Comment externaliser efficacement la gestion de la cybersécurité ?
Article écrit par
Stéphane JailletTemps de lecture estimé : 18 minutes
Alors que les risques d'attaques des systèmes informatiques sont de plus en plus importants et ce, quelle que soit la taille des entreprises visées, la question de la cybersécurité est d'actualité. Si votre structure ne se prête pas à une gestion en interne de la protection des données, il est important de se poser les bonnes questions avant d'externaliser, et de choisir votre prestataire de sécurité informatique.
01. Sécuriser vos données pour pérenniser votre activité
02. Les critères de sélection
03. Les prestations que vous pouvez attendre
04. Une relation sécurisée avec le partenaire
01. Sécuriser vos données pour pérenniser votre activité
L'objectif de la cybersécurité est de protéger vos données et vos systèmes informatiques contre les risques d'attaques par des cybercriminels. Cette protection est cruciale non seulement pour que votre entreprise fonctionne dans les meilleures conditions mais également pour que l'intégrité des informations relatives à vos collaborateurs, vos partenaires, vos fournisseurs et vos clients soir préservée.
De plus, dans le cadre de l'application du Règlement Général sur la Protection des Données (RGPD), les sociétés ont l'obligation de mettre en place des processus sécurisés de gestion et de collecte des données.
Légalement, ce sont les dirigeants des entreprises qui sont responsables de garantir la sécurité des données. Ils peuvent décider d'internaliser la protection des données en nommant un RSSI, pouvant être rattaché à leur DSI ou directement à la Direction générale ou de faire appel à un intervenant extérieur.
Cet expert réalise tout d'abord un diagnostic des processus existants afin de déterminer les actions à mettre en œuvre comme par exemple :
- sécuriser les processus d'identification des utilisateurs ;
- définir mesures de cryptologie telles que le chiffrement des connexions et des données ;
- revoir les procédures de mises à jour logicielles ;
- définir les processus de sauvegarde et de récupération des données critiques ;
- réaliser une analyse de risque, liée au métier de l'entreprise, pour mettre en place une gestion efficace du risque ;
- rédiger la PSSI (politique de sécurité des Systèmes d'Information) pour édicter l'ensemble des règles de sécurité à mettre en place dans l'entreprise ;
- etc.
02. Les critères de sélection
Si vous décidez d'externaliser la gestion de la sécurité de vos systèmes d'information, vous avez tout intérêt à prendre votre temps pour évaluer les offres de partenariat en vous basant notamment sur plusieurs critères.
Le niveau de sécurité du prestataire et sa réputation
Toute entreprise de sécurité informatique doit pouvoir vous présenter sa propre stratégie pour se prémunir contre les cybermenaces. En effet, lorsqu'une telle société travaille pour un grand nombre de clients, elle devient une cible privilégiée pour les cybercriminels.
Ce sont alors non seulement des données confidentielles de l'entreprise qui sont dérobées mais aussi celles de ses partenaires et potentiellement les vôtres. Il est donc recommandé de demander des informations précises et factuelles sur la protection informatique du prestataire.
Il est également conseillé de s'informer sur le prestataire de sécurité concernant l'ancienneté de sa structure, ses principaux clients et l'ensemble des données disponibles (financières, commerciales, etc.) le concernant. Vous devez vous assurer que ce partenaire potentiel a déjà géré des situations de crise et qu'il sera ainsi à même de vous assister dans les difficultés.
Sa capacité à recruter et garder des experts en sécurité informatique
Chaque prestataire de sécurité vous dira certainement qu'il compte un grand nombre d'experts dans ses effectifs. Il est cependant nécessaire d'approfondir ce sujet qui est crucial pour que le niveau de service attendu soit atteint.
Dans un contexte de permanente évolution technique et de raréfaction des profils expérimentés, les entreprises de sécurité informatique doivent vous démontrer qu'elles recrutent des profils variés et qu'elles investissent dans le développement des compétences de leurs collaborateurs grâce à des formations appropriées.
