Accueil > Blogue > La gestion de la sécurité de l’information chez votre fournisseur est-elle inquiétante?

La gestion de la sécurité de l’information chez votre fournisseur est-elle inquiétante?

Que feriez-vous si vous appreniez que les plans de votre nouveau prototype se retrouvent chez votre principal concurrent? Et que feriez-vous si vous appreniez que la fuite vient d’un de vos partenaires d’affaires ou d’un fournisseur qui n’a pas su protéger adéquatement vos documents confidentiels?

Dans un monde en mouvement, il est impossible aujourd’hui de ne pas échanger des données importantes avec nos fournisseurs et nos partenaires d’affaires. Qu’il s’agisse d’informations stratégiques d’entreprise, de secret d’affaires, de propriété intellectuelle ou encore des données personnelles concernant vos employés ou vos clients, l’entreprise moderne doit s’assurer qu’elle réduit au minimum ses risques informationnels dans ses partenariats avec des tiers.

Même si votre organisation a mis en place une sécurité informationnelle exemplaire, un fournisseur ou un partenaire d’affaire peut devenir un vecteur d’attaque dans votre chaîne d’approvisionnement. Le vieux cliché : “vous êtes aussi fort que le plus faible de vos maillons” prend tout son sens ici.

Les risques

 

Les risques liés à l’information se retrouvent dans 3 trois grandes familles dont les frontières sont souvent perméables.

  • Risque de réputation: la réputation de votre organisation est malmenée parce que des informations confidentielles sont exposées. Conséquence: vos employés, vos clients ou vos partenaires d’affaires pensent à vous quitter ou vous demandent d’augmenter considérablement vos mesures de sécurité.
  • Risque financier: votre organisation fait l’objet de poursuites ou de recours collectifs suite à la fuite de données confidentielles. Conséquence: vous devez débloquer des budgets supplémentaires pour payer les dommages et amendes.
  • Risque de conformité: une fuite ou perte de données fait en sorte que vous ne pouvez plus démontrer votre conformité à une loi ou un règlement. Conséquence: vous êtes mis à l’amende et/ou vous perdez des permis ou certifications requis à l’exploitation.

Gestion des risques

 

Il n’existe pas de situation qui ne comporte aucun risque. L’objectif est de réduire les risques à un niveau acceptable. La stratégie globale de gestion des risques d’une organisation dépasse largement la portée de cette capsule. Nous nous contenterons d’aborder la gestion des tiers.

Réduire les risques informationnels avec les tiers

 

Bien avant de demander des comptes à un futur fournisseur, il convient de bien comprendre et maîtriser les éléments de base à l’intérieur même de votre organisation.

  • Connaissez-vous toutes les données sensibles et informations qui pourraient causer des dommages à votre organisation en cas de vol, de fuite, de modifications non autorisées ou de non-disponibilité?
  • Connaissez-vous le niveau de sécurité requis pour protéger adéquatement ces données sensibles?
  • Connaissez-vous toutes les lois et règlements que vous êtes tenus de respecter?
  • Avez-vous nommé officiellement une personne responsable de s’assurer de la gestion de la sécurité de l’information avec les tiers?
  • Vos avocats et acheteurs sont-ils confortables avec les clauses contractuelles en lien avec la sécurité de l’information?
Quoi faire avant de signer une entente avec un tiers

 

Tout d’abord, il faut répondre à ces questions:

  • Les données échangées avec le fournisseur vous mettent-elles à risque? Quelle est l’ampleur de ce risque et quelles sont les conséquences pour votre organisation?
  • Est-ce que le tiers comprend bien ses responsabilités quant à la protection de vos données? Est-ce que le tiers les accepte sur une base contractuelle? Comment va-t-il démontrer le respect des clauses contractuelles?
  • Quels sont vos recours en cas de non-respect des clauses contractuelles?

Déjà, les réponses à ces simples questions devraient vous donner un indicateur assez précis du risque que vous encourez.

Dans l’éventualité où vous décidez d’aller de l’avant, la prochaine étape consiste à faire une évaluation de la maturité de la sécurité de l’information du tiers. En d’autres termes, vous voulez savoir si votre fournisseur potentiel sera en mesure de protéger adéquatement vos données.

Il existe deux pistes de solution pour vous aider à prendre une décision éclairée.

