The Centauri Step, gouvernance et Sécurité informatique

3 clés pour démarrer | The Centauri Step, gouvernance et Sécurité informatique

3 clés pour démarrer

Marion Mellor

Si vous ne deviez retenir que l’essentiel concernant une Revue Fournisseur, et être opérationnel rapidement, cette page est faite pour vous !

L’étude des risques Fournisseurs est réalisée dès que le projet est lancé, que l’appel d’offres est envoyé ou que le contrat est envisagé.

Elle nécessite donc, entre les chefs de projet et le service des Achats, une vraie relation de confiance et des points réguliers. Ceux-ci permettent d’anticiper les futurs contrats, d’envisager de nouvelles relations commerciales ou de rechercher de nouveaux partenaires ((le « sourcing »).

Lors des phases de Due Diligence, les équipes Sécurité sont critiques : elles vont déterminer si le fournisseur a les capacités de mettre en œuvre les mesures de Sécurité et de contrôles indispensables à la réalisation du contrat.

Une revue Sécurité en deux mots ? Ce n’est pas un audit, c’est simplement une vérification simplifiée des mesures de Sécurité et de contrôles en place chez le fournisseur.

1- Déterminer la criticité du service concerné : Questionnaire interne

Comme la Sécurité se doit de conserver une grande proximité avec le service des Achats, il est également primordial d’être en contact avec les chefs de projet. Ce sont eux les mieux placés pour expliquer les conditions du service rendu : est-ce un logiciel « onpremise » ? Un service SaaS ? Une prestation intellectuelle ? Un accord de courtage ? Quel type de prestation ? Le fournisseur aura-t-il accès à une machine / un ordinateur prêté par l’entreprise ? Quels sont les accès aux locaux ? etc.

Déterminez la forme de votre questionnaire.

  1. Un bon repère : la durée. L’entretien avec le chef de projet « Métier » à l’origine de la demande de contrat ne doit pas dépasser 15 minutes.
  2. Après cet entretien, votre expert Sécurité doit être en mesure de calibrer le degré de criticité du service. Vous pouvez par exemple déterminer un certain nombre de niveaux qui auront une incidence sur le degré d’analyse à réaliser concernant le fournisseur.
  3. Le degré d’analyse Sécurité sera certainement différent selon s’il concerne une prestation d’arrosage de plantes dans le lobby de l’entreprise, ou un contrat de sous-traitance des fiches de paie.

2- Adapter un questionnaire Sécurité : Questionnaire externe

L’expert Sécurité envoie donc un questionnaire au fournisseur. Par exemple, pour un consultant externe, pas besoin de poser des questions sur les standards SDLC concernant le développement sécurisé de logiciels.

Il est nécessaire d’adapter des questionnaires en fonction de la criticité du service. Vous irez plus vite dans l’analyse : vous pourrez envoyer des questions ciblées, être pertinent sur les contrôles de Sécurité.  

Deux maîtres mots de ces revues : la confiance et la transparence. Confiance avec les Acheteurs pour se mettre au diapason et envoyer au fournisseur un questionnaire en cohérence avec les liens d’ores et déjà tissés. Transparence pour que ces relations et cette revue soit annoncées et soutenues par l’entreprise.

Je vous donne une astuce : l’expert Sécurité envoie directement le questionnaire de Due Diligence Sécurité, car ces deux parties seront en contact. 30 minutes de téléphone valent mieux que de servir de passe-plats.

3- Analyser les éléments de preuves

Avant cette étape, il faut demander des preuves : confiance et transparence, encore une fois. Si le fournisseur refuse de les transmettre par email (ou par outil de transfert sécurisé de fichiers), il est toujours possible de les revoir par visio conférence. Vous pourrez faire des « imprim-écrans » et certifier dans votre rapport Sécurité que vous avez pu lire les preuves. Encore faut-il demander du temps de disponibilité de votre prestataire.

Une fois reçues les réponses au questionnaire, il faut leur accorder un double regard, d’abord vérifier la cohérence des réponses, puis également vérifier des éléments de preuves qui soutiennent ces réponses.

Évidemment, un fournisseur certifié ISO 27001 sera souvent plus enclin à partager les certifications, les déclarations d’applicabilité ou autres rapports d’audits externes. Mais en fonction de la criticité du service, d’autres preuves sont indispensables, comme par exemple les procédures de gestion des accès en cas de service SaaS, les procédures RH de vérification des antécédents ou des exemples de formations Sécurité suivies (ou non) par les collaborateurs de votre prestataire.

Nous évoquons ailleurs la forme du rapport de validation de cette revue Sécurité …