The Centauri Step, gouvernance et Sécurité informatique

Contacter The Centuri Step

Comment négocier | The Centauri Step, gouvernance et Sécurité informatique

Comment négocier

Marion Mellor

Faut-il laisser les Achats tout seuls face aux fournisseurs sur des questions de Sécurité informatique ?

Tout est une question de préparation…

Lorsque le service des Achats vous sollicite, c’est qu’il y a un projet de contrat avec un fournisseur. Évidemment. Et donc un « opérationnel Métier » au sein de l’entreprise qui a besoin d’un service. Évidemment.

Voir aussi : "3 clés pour démarrer"

Voici les étapes que je recommande pour la gestion au quotidien de vos vérifications Sécurité Fournisseurs :

Évaluer la criticité Sécurité du service. S’agit-il d’un contrat portant sur l’entretien des plantes vertes ou sur un Cloud SaaS pour gérer les identités des utilisateurs SI ?

Prendre contact avec le fournisseur pour à la fois lui envoyer un questionnaire et le notifier de l’existence d’un Clausier Sécurité.

La troisième étape c’est…. L’ATTENTE ! Oui, l’attente des retours du fournisseur concernant les exigences en matière de Sécurité informatique pour vos contrats !

En savoir + sur "Quel Questionnaire Sécurité choisir ?"
En savoir plus sur "L'importance du Clausier"

Si la démarche des Revues Fournisseurs est claire pour votre interlocuteur, la négociation du contrat s’enclenche naturellement et ses objectifs sont compris par les deux parties.

Le cas d’un appel d’offres

Il arrive que les Achats envoient un modèle de contrat dans le cadre d’un appel d’offres, en amont des décisions sur le prestataire et en amont des négociations. Dans ces cas-là, les Achats envoient également le Questionnaire Sécurité, et il peut manquer des réponses ou des éléments de preuve (soyons honnêtes : c’est ce qui arrive dans 90 % des cas !). Le prestataire peut demander des ajustements sur le contrat bien avant que l’évaluateur commence à échanger avec lui… Cette situation arrive régulièrement et il faut s’y préparer.

Quel temps allouer à une négociation ?

Il est souvent nécessaire d’adapter le Clausier Sécurité aux services concernés par le contrat. Mais de plus en plus, les entreprises préfèrent d’abord convenir d’un modèle de « contrat-cadre » auquel viendront s’ajouter des « contrats d’application » définissant plus précisément les services. C’est le cas des grandes entreprises, où un contrat-cadre est négocié par les équipes centrales pour faciliter la négociation de tarifs avantageux par les filiales.

 

Dans 25 % des cas, il faut prévoir a minima 2 heures d’échanges pour décortiquer les raisons d’un refus du fournisseur de s’engager à respecter les exigences Sécurité.

Dans 50 % des cas, la négociation Sécurité ne comprend que 2 ou 3 allers-retours entre l’entreprise et le fournisseur. Elle se concentre généralement sur l’adaptation de termes, surtout lorsqu’aucune donnée de l’entreprise n’est échangée entre les parties… ce qui est plutôt rare en réalité. Il faut bien « creuser » le service et notamment le niveau de support fonctionnel fourni. Par exemple, il m’est arrivé de vérifier si l’opérationnel « Métier » avait bien compris toutes les options souscrites .

Et dans les derniers 25 % des cas, il faut remonter jusqu’aux chefs de Projet « Métier » pour leur demander formellement d’accepter le risque d’un contrat avec un prestataire qui refuse certaines exigences Sécurité (cela peut prendre plusieurs jours et beaucoup d’échanges).

Comment faire ? Aidé des équipes juridiques, il est utile de mentionner sur un seul document (qui servira d’annexe contraignante au contrat) les standards Sécurité et les conditions auxquelles l’entreprise accepte de signer. 

IMPORTANT : c’est au « Métier » et non pas à la « Sécurité » d’accepter le risque. Ce n’est pas la Sécurité qui « bloque », mais elle a un rôle pédagogique. En effet, elle évalue et explique les risques encourus si le fournisseur n’est pas soumis aux mêmes engagements Sécurité que ceux en place dans l’organisation.

Ma recommandation

  1. Prenez le temps de comprendre le niveau de maturité Sécurité du fournisseur et le degré de criticité du service vendu. Il est toujours intéressant de mettre en œuvre en même temps une revue Fournisseur et une négociation de contrat. On peut analyser la réalité des engagements que le fournisseur est prêt à prendre.
  2. Revenez toujours aux normes en vigueur et faites-y référence. Une référence très générale à une norme est toujours mieux que rien ! Et permet de débloquer des situations.
  3. Impliquez les Achats (normalement toujours présents lors des entretiens avec les fournisseurs), et le Métier pour bien leur expliquer les conséquences opérationnelles de telle ou telle clause.
    Par exemple, une clause critique que refusent parfois les fournisseurs est celle concernant les notifications en cas de faille de Sécurité.
Voir l'article sur "La Gestion des Incidents"