Cybersécurité • 5 min
Pourquoi un prestataire n’est pas seulement un fournisseur, mais aussi une extension potentielle de la surface d’attaque de l’entreprise, et comment mieux cadrer ce risque.
On parle beaucoup de cybersécurité interne. Beaucoup moins, à mon sens, du risque cyber via les prestataires.
Et pourtant, un prestataire n’est pas seulement un fournisseur. C’est aussi, très souvent, une extension de la surface d’attaque de l’entreprise.
Le sujet n’est donc pas seulement de choisir un bon prestataire. Le sujet est de maîtriser exactement ce qu’on lui confie, pourquoi on le lui confie, et dans quelles conditions.
Dès qu’un partenaire externe accède à des données, des outils, un environnement ou un flux métier, il devient une partie du périmètre de risque de l’entreprise.
Ce risque ne dépend pas seulement de la qualité technique du prestataire. Il dépend aussi de ce que l’entreprise lui transmet, du niveau d’accès accordé, de la durée d’exposition, des moyens de récupération et du niveau de contrôle réellement exercé.
Un contrat bien rédigé est utile, mais il ne remplace pas une vraie discipline opérationnelle.
Le point de vigilance majeur est souvent très concret : quelles données sont transmises, à qui, par quel canal, pendant combien de temps, avec quel niveau de cloisonnement et de traçabilité.
Transmettre un fichier sensible non chiffré, ou le déposer dans un espace de récupération mal protégé, revient souvent à déplacer le risque sans le réduire.
Quand c’est possible, les données confiées à un prestataire devraient être chiffrées, et le point de récupération durci : authentification forte, durée de disponibilité limitée, contrôle précis des accès, journalisation, suppression maîtrisée.
Le vrai sujet n’est pas seulement le prestataire compromis. Le vrai sujet, c’est l’entreprise qui a transmis trop de données, à trop de monde, par des canaux mal sécurisés, avec trop peu de contrôle.
Externaliser un service n’externalise jamais totalement le risque. On peut partager l’opérationnel. On ne délègue ni la vigilance, ni la gouvernance, ni la responsabilité.
Ce cadre n’a pas besoin d’être lourd pour être utile. Mais il doit être explicite, compris et vérifiable.
Parce qu’il accède souvent à des données, des outils, des environnements ou des flux métier. Il devient alors une extension potentielle de la surface d’attaque de l’entreprise, avec des risques liés aux accès, aux transmissions, au stockage et au niveau de contrôle réellement exercé.
Non. Le contrat est utile, mais il ne remplace pas le cadrage opérationnel : quelles données sont transmises, par quel canal, avec quel niveau d’accès, pendant combien de temps, avec quelle traçabilité et quelles modalités de suppression.
Il faut au minimum vérifier le périmètre exact de la mission, les données réellement nécessaires, les accès accordés, les moyens de transmission, la durée d’exposition, les exigences minimales de sécurité et la traçabilité.
Ressources liées
Le vrai sujet n’est pas de savoir s’il faut être pro-cloud ou pro-on-prem. Il est de déterminer quel modèle est le plus cohérent pour un service donné, avec une lecture complète des coûts, des contraintes et du niveau de maturité d’exploitation.
Beaucoup de PME ont déjà un prestataire informatique, mais pas toujours un vrai pilotage du système d’information. Cet article aide à comprendre qui fait quoi, où commencent les angles morts et quand une DSI externalisée devient pertinente.
Le rôle d’un RSI n’est pas d’empêcher par principe. Il consiste souvent à dire oui, mais avec un cadre clair, des garde-fous et une responsabilité posée.
Un premier échange permet souvent de clarifier ce qui est réellement confié, comment le risque est encadré et quel niveau de pilotage reste nécessaire côté entreprise.