Elles doivent également avoir une politique RH dynamique leur permettant à la fois d'attirer de nouveaux talents et de retenir les collaborateurs déjà présents. Concrètement, vous devez vous attendre à trouver chez votre partenaire de sécurité informatique des profils variés tels que des :
- hackers éthiques : experts en tests d'intrusion, ou pentest, ils détectent les failles des systèmes informatiques en s'y infiltrant ;
- managers en gestion de cyber-crise : ils ont pour but de coordonner les équipes après la survenue d'une attaque afin d'assurer le maintien en conditions opérationnelles, de stopper la progression de la menace et de sauvegarder le maximum de données ;
- architectes de sécurité informatique : ces ingénieurs, spécialisés dans la conception de réseaux et de structures Web, sont à même de proposer des mesures correctives suite à des cyberattaques.
La diversité de son offre de services
Face à des problématiques de plus en plus complexes et qui varient aussi selon le secteur d'activité ainsi que la taille des entreprises, votre futur partenaire de sécurité doit vous présenter un catalogue détaillé de services et produits.
Il est important que ce prestataire vous démontre qu'il a compris les enjeux spécifiques à votre société et qu'il vous explique en quoi ses propositions sont en adéquation avec vos attentes. En se basant sur des profils expérimentés et variés, le prestataire peut combiner des approches techniques et opérationnelles dans son offre de services.
Sa réactivité en cas de cybermenace
Les nouvelles tendances en matière de cyberattaque consistent à utiliser l'ingénierie sociale pour cibler précisément les destinataires (comme dans le cas du spear phishing) ou à se servir de failles logicielles très récentes voire même inconnues. Il en résulte que, tout en étant protégé de manière optimale, aucun système informatique ne peut être considéré comme totalement hermétique à une attaque.
Votre partenaire en sécurité doit donc être capable à la fois de réagir très rapidement et efficacement. Cela implique qu'il ait des ressources suffisantes et expérimentées pour trouver la parade à ces attaques surprises et assurer le maintien en conditions opérationnelles de vos systèmes informatiques.
03. Les prestations que vous pouvez attendre
L'Agence Nationale de Sécurité des Systèmes d'Information (ANSSI) a créé un référentiel pour les exigences applicables aux Prestataires de Sécurité de confiance. L'objectif est de :
- garantir une exécution satisfaisante de la mission de détection ;
- définir les exigences relatives à la structure et aux processus des entreprises prestataires ;
- formuler des impératifs quant aux compétences et à la moralité des intervenants.
Selon ce référentiel, les prestataires sont tenus d'assurer trois sortes de prestations :
- gérer et enregistrer les événements de sécurité ;
- détecter, identifier et qualifier les incidents de sécurité ; modifier et améliorer le service en fonction des leçons tirées des incidents survenus ;
- informer le client sur les incidents de sécurité.
04. Une relation sécurisée avec un partenaire reconnu
L'ANSSI délivre des qualifications (niveau élémentaire, standard et renforcé) qui attestent du niveau de confiance que vous pouvez avoir en un certain nombre de produits et de prestataires de services. L'ANSSI attribue également des certifications à des produits de sécurité, qu'ils soient matériels ou logiciels. Il y a deux sortes d'évaluations :
- la Certification de Sécurité de Premier Niveau, plutôt centrée autour des tests d'intrusion ;
- la Certification selon les critères communs, évaluant un produit selon des niveaux d'assurance de sécurité et incluant la sécurité de développement.
Vous pouvez ainsi sélectionner des produits et des prestataires certifiés avant de faire votre choix. De plus, afin de sécuriser votre relation avec votre prestataire de sécurité informatique, vous pouvez également chercher de préférence un partenaire hexagonal, voire local. Pour vous aider dans cette démarche, le label « France Cybersecurity » a été créé. Son objectif est de promouvoir des solutions françaises de sécurité informatique dont la qualité est avérée.
Vous prévoyez de déployer un SOC pour votre entreprise ? Pensez à consulter notre page dédiée ou à télécharger notre livre blanc : "Le SOC, nécessaire, utile ou sans intérêt ?"
Articles à la une
Ces articles pourraient vous intéresser
11/05/2020
PRA et PCA: deux solutions différentes pour gérer les incidents majeurs
Découvrir
12/08/2020
SOC Internes : Considérations et coûts cachés
Découvrir