Bénéficier de l’expertise, de la gestion et de l’accompagnement des prestaires de services informatiques externes
En théorie, l’externalisation de votre informatique devrait être aussi simple que l’externalisation de prestations RH, ou des services de paie, juridiques ou comptables.
Mais savez-vous vraiment quelles sont les prestations que vous achetez à votre prestaire de services informatiques ? Au-delà des services et de la sécurité dont votre entreprise a besoin, votre prestataire vous offre-t-il un bon rapport qualité-prix ?
Les chiffres officiels indiquent que 39 % des entreprises britanniques ont détecté une cyberattaque visant leur organisation en 2022 ; dans 83 % des cas, ces attaques sont des tentatives d’hameçonnage. Il n’est donc pas étonnant que les entreprises qui ne disposent pas d’un service informatique intégré cherchent à sous-traiter leur IT à un prestataire externe ou à un fournisseur de services d’infogérance. [1]
Cette tendance est encore moins étonnante si l’on prend en compte le niveau d’investissement requis pour mettre en place en interne les technologies, les contrôles et les compétences adéquats. Les chiffres montrent que l’externalisation des services informatiques est aujourd’hui l’approche privilégiée par :
36 % des microentreprises (moins de 10 employés)
57 % des petites entreprises (moins de 50 employés)
65 % des entreprises de taille moyenne (entre 51 et 250 employés)
72 % des grandes entreprises (plus de 250 employés)
Indépendamment de leur taille et de leur secteur d’activité, l’enjeu pour toutes les entreprises consiste à choisir le bon prestataire de services. C’est un marché en forte effervescence et ultra concurrentiel.
Quel est le bon partenaire pour votre entreprise ? Est-ce que le prestataire appréhende bien les besoins, le profil de risque et l’orientation stratégique de votre entreprise ? Est-il proactif ? Est-ce qu’il vous épaulera de manière efficace en cas d’atteinte à la sécurité, d’incident informatique ou d’incident cyber ?
Lorsque l’on fait appel à un tiers pour gérer la réception ou la paie, le passer au crible est plutôt simple. Dans le cas d’un prestataire de services informatiques externe, il est bien plus difficile de déterminer s’il est capable d’assurer une gestion efficace de l’informatique.
Les risques de la chaîne logistique
Les prestataires de services informatiques et de services infogérés accompagnent les entreprises. Ils sont exposés, comme tous les tiers traitant des données, aux risques d’attaques internes ou externes, qui peuvent ainsi potentiellement avoir accès aux réseaux de plusieurs entreprises.
C’est un compromis sur la sécurité : pour bénéficier de l’expertise d’un prestataire de services informatiques en matière de sécurité, une entreprise doit presque toujours lui donner accès à ses données.
Les prestataires de services font partie de votre chaîne logistique[2] ; il est donc tout à fait légitime que vous déterminiez avec précision ce qu’ils vous apportent. Il est crucial d’évaluer les capacités du fournisseur : une fois le contrat signé (car il vous en faut un pour être protégé), vous êtes liés l’un à l’autre.
Généralement, l’évaluation d’un fournisseur est effectuée à l’aide d’un questionnaire personnalisé pour ce prestataire. Les questions de ce formulaire peuvent être intégrées à la procédure de passation des marchés, c’est-à-dire au moment où vous recherchez un prestataire de services performant ; si vous faites déjà appel à un sous-traitant, elles peuvent vous permettre de contrôler s’il fait vraiment ce qu’il dit.
L’enquête réalisée au Royaume-Uni a mis en évidence que la plupart des entreprises ne suivent pas cette approche ; elles basent leur choix sur le prix plutôt que sur les compétences. Malheureusement, en ne vérifiant pas que le fournisseur est en mesure de garantir un service réellement sécurisé, ces entreprises risquent de subir des pertes financières bien plus élevées que les économies réalisées chaque année grâce à leur négociation.
Quel est l’enjeu ?
Même si une entreprise transfère une partie du risque, car elle sous-traite certains services à un tiers, elle reste responsable des conséquences des défaillances informatiques et de sécurité.
Par exemple, si vous attendez une livraison à domicile qu’au final vous ne recevez pas, vous ferez une réclamation auprès de l’entreprise qui vous a vendu la marchandise et non auprès du tiers à qui la livraison a été sous-traitée.
