Protection des données en Inde : entre intentions et réalités
Externaliser développements et processus métiers en Inde ne se fait pas sans contraintes. Les risques sont nombreux, mais les SSII implantées sur place rivalisent d’initiatives pour rassurer leurs clients et prospects. Restent certains développements d’actualité qui peuvent laisser planer un certain doute.
Des contraintes fortes
Christiane Féral-Schul, avocate et présidente de l’Association pour le développement de l’informatique juridique, le rappelle : le transfert de données personnelles hors des frontières de l’Union Européenne, et donc vers l’Inde, est soumis à autorisation. Pour cette avocate, au-delà des risques classiques sur la confidentialité, c’est la rotation des salariés qui est susceptible d’être problématique. Fin septembre dernier, Intel en a semble-t-il fait les frais : le fondeur poursuit l’un de ses anciens ingénieurs en Inde, l’accusant d’avoir dérobé 13 fichiers recelant des secrets industriels pour… les donner à AMD.
Pour Christiane Féral-Schul, la première question porte sur la propagation, au salarié, des clauses contractuelles liant le prestataire indien à son client occidental. Et de conseiller, du coup, de «prévoir des mesures à la marge telles que des engagements du personnel sur la confidentialité, la production de documents non modifiables et filigranés, mais aussi des dispositions relatives à un éventuel arbitrage.»
Retrouvez notre enquête sur le recrutement et la fidélisation des salariés dans les SSII en Inde : Inde : recruter et conserver les talents reste le défi n°1
Au-délà, Christiane Féral-Schul entrevoit aussi des risques liés à la propriété intellectuelle sur les solutions développées par le prestataire : «il faut prévoir la rétrocession des droits sur les développements.» Et de préciser que… «ce n’est pas parce que vous avez le droit d’utiliser une application, que vous avez le droit de la faire sortir du pays!»
Surtout, pour l’avocate, il y a le risque de «voir des développements sur mesure se retrouver sur le marché, sous la forme de clones améliorés. Il faut donc blinder la question des reproductions non autorisées en fragmentant le code et imposant son retour régulier en France.» Enfin, Christiane Feral-Schul prévient aussi du « risque de discontinuité de service lié à la distance, un risque qui existe déjà avec un prestataire local, mais se voit démultiplié par l’éloignement. Dès lors, il faut organiser, en amont, la transférabilité et la réversabilité.»
Un engagement pragmatique
Les prestataires installés en Inde ne sont pas dupes : ils savent que ces préoccupations sont présentes à l’esprit de leurs clients et de leurs prospects. Du coup, Yves Bernaert, responsable des centres de services en Europe, Amérique Latine et Afrique d’Accenture, l’assure ; ces questions « sont prises très très au sérieux.»
Et de relever que, «en France, on a rarement vu la mise en place de politiques de sécurité [aussi fortes qu’en Inde], sauf pour des secteurs très sensibles.» Jean-Yves Grisi, directeur général de KPIT Infosystems en France, le souligne volontiers : les SSII indiennes ont beaucoup investit dans la certification – CMMI niveau 5, notamment – pour rassurer leurs clients occidentaux et leur montrer que, «dès que l’on parle business, tout va bien se passer.»
Vidéo : Les certifications, un enjeu clé pour les SSII indiennes
Chez KPIT Cummins, justement, la réponse aux questions de confidentialité des données clients nous est parvenue par courriel, sous la forme d’une «FAQ» au format PDF, très détaillée, distribuée aux prospects et aux clients.
Dans ce document, on retrouve l’accent généralement mis par les SSII indiennes sur la conformité aux standards internationaux : «nous avons adopté les pratiques recommandées par l’ISO 27001, CoBIT, ITIL, BS/25999/PAS56. […] Notre organisation a été certifiée BS7799 en 2005 et ISO 27001 en 2006 [deux standards internationaux pour la sécurité des systèmes d’information, NDLR], pour ses installations de Pune et de Bangalore.» Plus loin, KPIT Cummins explique disposer d’un comité directeur dédié à la sécurité, l’ISF ou Information Security Forum, impliquant notamment le CSO de l’entreprise et le directeur général. L’ISF se réunit au moins une fois chaque trimestre.
Des espaces très contrôlés
Sur le terrain, la sécurité est effectivement très présente, qu’il s’agisse de sécurité physique ou logique, pour autant que l’on puisse le constater sur place. Ainsi, dans la pratique, il faut très logiquement montrer patte blanche avant de pénétrer sur le site d’une SSII indienne, avec attribution du traditionnel badge de visiteur, fouille des sacs et contrôle du numéro de série des équipements électroniques, à commencer par les ordinateurs portables, en entrée comme en sortie. Une fois sur site, les caméras de surveillance sont très présentes. Dans certaines zones, les photographies sont très logiquement interdites, ne serait-ce que pour garantir les exigences de discrétion de certains clients.
Une sécurité logique prise au sérieux
En fonction de leur sensibilité, les projets peuvent être séparés physiquement : certaines zones des plateaux de bureaux sont isolées avec un accès limité aux équipes projet concernées ; ces zones disposent généralement d’un réseau informatique local physiquement dissocié, ou logiquement avec réseau local virtuel (VLAN). Sur le poste de travail, on trouve bien sûr un contrôle d’accès par mot de passe – renouvelé tous les soixante jours chez KPIT Cummins -, mais aussi l’interdiction d’accéder aux droits administrateur, aux ports USB ou ports série.
L’accès à Internet est généralement très sévèrement filtré, par proxy, de même que l’accès aux systèmes de messagerie. De même que le simple accès au réseau, avec notamment contrôle d’accès par adresse MAC. Les SSII indiennes que nous avons rencontrées ne proposaient que rarement un accès à Internet pour les visiteurs.
Concrètement, chez Cap Gemini, à Navi Mumbai, on utilise des réseaux locaux virtuels, des proxys, la virtualisation ; le tout pour isoler les projets les uns des autres et les protéger de l’extérieur. Il faut aussi compter avec le contrôle d’usage sur les postes de travail pour limiter les risques de fuites de données. Autre exemple, chez Reliance Communications, l’accès à Internet est filtré, bloquant la consultation de sites tels que Flickr et YouTube. Chez TCS, nous avons rencontré une situation comparable. Harsh Inaniya, ancien employé d’une société d’externalisation de processus métier installée à Gurgaon, raconte, ci-dessous, son expérience.
Un système faillible
Mais la série d’attentats qui frappe l’Inde depuis le mois de juillet dernier place la sécurité sous un éclairage tout particulier. Sur le plan de la sécurité physique, on apprend ainsi qu’il faudrait quelque 60 MRs pour combler les failles de sécurité des installations d’Electronic City, cette banlieue de Bangalore qui concentre l’essentiel des entreprises IT de la ville. Mais seuls 10 % de cette somme ont été réunis entre avril 2007 et juillet 2008. La sécurité logique est également concernée.
De fait, l’enquête sur les attentats de Bangalore et d’Ahmedabad a permis d’identifier au moins trois anciens salariés du secteur IT parmi les terroristes : Mansoor Asgar Peerbhoy, ancien ingénieur en développement logiciel chez Yahoo ; Mubin Shaikh, ex-conseiller technique d’une entreprise IT dont le nom n’a pas été précisé ; et Tauqueer, ancien salarié de Wipro soupçonné d’être le cerveau des attentats. Des personnes compétentes et apparemment formées au piratage informatique. Et à cela peuvent enfin venir s'ajouter les soupçons de fuites de données à la Banque Mondiale.