Le mois d’octobre est le mois de la sensibilisation à la cybersécurité. Plusieurs organisations proposent des événements où des spécialistes du domaine partagent leurs expériences et expertises avec des groupes de clients. J’ai eu la chance de participer à quelques-uns de ces événements. Inévitablement, la question suivante est posée: comment fait-on pour savoir si l’organisation qui me sollicite pour me vendre des produits et services de cybersécurité est compétente dans le domaine?
C’est une excellente question. J’œuvre en cybersécurité depuis plus de 20 ans et je n’ai jamais vu autant de firmes de produits et services promouvoir leur capacité en cybersécurité. Tout le monde comprend qu’il y a une urgence d’agir et que les entreprises ont besoin d’aide. C’est un marché attrayant.
Toutefois, le manque de sérieux de certaines propositions de services affecte la crédibilité de cette industrie et même plus généralement, l’industrie des technologies de l’information. J’ai toujours un malaise lorsque j’entends des organisations faire la promotion de solutions qui, selon eux, protègent les clients de 100% des menaces. Malheureusement, ils réussissent à les vendre.
J’entends régulièrement des gens me dire: «Nous n’avons pas besoin de nous préparer à répondre à un cyberincident, nous avons une solution qui détecte et bloque tout.» Je réponds à cette affirmation par la réflexion suivante: grâce à eux, la cybersécurité, c’est un problème réglé. J’espère que les mêmes équipes vont pouvoir s’attaquer aux problèmes environnementaux rapidement.
Cela dit, comment faire pour éviter les mauvaises surprises?
1 — Valider la portée de ce qu’on veut vous vendre
En cybersécurité, la solution magique n’existe malheureusement pas encore. La cybersécurité se déploie en plusieurs couches. Certaines solutions protègent le courrier électronique, d’autres les postes et les serveurs et ainsi de suite.
Demandez à votre vendeur de discuter avec vous des scénarios de cyberincidents où son offre sera efficace et pourra vous protéger. Un vendeur compétent sera en mesure de vous expliquer la portée de sa solution, ses possibilités d’évolution ainsi que ses limitations. C’est-à-dire les scénarios qui devront être couverts par d’autres solutions de cybersécurité.
2— Vérifier qui fait quoi
Étant donné la pénurie de main-d’œuvre en cybersécurité, les offres gérées sont de plus en plus recherchées, par exemple, les offres de solutions de détection et de réponse aux incidents gérées.
Il est très important de bien établir avec votre fournisseur ce qui sera potentiellement détecté et comment sera exécuté la réponse à l’incident. Je vois beaucoup de solutions où le vendeur installe un équipement et propose un service téléphonique de support dans le cas où votre équipe ne serait pas en mesure de faire l’éradication complète de la menace. Ces solutions sont attrayantes à première vue. Elles sont en place rapidement et ne nécessitent pas beaucoup d’implication ni pour votre équipe ni pour celle du vendeur.
Toutefois, je vous recommande de clarifier les éléments suivants:
- Qui est responsable que la solution soit configurée adéquatement?
- Qui est responsable de la gestion des vulnérabilités?
- Qui est responsable de la surveillance de la solution 24 heures par jour?
- Qui est responsable de la création et de l’évolution des procédures de réponse aux incidents?
- Qui sait où sont les données sensibles?
- Quelles sont les procédures d’escalade en cas d’incident à plus forte conséquence?
- Quels sont les canaux de communication entre le fournisseur et votre équipe?
- Quelle sera la reddition de compte entourant le service ou l’équipement?
Trop d’entreprises se croient protégées parce qu’elles peuvent compter sur un service de concierge pour les supporter en cas d’incident. Bien que possiblement compétente, cette équipe de support ne connaît pas votre entreprise. Le temps qu’elle vous pose les questions nécessaires pour porter un premier diagnostic, il est possible que les dégâts soient déjà importants.
Les mêmes constats s’appliquent pour les solutions de pare-feu gérés. Dans bien des cas, le fournisseur gère le pare-feu et non les éléments de cybersécurité qui s’y attachent. Il est donc bien important de vérifier qui est responsable de chaque fonction qui supporte le bon fonctionnement du système qu’on cherche à vous vendre. Il n’est pas exceptionnel de voir des solutions de pare-feu gérées avec des vulnérabilités importantes et des configurations laissant passer la totalité du trafic réseau. C’est la responsabilité de qui?
3 — Évaluation du vendeur
Est-ce que vous feriez faire vos impôts par votre électricien? Il est sans doute excellent pour les problèmes électriques, mais la fiscalité n’est peut-être pas sa tasse de thé. La cybersécurité, c’est une spécialité.
Habituellement, une firme sérieuse en cybersécurité aura mis en place pour elle-même plusieurs bonnes pratiques concernant sa propre gouvernance en cybersécurité. Voici quelques éléments à surveiller:
- Est-ce que votre vendeur a une politique de sécurité valable et à jour?
- Est-ce que votre vendeur a une politique de confidentialité valable et à jour?
- Est-ce que votre vendeur a nommé un responsable de la protection des renseignements personnels?
- Est-ce que votre vendeur a des encadrements concernant la réponse aux incidents?
- Est-ce que votre vendeur détient une certification SOC2 ou une certification équivalente en ce qui concerne les services qu’il vous propose?
- Est-ce que votre vendeur a un chef de la cybersécurité avec un niveau d’expérience convenable dans le domaine?
Ce sont des questions que vous pouvez poser et pour lesquelles vous êtes en droit de recevoir une réponse rapide et précise. Ce n’est pas parce que quelqu’un répond non à l’une de ces questions qu’il n’est pas un fournisseur valable. Toutefois, je me méfierais des cordonniers mal chaussés.
4 — Les clients références
Comme clients, nous n’avons pas tous les mêmes attentes. En cybersécurité, nous n’avons pas les mêmes capacités. Certaines organisations ont une excellente force de frappe à l’interne et recherchent des services sur mesure pour compléter leurs équipes. D’autres n’ont aucune ressource en cybersécurité et ont besoin d’être guidées dans cet écosystème complexe.
Je vous recommande de demander à votre fournisseur de vous mettre en contact avec des clients références qui ont des caractéristiques similaires aux vôtres en ce qui concerne la taille de l’équipe TI, les ressources disponibles en cybersécurité et les services recherchés. Si vous avez des attentes claires envers votre fournisseur, vous pouvez les énoncer aux clients références et valider si, dans leur cas, le fournisseur répond à ces mêmes attentes.
5 — La cyberassurance
La cyberassurance n’est pas un remède magique, mais il s’agit d’un indicateur pertinent de la présence d’une bonne gouvernance de la cybersécurité chez votre fournisseur. Si votre vendeur n’est pas éligible à une cyberassurance parce qu’il n’a pas démontré qu’il avait des contrôles de cybersécurité suffisants pour protéger son organisation ou s’il a décidé de ne pas souscrire à une telle protection parce qu’il se croit à l’abri, c’est peut-être un signe qu’il n’est pas le leader que vous recherchez.
J’espère que ces quelques pistes de réflexion vous permettront d’éviter des dépenses inutiles et de bien choisir votre partenaire en cybersécurité.