Protéger son informatique en sourçant

Une vingtaine de responsables IT se sont réunis mardi 28 février, à l’initiative de l’Ae-SCM et de Timspirit, pour la troisième session des Mardis du Sourcing. Ils ont échangé sur des sujets de sourcing opérationnel. Ils ont choisi d’aborder, en sous-groupes, les sujets du Sourcing bimodal, du Sourcing de l’IoT et du Sourcing de la sécurité !

La sécurité des systèmes d’informations est un sujet toujours plus important et plus compliqué, et ce d’autant plus que les organisations n’ont pas le contrôle complet de leur écosystème de données : avec la croissance du Shadow IT, du nomadisme, du SaaS et du Cloud, données et applications migrent en dehors des infrastructures internes, perçues commes maitrisées.

Il devient essentiel de déterminer les périmètres sensibles à protéger, de trouver les bons fournisseurs pour nous y aider.

S’accorder sur les termes et définir un périmètre

La plus grosse erreur serait de considérer le sujet de la sécurité avec un regard technique ou de le laisser récupérer par les moyens généraux.

Au contraire, la sécurité nécessite une approche globale où l’on définisse les enjeux, les faiblesses et les comportements à risques. Approche qui pourra s’appuyer sur une cartographie des assets.

Elle nécessite la mise en place d’une structure clairement définie (RACI), d’une gouvernance propre et doit faire l’objet d’un sponsorship fort. Il faut dépasser la situation classique dans laquelle le RSI préconise des procédures qui ne sont pas appliquées car trop complexes et se trouve démuni lorsqu’un incident survient.

Adresser tous les risques

Différents types de risques

Différents états d’avancement du risque

Il faut analyser toutes les menaces associées à chaque type de risque à chacun des stades. Trop souvent on se concentre sur la correction et on laisse de côté la prévention et la détection.

Le groupe préconise également de décliner les contrôles réglementaires et de bien auditer les services sécurité comme tous les autres !

Définir une stratégie de Sourcing

Cette étape est trop souvent oubliée, en passant de l’état des lieux au RFP sans se poser la question de « Qu’est-ce que je confie ? Qu’est-ce que je garde en interne ? ». La première de nos recommandations est donc de bien réaliser cette étape !

Pour ce faire, nous vous proposons de réaliser une matrice risque / degré d’importance stratégique. Les activités stratégiques devront être insourcées, comme celles qui sont à l’origine d’un risque important.

Parmi les prestations classiques :

Security Operations Center (SOC) : Supervision de la sécurité, analyse et traitement des évènements de sécurité et incidents.
Compliance, Audits : recouvre aussi bien l’audit de sécurité classique, la mise à disposition de Red ou de White Teams, l’audit et l’approbation des critères de sécurité proposés par des équipes infrastructure et applications, …
Gouvernance, Architecture et projets Sécurité : conseil, architecture, et mise à jour des procédures / processus.

Il faudra également veiller durant à cette phase à évaluer le risque fournisseur.

Organiser une consultation restreinte

A qui puis-je confier ma Sécurité ?

La première chose à faire est bien évidemment de réaliser un benchmark : est-ce qu’un fournisseur est capable de répondre à mon besoin en sécurité ? Sur un créneau très restreint ou fortement contraint rien n’est moins sûr.

Si des fournisseurs sont effectivement capables de répondre à mon besoin, qui sont-ils ? Il existe peu de fournisseurs « globaux » dans le domaine de la sécurité – j’aurais donc bien souvent à faire à une multitude de prestataires.
Et il faut bien les sélectionner… Car nul n’a envie d’envoyer ses spécifications en matière de sécurité à n’importe qui ! Le groupe préconise donc une consultation restreinte à un petit nombre de prestataires bien choisis et contractuellement liés à vous par un Non Disclosure Agreement.

Choisir mon prestataire

Le choix du prestataire est très certainement la phase qui a le plus fait débat lors de notre Mardi du Sourcing ! Parmi les premières recommandations, celle de confier toute sa sécurité à un prestataire unique pour être en mesure d’assurer un pilotage optimal… elle a été largement contestée par le groupe !

En effet cela signifie également concentrer les risques. Si ce partenaire unique fait défaut c’est toute ma sécurité qui s’effondre. Le groupe recommande donc finalement, au contraire, de répartir le risque sur plusieurs prestataires pour alléger les éventuels dommages.

Le groupe préconise par ailleurs de ne pas sélectionner ces différents prestataires sur une base de prix… Quand on parle sécurité, il faut mettre les moyens ! Et oser l’innovation.

Contractualiser

Dernier conseil du groupe : pensez à inclure un indice dans confiance dans l’évaluation lorsque vous rédigez le contrat !

Protéger son informatique en sourçant

S’accorder sur les termes et définir un périmètre

Adresser tous les risques

Différents types de risques

Différents états d’avancement du risque

Définir une stratégie de Sourcing

Organiser une consultation restreinte

Choisir mon prestataire

Contractualiser

Smart Sourcing

Serial (Killer) App pour grand groupe pharmaceutique

Recette de l'agilité contractuelle

Grande distribution : comment améliorer durablement la satisfaction utilisateur ?

Ipsen I Rythmer, structurer un appel d’offres et une transition : succès d’un programme de transformation

Transformation IT : Gras Savoye accélère par le sourcing sa transformation digitale, la réduction de la dette technique et sa cellule d’innovation

Articles

Historique des réquisitions judiciaires de données chez Amazon et AWS (Law Enforcement Information Requests)

État des lieux des indicateurs environnementaux du Cloud

Fondamentaux de l’IT et de l’environnement

Publication du bilan carbone Timspirit 2022

Recette de l'agilité contractuelle