâche… Vous me direz, je ne suis pas concerné par la LPM mais je suis quand même contraint par la nouvelle réglementation GDPR. Je suis le garant des données de mon entreprise. Pffff...
Me voilà obligé de répondre à la question, soulevée maintes fois par le consultant et que je faisais semblant de ne pas entendre : quelles données ITSM seront hébergées dans le cloud ? Après avoir repensé à Jean-Pierre, je « skype » mon consultant : « Houston, we have a problem… »
Jour 16 : je (re)replace les données au cœur de mon analyse
Le consultant, diplomate, évite le terrible « Je vous l’avais bien dit ». OK ! Il a souvent raison mais je ne vais quand même pas le lui dire ! Comme il me le rappelle, les données ont une valeur à géométrie variable selon les organisations et les contextes. Pas de recette toute faite pour analyser les risques… La sécurité concerne surtout le sujet que l’on souhaite protéger, et plus que la donnée, l’information qu’elle contient.
La solution ITSM va stocker mais aussi produire des données qui seront peut-être plus sensibles que les données initialement stockées. Avec le durcissement de la loi européenne sur les données, je ne vais pas jouer à l’apprenti sorcier !
Bref, on planifie d’urgence une réunion pour faire le point sur la valeur et la sensibilité à accorder à nos données. Je réunis les futurs utilisateurs, le responsable de la prod’ informatique (Charles-Albert l’anti-cloud de service), le RSSI, le chef de projet et le consultant.
Jour 17 : tempête sous un crâne
Comme prévu, la réunion se concentre sur l’analyse de risque et nous planchons sur une longue liste de questions…
- Quelles données veut-on protéger des accidents
et des malveillances ?
- Question indisponibilité, quelles conséquences
pour mon entreprise si ces données étaient inaccessibles, indisponibles ou
fonctionnaient mal ?
- En matière d’intégrité, quelles conséquences si
les données étaient altérées, inexactes, incohérentes, manquantes ou modifiées
de manière accidentelle ou malveillante ?
- Question confidentialité, quelles conséquences
si les données et le savoir-faire utilisés étaient divulgués à des personnes
non autorisées ?
- Quelles les conséquences si les traces des
opérations réalisées dans le contexte étaient manquantes, inexactes ou
incomplètes ?
- Quelles les conséquences si les traitements
réalisés dans le contexte de l’application ne sont pas conformes aux lois et
réglementations en vigueur qui s’appliquent dans le pays où ils sont utilisés (ou
exécutés), dans mon domaine d’activité ou dans le cadre de la
contractualisation avec mes fournisseurs ou mes clients ?
Charles-Albert continue son lobbying à mort contre le Cloud... Si nous parvenons à répondre à ces questions (ce ne sera pas fait en une heure), nous pourrons évaluer l’impact d’un problème survenant sur un des critères (confidentialité, intégrité, disponibilité, traçabilité). Cela devrait le rassurer.
Il faut ensuite s’intéresser aux mesures et contrôles qui réduisent la probabilité que le problème survienne et/ou l’impact s’il survenait (mesures de prévention, détection et remédiation).
Le grand patron me rappelle, lors d’un passage éclair, qu’il veut une même solution ITSM pour tout le groupe. Vu les spécificités de nos filiales, cette analyse est cruciale.
J’ai la tête farcie de bonnes idées et d’interrogations et j’envisage sérieusement de regarder le foot à la télé ce soir, avec une bonne bière pour me détendre !
Jour 18 : où je me rends compte que certaines données sont plus égales que d’autres
Pendant le match de foot hier, j’ai eu une illumination : savoir quels types de données sont concernées par le cloud (ou pas !) va m’aider à y voir plus clair. Après un café et une conf call avec le consultant, je m’aperçois qu’elles sont de deux natures : les données stockées, manipulées, transformées dans le système hébergé (les données entrantes ou les résultats produits par le système) et les données transitant entre mon SI et le cloud. Je re « skype » mon consultant qui me propose de classer mes données selon 3 types : les données personnelles et de contact, les données référentielles et organisationnelles et les données métiers.