Il en va de même pour la fourniture de services informatiques : vous restez responsable des conséquences que peut entraîner une interruption de ces services. Il est donc primordial de vous assurer que vos prestataires de services soient en mesure de protéger votre entreprise.
Études de cas :
Le risque est bien réel ; pour l’illustrer, nous vous présentons ci-après des exemples concrets de ce qui se produit quand les compétences et les relations se dégradent :
L’entreprise A a subi une violation de sa messagerie électronique ; celle-ci aurait pu être évitée avec la mise en place de l’authentification multifacteur (MFA), c’est-à-dire de l’obligation d’utiliser un mot de passe et une autre information, telle qu’un code pin ou un identifiant biométrique. Le prestataire de services informatiques avait affirmé que la solution de MFA était facultative et qu’elle n’était pas adaptée à l’équipe de direction. Ce conseil était totalement erroné et a joué un rôle considérable dans une fraude qui a coûté 95 000 EUR à l’entreprise
L’entreprise B disposait d’une sécurité de premier ordre pour ses ordinateurs portables et ses autres appareils. Malheureusement, le fournisseur avait oublié d’informer l’entreprise que les serveurs de la salle informatique ne bénéficiaient pas des dernières mises à jour. Un criminel a exploité des vulnérabilités du système déjà connues et a lancé une attaque par ransomware qui a coûté 1,5 million EUR.
L’entreprise C a été victime d’une attaque par ransomware et a pris contact avec son prestataire informatique. Celui-ci a pris des mesures pour riposter et corriger la situation mais sans impliquer l’entreprise C. Cette dernière aurait du l’être, car elle était responsable du traitement des données. Faute de coopérer et de partager avec l’entreprise C les données pertinentes concernant l’attaque, le prestataire n’a pas compris ses obligations au titre du RGPD. L’entreprise C a donc mené sa propre enquête, ce qui a généré des coûts supplémentaires.
La sécurité de l’entreprise D a été compromise en raison de la présence d’un dispositif d’IoT ( « internet des objets ») dans le réseau principal de l’entreprise. Le prestataire de services informatiques n’avait pas évalué les vulnérabilités du réseau. La base de données du client a été compromise et les données se sont retrouvées sur le dark web. La perte des données a été signalée aux clients, ce qui a généré des répercussions non évaluées sur la réputation et les finances de l’entreprise.
Tous ces incidents ont pour origine l’inefficacité des contrats conclus entre ces entreprises et leurs prestataires informatiques (et, de manière encore plus préoccupante, l’absence de contrats pour certaines). Un contrat est essentiel pour garantir que les attentes sont partagées et écrites de manière claire. Il doit être réexaminé régulièrement pour être sûr que les obligations sont respectées.
Un prestataire fiable collabore avec votre organisation et les parties prenantes concernées. Il s’assure ainsi que les risques sont gérés efficacement, et que votre entreprise est protégée et ne subit aucun dommage.
Conseils aux entreprises
Le Centre national de cybersécurité a émis des recommandations sur la sécurité de la chaîne logistique[3]. Nous mettons ici à disposition des conseils et une checklist à communiquer à votre prestataire. Un prestataire fiable peut répondre facilement à ces questions et fournir des éléments pour étayer ses réponses.
Si vous avez des doutes sur ce que vous dit ou ne vous dit pas votre prestataire, continuez à lui poser des questions. Une communication efficace avec un partenaire transparent est essentielle pour comprendre ce qu’il vous apporte et comment il atténue les risques pour votre entreprise.
Si votre prestataire se fait prier pour répondre à des questions basiques, il est peut-être temps de vous demander s’il est le bon partenaire pour votre entreprise. QBE recommande de procéder chaque année à une réévaluation critique de votre fournisseur. Comme c’est souvent le cas dans les relations avec les fournisseurs, votre entreprise s’est peut-être développée ou a évolué ; ce qui vous convenait au moment de l’engagement du prestataire n’est peut-être plus adapté aujourd’hui.
Cette liste de recommandations a été établie avec Risk Evolves
[1] https://www.gov.uk/government/statistics/cyber-security-breaches-survey-2022/cyber-security-breaches-survey-2022#overview
[2] https://www.ncsc.gov.uk/guidance/mapping-your-supply-chain
[3] https://www.ncsc.gov.uk/collection/supply-chain-security