  • Le questionnaire, en entrevue ou à compléter soi-même

Cette approche consiste à poser une série de questions au fournisseur candidat et d’en évaluer les réponses.
L’exercice peut se faire sous forme de rencontres et d’ateliers avec le personnel clé du fournisseur. Ce type de rencontre permet de poser des questions ouvertes et de comprendre la culture d’entreprise. Cependant, cette approche est coûteuse car elle demande beaucoup de temps, de coordination et un bon bagage d’expérience de la part de l’interviewer.

L’autre pratique courante consiste à envoyer un questionnaire (généralement à choix multiples) au fournisseur et lui demander de le compléter. Il est important de s’assurer que le fournisseur soit en mesure de bien comprendre les questions et lui offrir du soutien au besoin. Cette forme d’auto-évaluation peut s’avérer moins précise et ne permet pas toujours de contextualiser les réponses. Des appels de suivi sont parfois nécessaires. Cependant, les efforts et le temps requis sont moindres en comparaison avec les rencontres en personnes.

Le nombre de questions et la nature des questions devraient refléter le type de service que vous prévoyez acheter ou sous-traiter (développement de logiciels, hébergement de site web, achat d’une solution en infonuagique, impartition de la paie, etc.). Il existe de nombreux questionnaires spécialisés qui peuvent être téléchargés de l’Internet.

D’une façon ou d’une autre, procéder par questionnaire demande un minimum d’expertise pour interpréter les réponses.

  • Certification et/ou rapport d’audit

Il est courant qu’un fournisseur décide d’obtenir une certification afin de démontrer son sérieux en matière de sécurité de l’information. Il existe de quelques certifications sur le marché, chacune d’elles ayant ses avantages et inconvénients. Parmi les plus courantes, soulignons la certification ISO 27001 et le dépôt d’un rapport d’audit SOC II Type 2.

Il est important de souligner qu’une certification ne peut être considérée comme l’unique indicateur du sérieux d’une organisation. Plusieurs éléments entrent en ligne de compte, dont, notamment, la portée de la certification.

Méfiez-vous des organisations qui s’auto-déclarent « conformes » à des standards de sécurité. La conformité doit être confirmée par un auditeur accrédité.

Évaluation finale

 

Peu importe la méthode que vous aurez utilisée, le résultat doit répondre à cette question : le tiers peut-il protéger adéquatement vos données sensibles tout au long de votre relation d’affaires? Si la réponse est non, il vaut mieux penser à rechercher un autre tiers.

L’alternative est de demander au tiers d’augmenter sa maturité en sécurité informationnelle. Mais cette option est généralement coûteuse, longue et ne garantit pas les résultats.

Clauses contractuelles

 

Tout partenariat d’affaires se conclut avec un contrat en bonne et due forme. Et c’est dans ce contrat que les clauses de sécurité doivent être inscrites, de façon claire et précise. Le détail des exigences doit être mentionné ainsi que les mécanismes de vérification et les recours en cas de non-conformité. Sans ces clauses spécifiques, vous n’aurez aucun levier pour vous assurer que le fournisseur remplisse adéquatement ses obligations.

La négociation des clauses de sécurité peut devenir ardue. Restez ferme. Assurez-vous de bien maîtriser vos requis de sécurité. Et surtout, demandez des preuves de ce qu’avance votre fournisseur.

Ce n’est pas parce qu’un fournisseur n’a jamais été attaqué dans le passé qu’il ne le sera pas dans le futur.

Conclusion

 

Un fournisseur ou un partenaire avec qui vous partagez des informations sensibles peut devenir un vecteur d’attaque ou une vulnérabilité dans votre chaîne de sécurité. Afin de minimiser vos risques, il convient d’évaluer la maturité de la sécurité chez le tiers potentiel.

Parmi les méthodes d’évaluation, soulignons le questionnaire d’auto-évaluation complété par le tiers, les rencontres et ateliers en personne animés par un expert et la présentation de certifications. Chacune des méthodes présente des avantages et des inconvénients. Les exigences de sécurité doivent être inscrites au contrat sans quoi vous risquez de ne pas être protégé adéquatement.

L’accompagnement par des experts en sécurité est souhaitable, surtout si vous évaluez dès le départ que les risques sont élevés. Contactez-nous!

 

 

 

Retour haut de page