Depuis le début de l’année, les cybercriminels sont encore plus actifs. Dans beaucoup de cas, les victimes sont stupéfaites quand elles constatent à quel point elles étaient vulnérables. La raison évoquée est souvent la suivante : «Je croyais que mon fournisseur de technologies de l’information (TI) s’occupait de tout ça».
Dans le même ordre d’idée, un ami, chef d’entreprise, m’a partagé la réflexion suivante : «La cybersécurité c’est le Far West, tout le monde veut nous en vendre. C’est comme dans les débuts du WEB, des compagnies nous promettaient d’augmenter nos ventes par un facteur 10, parce qu’ils avaient une solution de panier d’achats». Aujourd’hui, on nous propose de la cybersécurité parce qu’il y a un besoin évident, mais comment faire le bon choix et bien comprendre ce que l’on achète ?
Cet article vous propose des éléments à valider rapidement pour réduire les écarts entre ce que vous croyez avoir souscrit comme services et ce que le fournisseur vous a réellement vendu.
Je veux insister sur les deux éléments fondamentaux suivants : la réputation du fournisseur et les clauses contractuelles à surveiller.
La réputation du fournisseur
Ce n’est pas parce qu’un fournisseur jouit d’une bonne réputation dans un domaine qu’il sera efficace en cybersécurité. Il existe plusieurs mesures pour évaluer la réputation d’un fournisseur en matière de cybersécurité. Voici deux mesures considérées comme étant les plus efficaces :
1 — Vérification de la certification de sécurité : il est important de vérifier si le fournisseur a obtenu des certifications de sécurité reconnues, telles qu’ISO 27001, SOC 2 ou PCI DSS. Ces certifications sont délivrées après un examen exhaustif des pratiques de sécurité du fournisseur et garantissent que ses systèmes et processus sont sécurisés de manière adéquate.
2— Évaluation de la transparence en matière de sécurité : il est primordial de vérifier si le fournisseur est transparent en matière de sécurité, notamment en fournissant des informations détaillées sur ses politiques et ses pratiques de sécurité et de protection des données.
En utilisant ces mesures pour évaluer la réputation d’un fournisseur en matière de cybersécurité, vous pouvez mieux comprendre les risques et prendre des décisions informées sur la sécurité de vos données et de votre entreprise.
Les clauses contractuelles
En s’entendant sur des définitions et des clauses dans les contrats avec les fournisseurs, les entreprises peuvent mieux protéger leurs données et minimiser les risques associés à leur
traitement par de tierces parties. Il est important de travailler avec des avocats pour s’assurer que ces clauses sont valables et efficaces pour protéger les intérêts de l’entreprise.
1— Les rôles et responsabilités : il est important de négocier les termes de cybersécurité du contrat, plus particulièrement les rôles et responsabilités. Bref, qui fait quoi ? Cette négociation devrait porter sur les clauses de protection des infrastructures, des données, les copies de sécurité, la notification en cas d’incident, le protocole de réponse en cas de cyberincident et les dispositions pour gérer les problèmes de cybersécurité. Il est également important de déterminer qui sera responsable des mises à jour et de la surveillance.
2— Obligations de confidentialité : vos données ont de la valeur. Vous l’avez constaté dans les médias dernièrement, il y a des acheteurs intéressés et vos fournisseurs pourraient donc être tentés de les monnayer. Le contrat devrait minimalement inclure des obligations pour le fournisseur de ne pas partager ou utiliser les informations confidentielles de l’entreprise, à moins d’obtenir votre autorisation explicite.
3— Notification en cas de violation de la sécurité des données : personne n’est à l’abri d’un incident de cybersécurité. Vos fournisseurs peuvent aussi en être victimes. Le contrat devrait inclure des dispositions pour la notification en cas de violation de la sécurité des données, telles que les obligations de notification à l’entreprise, les obligations de notification aux autorités compétentes et les obligations de coopération pour résoudre le problème.
4— La sécurité des données et des infrastructures : cette clause stipule vos exigences ainsi que vos attentes en matière de sécurité des données. Vous devez établir comment le fournisseur doit les respecter. Par exemple : les protocoles de cryptage, les politiques de gestion des vulnérabilités, la gestion des accès ainsi que la journalisation. De plus, vous pouvez exiger qu’il détienne une assurance cyberrisques. Cette dernière pourrait aider votre fournisseur à répondre plus rapidement à un incident majeur.
5— Bien comprendre votre dépendance à votre fournisseur TI et agir en conséquence : certaines entreprises font le choix d’impartir complètement les technologies de l’information à un fournisseur. Bien que cela peut être une excellente décision d’affaires, elle induit des risques. Votre fournisseur peut ne pas être en mesure de fournir un niveau de service suffisant, ce qui peut entraîner des interruptions du service et donc des problèmes pour votre entreprise. Par exemple, votre fournisseur subit une sévère cyberattaque et vous ne pouvez recevoir le service souscrit pendant plusieurs semaines. Il est important de bien établir quelle sera votre stratégie pour la poursuite des affaires dans une pareille situation. Est-ce que le fournisseur vous garantit un environnement de relève dans les délais qui vous conviennent ou vous devez avoir un plan B ?
6— Droit d’audit et reddition de compte : il est également conseillé d’établir des indicateurs de gestion qui vous permettront de constater si votre fournisseur effectue vraiment les travaux requis. Ces indicateurs vous permettront d’éliminer rapidement les malentendus et de vous assurer que les services souscrits évoluent et répondent à vos besoins. Il est aussi important de vérifier que votre fournisseur se fait auditer régulièrement. Cela peut inclure des tests de pénétration, des vérifications de conformité régulières et des vérifications de sécurité du personnel du fournisseur.
7— Établir des relations à long terme avec vos fournisseurs : la cybersécurité est devenue un enjeu majeur pour les entreprises dans un monde de plus en plus connecté. Les attaques informatiques peuvent causer des pertes considérables en termes de données sensibles, d’argent et de réputation. C’est pourquoi il est crucial de prendre des mesures de sécurité adéquates avant d’octroyer un contrat à un fournisseur tiers. Ces contrats sont un peu plus complexes qu’un simple bon de commande pour une imprimante. Les enjeux sont plus grands. C’est pour cette raison qu’il est important d’établir une relation de confiance à long terme bien encadrée par des clauses contractuelles claires.
En conclusion, la gestion des risques de cybersécurité reliés aux fournisseurs TI est un enjeu crucial pour les entreprises. Les cyberattaques peuvent avoir des conséquences graves pour les activités d’une entreprise et pour sa réputation. Il est donc important de mettre en place une stratégie efficace de gestion des risques qui inclut des processus de sélection rigoureux pour les fournisseurs TI, des contrats clairs avec des clauses de sécurité solides ainsi qu’une et une surveillance constante des activités.