Temps de lecture estimé : 18 minutes
Alors que les risques d'attaques des systèmes informatiques sont de plus en plus importants et ce, quelle que soit la taille des entreprises visées, la question de la cybersécurité est d'actualité. Si votre structure ne se prête pas à une gestion en interne de la protection des données, il est important de se poser les bonnes questions avant d'externaliser, et de choisir votre prestataire de sécurité informatique.
01. Sécuriser vos données pour pérenniser votre activité
02. Les critères de sélection
03. Les prestations que vous pouvez attendre
04. Une relation sécurisée avec le partenaire
L'objectif de la cybersécurité est de protéger vos données et vos systèmes informatiques contre les risques d'attaques par des cybercriminels. Cette protection est cruciale non seulement pour que votre entreprise fonctionne dans les meilleures conditions mais également pour que l'intégrité des informations relatives à vos collaborateurs, vos partenaires, vos fournisseurs et vos clients soir préservée.
De plus, dans le cadre de l'application du Règlement Général sur la Protection des Données (RGPD), les sociétés ont l'obligation de mettre en place des processus sécurisés de gestion et de collecte des données.
Légalement, ce sont les dirigeants des entreprises qui sont responsables de garantir la sécurité des données. Ils peuvent décider d'internaliser la protection des données en nommant un RSSI, pouvant être rattaché à leur DSI ou directement à la Direction générale ou de faire appel à un intervenant extérieur.
Cet expert réalise tout d'abord un diagnostic des processus existants afin de déterminer les actions à mettre en œuvre comme par exemple :
Si vous décidez d'externaliser la gestion de la sécurité de vos systèmes d'information, vous avez tout intérêt à prendre votre temps pour évaluer les offres de partenariat en vous basant notamment sur plusieurs critères.
Toute entreprise de sécurité informatique doit pouvoir vous présenter sa propre stratégie pour se prémunir contre les cybermenaces. En effet, lorsqu'une telle société travaille pour un grand nombre de clients, elle devient une cible privilégiée pour les cybercriminels.
Ce sont alors non seulement des données confidentielles de l'entreprise qui sont dérobées mais aussi celles de ses partenaires et potentiellement les vôtres. Il est donc recommandé de demander des informations précises et factuelles sur la protection informatique du prestataire.
Il est également conseillé de s'informer sur le prestataire de sécurité concernant l'ancienneté de sa structure, ses principaux clients et l'ensemble des données disponibles (financières, commerciales, etc.) le concernant. Vous devez vous assurer que ce partenaire potentiel a déjà géré des situations de crise et qu'il sera ainsi à même de vous assister dans les difficultés.
Chaque prestataire de sécurité vous dira certainement qu'il compte un grand nombre d'experts dans ses effectifs. Il est cependant nécessaire d'approfondir ce sujet qui est crucial pour que le niveau de service attendu soit atteint.
Dans un contexte de permanente évolution technique et de raréfaction des profils expérimentés, les entreprises de sécurité informatique doivent vous démontrer qu'elles recrutent des profils variés et qu'elles investissent dans le développement des compétences de leurs collaborateurs grâce à des formations appropriées.
Elles doivent également avoir une politique RH dynamique leur permettant à la fois d'attirer de nouveaux talents et de retenir les collaborateurs déjà présents. Concrètement, vous devez vous attendre à trouver chez votre partenaire de sécurité informatique des profils variés tels que des :
Face à des problématiques de plus en plus complexes et qui varient aussi selon le secteur d'activité ainsi que la taille des entreprises, votre futur partenaire de sécurité doit vous présenter un catalogue détaillé de services et produits.
Il est important que ce prestataire vous démontre qu'il a compris les enjeux spécifiques à votre société et qu'il vous explique en quoi ses propositions sont en adéquation avec vos attentes. En se basant sur des profils expérimentés et variés, le prestataire peut combiner des approches techniques et opérationnelles dans son offre de services.
Les nouvelles tendances en matière de cyberattaque consistent à utiliser l'ingénierie sociale pour cibler précisément les destinataires (comme dans le cas du spear phishing) ou à se servir de failles logicielles très récentes voire même inconnues. Il en résulte que, tout en étant protégé de manière optimale, aucun système informatique ne peut être considéré comme totalement hermétique à une attaque.
Votre partenaire en sécurité doit donc être capable à la fois de réagir très rapidement et efficacement. Cela implique qu'il ait des ressources suffisantes et expérimentées pour trouver la parade à ces attaques surprises et assurer le maintien en conditions opérationnelles de vos systèmes informatiques.
L'Agence Nationale de Sécurité des Systèmes d'Information (ANSSI) a créé un référentiel pour les exigences applicables aux Prestataires de Sécurité de confiance. L'objectif est de :
Selon ce référentiel, les prestataires sont tenus d'assurer trois sortes de prestations :
L'ANSSI délivre des qualifications (niveau élémentaire, standard et renforcé) qui attestent du niveau de confiance que vous pouvez avoir en un certain nombre de produits et de prestataires de services. L'ANSSI attribue également des certifications à des produits de sécurité, qu'ils soient matériels ou logiciels. Il y a deux sortes d'évaluations :
Vous pouvez ainsi sélectionner des produits et des prestataires certifiés avant de faire votre choix. De plus, afin de sécuriser votre relation avec votre prestataire de sécurité informatique, vous pouvez également chercher de préférence un partenaire hexagonal, voire local. Pour vous aider dans cette démarche, le label « France Cybersecurity » a été créé. Son objectif est de promouvoir des solutions françaises de sécurité informatique dont la qualité est avérée.
Vous prévoyez de déployer un SOC pour votre entreprise ? Pensez à consulter notre page dédiée ou à télécharger notre livre blanc : "Le SOC, nécessaire, utile ou sans intérêt ?"