La nécessaire composante sécurité de l'externalisation applicative

Populaire notamment auprès des banques, l'externalisation génère cependant des risques, dont le piratage. La sécurité applicative doit s'inviter dans l'outsourcing. Des clauses s'ajouteront aussi aux contrats.

L'externalisation applicative est désormais une pratique largement répandue auprès des entreprises, et notamment des grands comptes. Le rapport publié par le cabinet Quocirca pourrait toutefois les conduire à revoir certaines modalités de leur contrat d'externalisation afin d'y introduire une composante sécurité. Le rapport lie en effet directement les risques de sécurité, et plus précisément le piratage, au recours à l'outsourcing applicatif.

Ainsi 90% des sociétés victimes d'un piratage informatique auraient externalisé plus de 40% de leur code. Quocirca cite notamment l'établissement financier TS Ameritrade qui en 2007 a révélé que les données personnelles de 6,3 millions de ses clients avaient été exposées en raison d'une faille applicative. Cette vulnérabilité était en réalité une porte dérobée introduite par un programmeur dans une application dont le développement avait été confié à un prestataire.

Les sociétés du secteur de la finance sont traditionnellement d'importants clients de l'outsourcing. Selon le rapport de Quocirca, pour 72% d'entre elles, plus de 40% du code logiciel serait effectivement réalisé hors de l'entreprise. Outre les malveillances, comme l'introduction d'une porte dérobée, le risque est un code insuffisamment sécurisé et donc recelant potentiellement des vulnérabilités exploitables.

"la sécurité est encore plus nécessaire avec l'émergence des applications webisées" (Stephane Le Boisselier - DVO)

"Plusieurs éléments sont à prendre en considération. Il s'agit déjà de mener une véritable sensibilisation à la sécurité auprès des développeurs. La première préoccupation lorsqu'on développe une application est en effet qu'elle réponde à des besoins métiers. La sécurité doit pourtant être introduite le plus tôt possible dans le projet, que l'application soit développée en interne ou outsourcée. Et c'est encore plus nécessaire aujourd'hui avec l'émergence des applications webisées utilisant des technologies parfois complexes à maîtriser", résume Stephane Le Boisselier, RSSI de Devoteam Outsourcing.

La question est donc englobée dans un périmètre plus vaste qui est celui de la sécurité applicative qui recouvre à la fois les développements internalisés et externalisés. La tierce maintenance applicative, parce qu'un intermédiaire s'intercalant entre le code et l'entreprise cliente, peut parfois occulter les aspects de sécurité. En outre, les entreprises tendent à se concentrer essentiellement sur les aspects fonctionnels du logiciel.

Mais la multiplication des solutions Web, plus encore lorsque leur utilisation intervient sur des processus critiques, doivent encourager les entreprises à penser la sécurité en amont des développements et exiger de leurs prestataires des engagements qualitatifs dans ce domaine. "Que ce soit en TMA ou en infrastructure, la sécurité est un chapitre non négligeable. Les contrats d'externalisation comprennent souvent une phrase qui impose au prestataire d'être à l'état de l'art du marché, ce qui comporte une dimension sécurité très forte ", confirme Christophe Olry, directeur de DVO, l'entité outsourcing de Devoteam.

"Les contrats imposent au prestataire d'être à l'état de l'art" (Christophe Olry - DVO)

L'infogéreur peut être amené à jouer le rôle de tiers de confiance en hébergeant le parc applicatif d'un client. Une dimension importante alors que 92% des attaques se font sur les couches applicatives. DVO procède ainsi à des scans des applications afin de détecter des attaques, notamment de type injection SQL. Les alertes seront alors remontées aux RSSI des entreprises clientes. Des comités de sécurité peuvent également être organisés afin de définir et maintenir des exigences de sécurité.

"Les alertes font l'objet d'une analyse et peuvent aboutir à une modification du code d'une application qui aurait pu être développée à l'extérieur. Nous encourageons nos clients à faire intégrer une clause sur les vulnérabilités logicielles, puis à demander un rapport de test sur le code", ajoute Stephane Le Boisselier.

Grâce à cette clause, l'identification d'une faille critique se traduira pour le prestataire en charge du développement par le paiement de pénalités financières. Les tests eux l'obligent à s'assurer de la qualité de son code. Développement et recettage étant assurés par des équipes distinctes, le risque de malveillance est diminué.

Toutefois, pour des applications critiques, l'entreprise devrait recourir aux services d'un auditeur indépendant dont la mission sera d'identifier de possibles vulnérabilités. Ces prestations s'avèrent en générale coûteuses, cependant l'exploitation d'une faille pourrait générer des coûts bien supérieurs, notamment du fait d'un fort préjudice d'image. L'entreprise devra trancher au terme d'une analyse de risque. Les contraintes réglementaires en encouragent de plus en plus la pratique.