Exposées à de plus en plus de menaces informatiques extérieures et intérieures, les entreprises doivent identifier les risques encourus et gérer efficacement les systèmes et les procédures permettant de garantir la pérennité de leur activité.
Mais la sécurité informatique n’est pas forcément le cœur de métier de toutes les entreprises. Pour apporter des solutions adaptées aux types et aux niveaux de risque, des solutions professionnelles, évolutives et expertes, il faut être prêt soit à se constituer une équipe dédiée, soit à faire appel à différents prestataires qui maîtrisent ces compétences.
Ainsi, pour une majorité de PME et de TPE il est plus pratique de faire appel à des partenaires qui vont apporter des solutions expertes et spécialisées. Mais bien entendu, cela ne résout pas tous les problèmes. Parce que pour prendre des bonnes décisions, il faut avoir une vision des différents enjeux et la partager avec l’ensemble de l’équipe dirigeante de l’entreprise. Il faut également disposer des compétences et des ressources nécessaires pour une gestion efficiente de ces partenaires et de leurs services.
Dans cet article, nous souhaitons vous apporter un éclairage sur 3 bonnes pratiques pour la gestion de vos prestataires et fournisseurs en solution de sécurité informatique pour 2019.
Réduire le nombre de fournisseurs
Selon le Benchmark CISO 2019 réalisée auprès de 3259 RSSI et DSI dans 18 pays, dont la France, la tendance en matière de système d’information et à la rationalisation. Parce qu’un système d’information complexe est plus difficile à gérer, mais aussi parce qu’un système d’information complexe est plus difficile à protéger.
Les chiffres apportés par le rapport sont éloquents :
63% des DSI et RSSI travaillent avec 10 fournisseurs ou moins (contre 54% l’an dernier)
14% des DSI et RSSI travaillent avec plus de 20 fournisseurs (contre 20% l’an dernier)
3% des DSI et RSSI travaillent avec plus de 50 fournisseurs (contre 5% l’an dernier)
Tout d’abord, on remarque qu’une majorité de DSI ou de RSSI travaille désormais avec un petit nombre de fournisseurs de solutions et services de sécurité informatique. Ensuite, on remarque que le nombre de fournisseurs employés diminue chaque année, et ce, dans toutes les catégories.
Et les raisons d’effectuer cette rationalisation sont très concrètes : D’une part il y a une volonté de réduire les coûts, et d’autre part la volonté de mieux orchestrer les alertes et les réponses provenant de multiples fournisseurs.
Mais pour réduire le nombre de ses fournisseurs, encore faut-il le connaître. Ainsi, la première étape de cette rationalisation doit commencer par la mise en place d’un audit informatique, couplé ou non à un audit de sécurité informatique. Ces audits permettront de connaître parfaitement les composants de son système d’information, mais aussi d’évaluer les risques auxquels l’entreprise est soumise et les solutions adéquates à y apporter.
Être plus exigeant avec ses fournisseurs de sécurité informatique
Une deuxième tendance pour 2019, la nécessité pour les entreprises d’être plus exigeantes avec leurs fournisseurs de services ou de produits liés à la sécurité informatique.
Pour s’assurer de la qualité du travail effectué par le fournisseur, l’un des moyens les plus efficaces et de faire figurer les engagements du fournisseur dans son contrat.
Par exemple il est possible de demander au fournisseur la mise en place d’audits réguliers ou de tests d’intrusions permettant de justifier du suivi des vulnérabilités et du niveau de sécurité des mesures implantées. Il est également possible de faire figurer des mentions concernant les heures d’astreinte du prestataire en cas d’incident, le délai d’intervention, la redondance des équipements en matière de sauvegarde ou la mise à jour systématique et en temps réel des outils proposés.
Enfin, le fournisseur possède également un devoir de conseil et il est possible de prévoir des réunions ou des entretiens permettant d’échanger sur les enjeux et les menaces sectorielles à l’instant T.
Ce que le RGPD change avec la relation fournisseur
Enfin, dernière tendance importante concernant la relation avec les fournisseurs en services et produits de sécurité informatique, c’est la mise en application du RGPD.
Avant le RGPD, un sous-traitant avait peu de responsabilités en cas d’atteinte à la protection des données personnelles.
Désormais, il dispose des obligations suivantes :
- Le sous-traitant est co-responsable avec son commanditaire, et il devient même le seul responsable s’il outrepasse les instructions du commanditaire,
- En cas de non-respect du RGPD, il a l’obligation d’alerter le responsable du traitement,
- Le sous-traitant dispose d’une obligation de confidentialité,
- Il doit notifier toute violation de données personnelles,
- Le sous-traitant ne peut lui-même sous-traiter sans autorisation,
- Il doit prendre un certain nombre de mesures pour assurer la conformité aux obligations de sécurité,
- Il doit tenir un registre écrit des traitements de données mise en œuvre,
- Dans certains cas, il doit désigner un DPD (délégué à la protection des données).
Autant dire que les obligations sont désormais nombreuses et ont un impact effectif sur la gestion de données et leur sécurisation.
Pour les entreprises, cela signifie, d’une part, qu’il faut être conscientes de toutes ces nouvelles obligations, et d’autre part qu’il faut s’assurer que le fournisseur les applique en bonne et due forme.
Ainsi, nous venons de parcourir trois des principales tendances en matière de gestion des fournisseurs de service et de produits de sécurité informatique pour 2019.
Être plus exigeant, faire appliquer les nouvelles obligations liées au RGPD et rationaliser le nombre de ses fournisseurs devrait permettre une efficacité accrue en matière de protection, mais aussi en matière de gestion des incidents. Ces mesures devraient permettre, on l’espère, une meilleure prise en compte des risques et des incidents de sécurité informatique.
Vous avez des remarques, ou des bonnes pratiques à ajouter ? N’hésitez pas à nous écrire via la section commentaires en bas d’article.