The Centauri Step, gouvernance et Sécurité informatique

Contacter The Centuri Step

Quel questionnaire Sécurité choisir ? | The Centauri Step, gouvernance et Sécurité informatique

Quel questionnaire Sécurité choisir ?

Marion Mellor

Les revues les plus courtes sont les plus efficaces !

Le choix des armes !

Points communs et différences entre un « Audit Sécurité » et une « Revue Sécurité » :

  • Les deux commencent par un Questionnaire.
  • La revue Sécurité est moins formelle, moins normée, et permet plus de liberté dans le cadre des besoins de l’entreprise.
  • Un Audit correspond à des codes bien spécifiques, des nomenclatures spécifiques ; mais dans la vie de votre entreprise, des « Revues Fournisseurs » devraient suffire pour bien comprendre les risques auxquels elle est exposée.
  • Pas besoin d’audits complets sur 100 % de vos fournisseurs, 5 % d’Audits formels sur les fournisseurs les plus critiques, et 95 % de revues Sécurité sur tous les autres fournisseurs.

 

En tout état de cause, 100 % des contrats doivent passer au crible de l’analyse Sécurité pour éviter les trous dans la raquette (ceux-là mêmes – les trous dans la raquette – que les hackers préfèrent évidemment…).

ça peut aider : article "Relations fournisseurs"

Le poids des mots

La norme ISO 27002 comprend 114 contrôles classés en 18 chapitres. Si l’objectif est de vérifier la conformité intégrale de votre fournisseur / prestataire à cette norme, faut-il lui poser des questions précises sur chaque contrôle comme s’il s’agissait d’un exercice de certification ? Il semble plus raisonnable de prendre en considération « l’approche risques » (cf. Section « Gouvernance Sécurité », article « L’Approche Risques« ), d’être pragmatique et d’adapter vos questions à chaque fournisseur.

 

Plus efficace, cette seconde option demande cependant du temps et un peu de préparation.

  1. Listez par grandes catégories tous les services qui pourraient être concernés : Solutions Cloud SaaS, Logiciels, Service de maintenance, Infrastructure, Conseil, Contrats d’entretiens des locaux, etc.
  2. Déterminez des niveaux de questionnaire par service : par exemple, pensez à ajouter des questions précises sur les modalités de connexion de vos prestataires Cloud à leur SOC (« Security Operations Center » qui rassemble tous les moyens de détection des intrusions notamment). Vous pourrez vous appuyer sur la norme ISO 27017 (de la grande famille des « ISO 27000 », spécifique à cet environnement).
  3. Faites l’exercice en vous mettant dans la peau d’un fournisseur qui remplit le questionnaire. Est-ce adapté à son métier ? L’ensemble de ses produits et services peuvent-ils être concernés par les mesures de Sécurité sur lesquelles vous l’interrogez ?
Voir aussi l'article sur "L'approche Risques"

Ma recommandation

Il est toujours important de préciser à votre fournisseur qu’il s’agit d’évaluer son niveau de maturité en Sécurité informatique. Et donc que les questions concernent l’ensemble de son organisation, et non pas simplement le produit ou le service concerné par un contrat en particulier.

Cette revue Sécurité reste valable entre 1 et 3 ans selon le degré de criticité du service / du projet.

Rassurez votre fournisseur : il n’aura pas à répondre tous les ans à 75 questions de votre part. D’ailleurs, je recommande de limiter votre questionnaire à 25 questions pertinentes que vous pourrez compléter grâce à une ou deux conversations avec le fournisseur.

ENCORE UNE RECOMMANDATION : Pour résumer, les questionnaires les plus courts sont les plus pertinents… Pourquoi ? Car chaque enquête Sécurité peut se limiter à 10 contrôles clefs. Si votre évaluateur est relativement aguerri à l’exercice, il saura se concentrer sur quelques éléments de preuve qui permettront de valider plusieurs chapitres de réponses…

Le choc des preuves : demander, vérifier, questionner, valider !

Peut-on croire un fournisseur sur parole ? Non. Parce que des pratiques « à l’oral » ne sont pas forcément suivies par l’ensemble de l’entreprise.

Exemple : Le PDG d’une entreprise vous assure qu’il a mis en place une ségrégation des accès pour éviter que tous les employés puissent supprimer des données ou des logs d’activité. Mais comment vérifie-t-il cette pratique ? Comment s’assure-t-il que les personnes en charge du SI (Système d’information) ont bien compris la pratique et qu’elle est constamment vérifiée ?

POUR GAGNER DU TEMPS : si un fournisseur refuse d’envoyer des documents, des captures d’écran, des extraits de clause de confidentialité dans les contrats de travail, qu’à cela ne tienne ! On peut organiser une visio-conférence et vérifier les preuves en ligne. Faites vous-même des captures d’écran pendant la réunion, ou encore attestez dans votre rapport avoir vérifié l’existence de ces preuves.

Lire l'article au sujet du Rapport de sécurité