Cybersécurité: choisir le bon prestataire IT

Qu’est-ce qui fait un bon prestataire IT? Pour de nombreuses PME, la réponse est simple: il doit être disponible, fiable et «s’occuper de tout». Mais que faire si le partenaire informatique, censé renforcé la sécurité, devient lui-même le maillon faible?

Quels sont les critères à appliquer pour identifier le bon partenaire IT expert en sécurité?

Prenons l'exemple d'une PME qui externalise son infrastructure informatique auprès d’un prestataire de services, incluant l’utilisation d’un système cloud pour la gestion des offres et des factures. Tout semble fonctionner correctement, jusqu’à ce que des e-mails de phishing parviennent à s’infiltrer et que les données des clients se retrouvent non protégées sur un serveur de test. Après avoir demandé des explications au prestataire, il apparaît que des mises à jour de sécurité essentielles n’ont pas été effectuées et que les responsabilités n’ont pas été clairement définies.

La sécurité informatique ne repose pas uniquement sur la technologie, mais également sur la coopération, sur le respect des normes et sur une communication efficace. Pour renforcer le niveau de protection de son entreprise, il faut poser les bonnes questions et fixer des attentes précises.

1. Certifications: les normes comme référence

Un bon prestataire IT doit être en mesure de démontrer son approche structurée de la sécurité informatique. Par exemple, au moyen de certifications telles que:

  • ISO/IEC 27001 (norme internationale pour les système de gestion de la sécurité de l’information)
  • CyberSeal (label de sécurité suisse pour les prestataires de services informatiques)
  • SOC 2 (rapport d'audit du respect des normes en matière de protection des données et de sécurité)

Les qualifications des collaboratrices et collaborateurs constituent également des gages de sérieux, comme CISSP (Certified Information Systems Security Professional) ou CEH (Certified Ethical Hacker), ainsi que des accréditations de grands noms tels que Microsoft, Fortinet ou Cisco.

Pensez à demander des preuves concrètes ou des rapports d’audit pour vérifier que les promesses pourront être tenues.

2. Mesures techniques: ce qui est réellement mis en place

Les normes de sécurité ne doivent pas être de simples déclarations. Demandez à votre prestataire des informations précises sur les mesures techniques suivantes:

  • Chiffrement de bout en bout: pour protéger les données en transit et sauvegardées.
  • Pare-feuet MFA: pour détecter et prévenir toute attaque.
  • Authentification Multifacteur (MFA): pour une protection renforcée.
  • Gestion des correctifs (patch management): via des mises à jour régulières de sécurité.

Demandez à voir un concept clair de la sécurité informatique pour plus de transparence.

3. Respect et mise en œuvre de la protection des données

Votre partenaire doit maîtriser les exigences légales liées à la protection des données. Cela inclut:

  • Des contrats de sous-traitance (Data Processing Agreement, DPA) selon la loi sur la protection des données
  • Des données sauvegardées dans des centres d’hébergement des données situés dans des pays offrant un niveau de protection adéquat
  • Des politiques relatives à la conservation et la suppression des données bien définies

La protection des données n'est pas qu'une option, mais elle doit être intégrée dès le début dans la stratégie de sécurité.

4. Réactivité et accessibilité: quand chaque minute compte

La cybersécurité est un travail d’équipe. En cas de crise, la réactivité, l’accessibilité et des responsabilités clairement définies sont tout aussi importantes que les aspects techniques.

  • Y a-t-il une assistance 24h/24, 7j/7?
  • Qui est votre personne de contact principale?

Précisez les temps de réponse dans un contrat (Service Level Agreement, SLA) pour ne pas perdre de temps en cas de crise.

5. Plans de restauration: anticiper pour agir rapidement

Savez-vous si votre partenaire IT dispose d’un plan d’urgence (emergency plan) robuste? Une bonne préparation permet une réaction rapide en cas de crise. Demandez une explication détaillées des plans d’urgence en cas de défaillance, d’attaque ou de perte de données, par exemple:

  • Plans de reprise d’activité: phases concrètes en cas de défaillance ou d’attaque
  • Tests réguliers des sauvegardes
  • Informations sur les RTO/RPO précisant la rapidité de reprise des systèmes et l'ancienneté maximale des données pouvant être restaurées.

Demandez s’il existe des sauvegardes, mais également à quelle fréquence elles sont testées.

6. Communication transparente: même en temps de crise

Des procédures de communication claires sont déterminantes en situation de crise:

  • Qui vous informe et dans quels délais?
  • Qu’est-ce qui est documenté?
  • Quelles sont les modalités de collaboration avec les autorités ou organismes externes?

Une communication transparente et orientée solution est capitale, en particulier en cas de crise.

7. Formation et sensibilisation:

La cybersécurité c’est beaucoup d’outils, mais surtout des personnes. La technologie ne protège pas si elle est mal utilisée. Un prestataire prévoyant investit dans la formation et la sensibilisation de ses équipes pour mieux protéger vos infrastructures. Pour cela, il doit:

  • Former régulièrement son personnel;
  • Sensibiliser son personnel aux nouvelles menaces (phishing, ingénierie sociale, etc.);
  • Suivre de près les évolutions technologiques et les nouveaux risques.

Demandez à votre prestataire comment ses équipes sont formées, c’est un indicateur de son sérieux.

Check-list pour PME: comment identifier les bons partenaires informatiques

  • Existe-t-il des certificats et des preuves concrètes du respect des normes de sécurité?
  • Quelles sont les mesures techniques de protection utilisées et documentées?
  • Le prestataire soutient-il activement la protection des données (DPA, RGPD)?
  • Comment les délais de réponse, l'accessibilité et la communication sont-ils définis?
  • Les processus de sauvegarde et de restauration RTO/RPO sont-ils testés?
  • Les incidents sont-ils communiqués de manière transparente et gérés de manière collaborative?
  • L’équipe IT bénéficie-t-elle d’un concept de formation?
 

Conclusion: poser les bonnes questions pour faire le meilleur choix

Collaborer avec un prestataire IT fiable simplifie considérablement la gestion de votre sécurité informatique. En appliquant les critères mentionnés ici, votre partenaire externe devient un atout stratégique, véritable pilier pour votre entreprise.

Votre PME est-elle prête à faire face aux cybermenaces?

Nous soutenons les PME dans la gestion de leurs enjeux en cybersécurité

Grâce à une stratégie solide et des mesures adéquates, nous transformons la sécurité informatique en votre plus grand atout. Nous vous accompagnons pas à pas pour identifier vos vulnérabilités, renforcer vos mécanismes de défense et réduire les risques. Que ce soit pour prévenir, réagir ou former vos équipes, nous avons les stratégies adaptées à vos besoins. Ce que nous vous proposons:

  • Analyse des cyberrisques et mise en place de protections efficaces
  • Formation et sensibilisation de vos collaborateurs aux cybermenaces
  • Réponse aux incidents et minimisation des impacts économiques
  • Examen et optimisation des directives de sécurité informatique
PRENDRE UN RENDEZ-VOUS GRATUIT DÉCOUVRIR NOS PRESTATIONS

Découvrez nos articles spécialisés et ne laissez aucune chance aux hackers.

Nos articles spécialisés en cybersécurité et protection des données proposent des conseils essentiels pour sécuriser votre PME.

Restez informé grâce
aux newsletters de BDO Suisse

REGISTRE