The Centauri Step, gouvernance et Sécurité informatique

Contacter The Centuri Step

Rapports Sécurité | The Centauri Step, gouvernance et Sécurité informatique

Rapports Sécurité

Marion Mellor

Remonter les risques : un enjeu pour la Sécurité de l’Information.

Le rapport Sécurité doit toujours être envoyé au Métier

Dans l’environnement de votre organisation, les revues Sécurité des fournisseurs devraient être systématiques. Autrement dit : chaque contrat devrait faire l’objet de vérifications préalables (la fameuse « Due Diligence ») liées à la conformité, la RSE, aux aspects financiers, aux données personnelles et la Sécurité.

Celui qui valide le rapport Sécurité doit toujours être le chef de Projet Métier mentionné dans le contrat ou, à défaut, un responsable du service Achats qui prend la responsabilité de signer un contrat-cadre avec le fournisseur.

Pourquoi ? Parce que dans une approche « Risques » ISO 27001 (voir  l’article ‘L’Approche Risques »), le point essentiel de tout ce travail est d’identifier les risques et de les communiquer au sein de l’organisation. (Et aussi de valider la certification de votre propre organisation… mais si c’est la seule raison, on tombe dans un remake des Shadoks.)

En savoir plus sur "L'Approche Risques"

Le retour de l’approche « Risques »

Les vérifications que vous passez du temps à faire sur chaque fournisseur ne servent pas à simplement établir si « oui » ou « non » ce dernier se conforme à des normes.

 

Le principal objectif d’une revue Sécurité est d’évaluer la pertinence et l’existence des mesures de sécurité et de contrôles de votre fournisseur, et leur conformité avec vos propres standards Sécurité. En suivant les recommandations évoquées sur ce site, vous saurez analyser l’ensemble des mesures mises en place, pour établir une notation globale de la maturité Sécurité de votre fournisseur… tout en gardant à l’esprit de bien insister sur les contrôles concernant le service pour lequel le contrat est signé.

Comment faire ? Aidé des équipes juridiques, il est utile de mentionner sur un seul document (qui servira d’annexe contraignante au contrat) les standards Sécurité et les conditions auxquelles l’entreprise accepte de signer. 

ça peut aider : "3 clés pour démarrer"

Ma recommandation

En plusieurs points essentiels pour vos futurs rapports Sécurité (moins formels et plus flexibles qu’un audit Sécurité) :

Rappeler le contexte / le contrat / le niveau de criticité du contrat concerné

Rappeler le cadre du questionnaire (si la norme ISO 27001 est le modèle par exemple)

Évaluer le niveau de conformité de votre fournisseur avec l’ensemble des contrôles importants pour vous (une véritable note qui devra être visible sur votre document : par exemple de A à F, ou sur une échelle de 1 à 100).

Mettre en avant les points clés à retenir pour chaque partie de la Politique Sécurité du fournisseur.

Lister les éléments de preuve apportés par le fournisseur – et leur pertinence.

Consacrer au moins un quart du document à l’analyse de risques : en listant les risques identifiés, les scénarios de risques qui concernent le projet / le contrat, les risques résiduels et les moyens mis en œuvre pour les mitiger. 

Mentionner l’approbateur de ce rapport et la date de validation.

N’oubliez pas les plans de remédiation !

La revue Sécurité vous a permis de répondre à plusieurs questions :

Y a-t-il des points faibles et des vulnérabilités dans la sécurité actuelle de votre fournisseur ?

Ce dernier est-il en mesure de parer aux menaces de sécurité en cas de panne de système, de faille de Sécurité ou de vol de données ?

Si vous avez découvert des failles de sécurité, quelles mesures concrètes le fournisseur peut-il prendre pour y remédier ?

LE RÉSULTAT DU RAPPORT SÉCURITÉ : Si le fournisseur a répondu à toutes vos questions, et que de votre point de vue il met en place des mesures de Sécurité et de contrôles en adéquation avec les risques et les services proposés : alors vous pouvez diffuser le résultat de votre travail et le mettre à jour 12 à 24 mois plus tard (selon la criticité du fournisseur).

Mais si vous demandez à votre fournisseur de remédier à certaines vulnérabilités (et c’est important de le négocier dans le contrat !), reste une question cruciale : qui fera le suivi de cette remédiation ? Votre entreprise peut-elle s’organiser pour prévoir des points d’avancement réguliers avec les fournisseurs identifiés ?

 

À ÉVITER : Distribuer un beau rapport Sécurité dans des boîtes de réception où il prend la poussière sans jamais être suivi d’effets.

À FAIRE : Prévoir une date butoir à laquelle votre fournisseur doit revoir et soumettre à nouveau des réponses démontrant de la réalisation d’un plan d’actions. C’est réellement nécessaire, et c’est bon pour la crédibilité de tout votre processus de Revues Fournisseurs.