Rechercher

  1. Orange Cyberdefense
  2. Insights
  3. Blog
  4. Gestion des vulnérabilités
  5. Vulnérabilités des prestataires : entre contrôle et confiance

Vulnérabilités des prestataires : entre contrôle et confiance

Share

Comment gérer les vulnérabilités informatiques liées aux prestataires ? Comment trouver le bon équilibre entre le contrôle et la confiance ?

C’est ce qu’expliquent Guillaume Laudière et Loup Gronier, consultants sécurité chez Orange Cyberdefense au sein de leur livre blanc.

L’externalisation touche tout le monde : il est fréquent pour une petite comme une grande structure d’être accompagnée dans la réalisation de tâches au quotidien. Mais sans le vouloir, votre prestataire peut être à l’origine de votre pire cauchemar. On se souvient encore, par exemple, de la fuite de 110 millions de données bancaires et privées de la société américaine Target à cause de son prestataire de climatisation.

Même si l’externalisation s’intègre aujourd’hui complètement aux processus des sociétés, les problèmes de sécurité s’avèrent de plus en plus nombreux et leur font prendre conscience qu’elles doivent contrôler toute la chaîne de la prestation. La mise en œuvre d’une externalisation, pour être sécuritaire, doit donc s’accompagner d’un suivi et d’actions de contrôle.

Car oui, comme le dit l’adage : « La confiance n’exclut pas le contrôle ». Et si cette étape demeure nécessaire dans le cycle de vie d’un projet ou d’une application, elle ne peut être réduite uniquement à cette phrase. En effet, pour une entreprise devant maîtriser ses externalisations, la mise en œuvre d’un processus global de gestion des audits est une quasi-obligation. La réflexion se pose donc de structurer son approche mais surtout d’intégrer un certain nombre de bonnes pratiques.

Peut-on réduire la gestion de la prestation externalisée à l’étape de contrôle ? Clairement, non. En faisant référence à la roue de Deming, mis en œuvre dans le système de management de la sécurité de l’information notamment, le contrôle n’est qu’une des quatre étapes du cycle de gestion.

Pour une plus grande maitrise de l’externalisation, il est donc préconisé d’instaurer un processus d’externalisation reposant sur ces quatre étapes du PCDA (Plan, Do, Action, Check) :

  1. la définition des objectifs de sécurité et la contractualisation,
  2. la mise en œuvre de la gouvernance et pilotage du niveau de sécurité,
  3. la réalisation des contrôles,
  4. le suivi des plans d’action et l’amélioration continue.

Avec plusieurs années d’expérience dans la réalisation des audits de prestataires, les auditeurs et les consultants d’Orange Cyberdefense proposent au travers d’un livre blanc, une réflexion, des axes d’optimisation et des approches afin de structurer et mettre en œuvre vos propres processus. Vous y trouverez également un retour d’expérience sur :

  • la construction du référentiel d’exigence PAS ;
  • les audits de prestataires.