Le contrat d’infogérance

 

 

Pour se focaliser sur leur cœur de métiers, les PME peuvent confier leur gestion informatique à des prestataires ou à des fournisseurs dans le Cloud. Mais cette délégation ne les dispense pas d’assurer la protection de leurs données. 

 

 

 

À chacun son métier ! L’informatique est un poste complexe qui évolue rapidement au gré des innovations technologiques et des nouvelles contraintes réglementaires. Pour de nombreux chefs d’entreprise, c’est un casse-tête. D’où le recours à des contrats d’infogérance.

Ce terme regroupe :

  • la gestion d’infrastructures : location de matériels, supervision d’équipements réseau, sauvegarde…
  • la gestion des applications : activités de support fonctionnel, maintenance… 
  • l’hébergement de service : logiciel accessible en ligne (mode SaaS), c’est- à-dire dans le Cloud.

Quels sont les risques ?

Faire appel à des prestataires vous permet de vous concentrer sur votre activité. Mais ne confiez pas la gestion de votre parc informatique les yeux fermés. Vous pouvez en effet être à la fois victime d’un piratage et être tenu pour… responsable.

En 2014, la CNIL a condamné Orange après deux intrusions dans ses fichiers clients et prospects (soit 1,3 million de données personnelles). Des pirates avaient profité d’une faille pour accéder à un serveur du prestataire secondaire (sous-traitant de rang 2). Pour la CNIL, l’opérateur aurait dû mener un audit de sécurité qui aurait permis de repérer cette vulnérabilité et de la corriger. Cette négligence lui a valu cette condamnation.

Cette affaire confirme que vous devez impérativement vous assurer qu’une sous-traitance en cascade ne conduira pas à rendre inefficaces les contraintes de sécurité que vous avez exigées de votre prestataire de rang 1. Ce dernier doit par ailleurs être lui aussi en conformité avec le Règlement européen sur la protection des données à caractère personnel (voir notre fiche sur le RGPD).

Le contrat infogérance : les principales mesures à prendre

Précisez vos exigences de protection

En tant que client, vous devez préciser vos exigences en matière de sécurité, qui seront détaillées dans un Plan d’assurance sécurité (PAS). Ce contrat peut mentionner : la réalisation d’audits de sécurité, la confidentialité des informations (voir notre annexe), etc.

 

Indiquer les engagements du prestataire

Le contrat doit préciser la liste exhaustive des équipements et des programmes concernés par la maintenance informatique et l’assistance sur site. Soyez attentif à la gestion des mises à jour de l’antivirus et du pare-feu.

 

Surveiller certains indicateurs-clés

Vous pouvez demander à tout moment un extrait des journaux des événements enregistrés par votre prestataire.

Soyez attentifs à certains indicateurs :

  • fréquence et suivi des mises à jour effectuées,
  • durée d’indisponibilité maximum et suivi de ces indisponibilités,
  • fréquence des sauvegardes et tests de restauration effectués. Les opérations de sauvegardes donnent lieu à un compte-rendu par messagerie avec indicateur de réussite ou d’échec.

 

Sécuriser les transactions bancaires

Si vous avez une activité de e-commercant par exemple, vérifiez bien que vous êtes - ainsi que votre hébergeur de données bancaires - en conformité avec le PCI DSS. Cet acronyme anglais de « Payment Card Industry Data Security Standard » (ou « Standard de sécurité des données pour l’industrie des cartes de paiement ») s’applique à tout acteur qui stocke, traite ou transmet des données de cartes bancaires. Pour être conforme au PCI DSS tout acteur doit réaliser des tests de vulnérabilité trimestriels de ses points d’accès sur Internet.

Ce qu’il ne faut pas faire

  • Oublier d’imposer une clause de réversibilité

Ce n’est pas lorsque vous souhaiterez changer de prestataire que vous devrez vous préoccuper de la présence de cette clause. Elle vous permet de récupérer en fin de contrat l’ensemble de vos données confiées à un sous-traitant. Il est très important de préciser le format dans lequel devront être livrés vos fichiers.

En cas de différend, vous pourrez saisir les tribunaux. En novembre 2012, le parti politique UMP avait décidé de changer de prestataire pour la gestion et l’hébergement de ses données personnelles et donc de les récupérer auprès d’Oracle. « Ce dernier avait fait valoir à l’UMP qu’une fonction d’exportation de son logiciel Oracle CRM On Demand ne fonctionnait pas. En référé, le Président du Tribunal de Nanterre avait dit que ce n’était pas le problème de l’UMP. La juridiction a fait injonction à Oracle, sous astreinte de 5000 € par jour de retard, de se débrouiller pour que la réversibilité soit faite. Cette affaire confirme que la réversibilité est un enjeu qui est compris par les juges », a précisé Maître Olivier Iteanu au site spécialisé securiteoff.com.

 

 

 Télécharger la fiche Revenir au sommaire

 

Découvrez notre offre

logo_GPN.PNG

Texte bas 

Informations non contractuelles données à titre purement indicatif dans un but pédagogique et préventif. GENERALI ne saurait être tenue responsable d’un préjudice d’aucune nature lié aux informations fournies.