J’ai bien conscience qu’il va falloir évaluer les impacts pour mes données identifiées sur deux aspects principaux : la confidentialité et l’intégrité (dans le cas d’une fuite ou d’une corruption de données).
Je me fais violence pour faire abstraction des moyens employés et de l’origine de l’incident de sécurité. Qu’il soit malveillant ou non. Les méthodes d’intrusion évoluant et étant toujours plus performantes, je remets à plus tard la réflexion sur les technos.
Une chose est claire : nous travaillons sur de la data qui est potentiellement un vecteur d’intrusion dans les SI opérationnels. Les données ITSM décrivent le cœur de nos infrastructures. Donner accès à nos données serait comme donner la carte du trésor au capitaine Jack Sparrow ! Il s’agit de faire une analyse d’impacts sur les données exploitées dans l’outil ITSM ainsi que sur les flux métiers afin de définir les enjeux de sécurité.
Pendant le point hebdomadaire, le consultant met l’accent sur la nécessité d’identifier les niveaux d’impacts sachant qu’ils se traduisent toujours, au final, en pertes financières.
Et à la DSI, moins on perd d’argent mieux on se porte !
Je m’aperçois que, comme dans le roman « Animal Farm » de George Orwell, certaines données sont plus égales que d’autres ! Il y a des données intrinsèquement sensibles (un n° de carte ou compte bancaire) et des données vectrices d’intrusion (login, adresse IP, n° de téléphone, e-mail, etc.).
Jour 30 : de l’audace, toujours de l’audace, encore de l’audace
L’identification des données et des impacts sur laquelle nous travaillons depuis 15 jours a permis d’attribuer un niveau de sensibilité à la donnée en termes de confidentialité et d’intégrité. Cela servira de point d’arbitrage avec les équipes de la DSI (futurs utilisateurs) sur le bienfondé d’une exposition au cloud de notre ITSM. Autre point d’arbitrage : les mesures de contrôle proposées par l’éditeur de la solution.
Il m’apparaît qu’avant même d’étudier une solution cloud, nous devons avoir une vision claire des risques et des conséquences liés à une externalisation d’une partie de notre SI en appréciant la sensibilité de ses données.
En connaissant les risques, je peux évaluer la pertinence du projet. Au regard des avantages du cloud et des mesures de sécurité proposées, il m’apparaît que nous pouvons accepter les risques résiduels non couverts ou partiellement couverts puisque nous les connaissons et que nous les avons évalués.
Et donc aller dans le cloud.
J’ai toutes les cartes en main pour l’étape suivante : réaliser l’analyse de l’environnement et de la solution et bétonner le contrat avec le fournisseur. Le RSSI m’a bien aidé à prendre cette décision, je l’en remercie. En souriant, nous réalisons qu’il va falloir préparer notre argumentaire pour Charles-Albert et envisager un bon accompagnement au changement…
Je me dis que je me ferai bien une petite pause, bien méritée.C’est le moment que choisit Sandrine de la RH pour m’annoncer son projet cloud pour le SIRH : « je t’informe vu que t’es DSI mais bon on a bien géré ». Je pense très fort : « Vous avez bien géré quoooi ? ». En gros, elle m’explique qu’elle nous a tranquillement « bypassé » pour la mise en place de sa solution métier… Je respire un bon coup, je pense à un joli paysage polaire et je lui réponds, tout sourire : « tu as bien fait de m’en parler car il se pose des problématiques de criticité et de sensibilité des données. Tu n’aimerais pas que tes données de paie soient piratées ?» Gloups, Sandrine respire à son tour et me dit : « justement, on venait te voir car, comme tu nous l’as expliqué l’autre jour, l’IT et les métiers doivent collaborer, surtout quand il s’agit d’une solution cloud sur laquelle vous être les mieux placés pour nous accompagner ». Parfait Sandrine, le message est passé… et moi je suis rodé. Demain, je passe le SIRH dans les nuages…