On le lit partout : quand une entreprise se lance dans une démarche ISO 27001 ou doit s'aligner sur la directive NIS 2, elle doit commencer par se regarder le nombril. 

On se lance donc dans l'analyse de risque, la cartographie des processus, la sensibilisation des équipes, la rédaction de PSSI, charte et procédures : le projet semble se jouer majoritairement en interne. 

Et si c'était si simple, cet article serait déjà terminé. 

J'accompagne régulièrement des structures qui ont fait le choix de déléguer la mise en œuvre de leur informatique à un tiers. En gros, pas de service informatique en interne, juste des utilisateurs.

C'est un choix souvent très rationnel : l'informatique n'étant pas le cœur de métier de l'entreprise, il est difficile de justifier un temps plein en interne.

Il faut juste garder à l'esprit que cette flexibilité au service du quotidien devient rapidement un sujet majeur quand on commence à parler de conformité. 

Une idée fausse : "C'est la responsabilité de l'infogéreur"

On ne doit jamais penser que parce que la technique est externalisée, la responsabilité l'est aussi.

• L'auditeur ISO 27001 ne va pas se contenter de votre parole. Il va vouloir auditer les preuves de la façon dont vos serveurs sont patchés, dont les sauvegardes sont testées et dont les accès admin sont verrouillés.
• La directive NIS 2, de son côté, met un accent sur la sécurité de la chaîne d'approvisionnement (Supply Chain). Elle exige explicitement que vous maîtrisiez les risques liés à vos fournisseurs directs.

Si l'infogéreur a une faille, vous avez une faille. Si l'infogérant ne peut pas prouver qu'il respecte vos exigences, c'est vous qui ne savez pas prouver votre conformité.

Aligner les enjeux : contrat et méthode

Pour faire fonctionner le triptyque Entreprise - Infogéreur - Exigences, il faut mêler juridique et pragmatisme opérationnel.

Cela passe par quelques points clés :

Traduire les exigences en clauses contractuelles 

Oubliez les contrats génériques qui n'engagent personne. Vos objectifs de sécurité doivent être inscrits dans le marbre du contrat de services (SLA).

Exemple : Si votre politique impose de corriger les vulnérabilités importantes sous 7 jours, votre contrat d'infogérance doit stipuler ce délai de 7 jours, assorti de pénalités si ce n'est pas tenu. En dehors de ce cadre, vos magnifiques règles internes ne fonctionnent pas sur le terrain.

Je sais très bien que dans le cas d'une relation bien installée, c'est une discussion parfois un peu difficile à avoir. Mais elle est nécessaire, et vos propres clients n'hésiteront de toute façon pas à l'avoir avec vous.

Exiger des preuves auditables

Le rôle de l’infogéreur change. Il ne doit plus seulement faire, il doit prouver.

• Pouvez-vous montrer un rapport mensuel des correctifs appliqués ?
• Existe-t-il un procès-verbal (PV) du dernier test de restauration des sauvegardes ou de la destruction du dernier support de stockage remplacé ?
• Comment est tracé l'accès de leurs techniciens à vos données sensibles ?
• Qui maintient et met à jour l'inventaire des actifs ?
• Qui valide les changements de configuration ? 

(Je vous propose de relire l'article "Pas de sécurité sans traçabilité")

Le droit d'audit

Votre contrat doit vous autoriser (vous ou un tiers mandaté) à aller vérifier les pratiques de sécurité de votre prestataire. C'est une obligation sous NIS 2, et une pratique de bon sens pour tous.

Comment savoir sinon où sont stockés les mots de passe de tous les clients, et les modalités de partage de l'information sensible en interne ?

Comment vous assurer que l'intervenant qui accède à tout votre système a fait l'objet d'une formation régulière et de vérifications avant embauche ?

Là encore, il faut laisser l'affect de coté. Les questions difficiles ne le sont pas quand on explique bien le contexte dans lequel on les pose.

Pourquoi les infogérants doivent (vite) s'adapter

Ce nouveau paysage normatif n'est pas qu'un défi pour les entreprises clientes.

L'effet domino fait que c'est une petite révolution pour le marché de l'infogérance. Même si tout le monde ne l'a pas intégré.

Ceux qui l'ont compris affichent déjà leurs propres certifications (ISO 27001) et/ou des engagements forts. Ils fournissent des annexes de contrats adaptées proactivement. Ils disposent aussi de modèles de preuves "prêts à auditer".

Ils y ont d'ailleurs fortement intérêt, sauf à vouloir jongler avec autant de modèles qu'ils ont de clients.

Surtout, pour eux, la sécurité n'est plus un coût ou une contrainte technique, c'est un argument commercial. Et un sérieux différenciateur face à la concurrence.

Pour les plus réfractaires, ça va devenir rapidement compliqué. Je vais être cruellement honnête : les prestataires qui se contentent de répondre "Ne vous inquiétez pas, le travail est fait" vont perdre leurs clients stratégiques.

En conclusion

La conformité n'est jamais un projet purement interne. Laissez votre nombril tranquille un instant ;-)

La conformité, c'est un exercice de maîtrise de son écosystème. Ne subissez pas la relation avec votre infogérant : embarquez-le dès le premier jour autour de la table. Si la méthode est bonne, il ne sera pas un frein à votre conformité, mais l'un des moteurs de votre réussite. 

Oui, il aura peut-être besoin d'aide pour s'adapter, mais tout le monde va gagner à le voir monter en puissance et en compétence. Lui aussi !

Si vous avez besoin d'aide pour présenter tout cela (en plus de lui envoyer le lien vers cet article), contactez-moi. Je dispose de ressources qui feront la différence.

Et si vous cherchez à reprendre un peu le contrôle sur votre écosystème et mettre en place de bonnes pratiques de gouvernance, ça se passe ici.