Publicité en cours de chargement...
Sécurité des SI : effet boomerang de la paire de baffes
Mais la discussion va prendre un tour intéressant si l’on examine de plus près l’annexe A.15 de la norme ISO 27001, consacrée à la gestion des fournisseurs. La disposition A.15.1.2 mentionne explicitement la présence de clauses de sécurité dans les relations contractuelles avec ses fournisseurs (toute la section A.15.1 parle même de charte fournisseur, de PSSI, etc.), et les dispositions A.15.2.1 et A.15.2.2 traitent quant à elles de la surveillance des prestations délivrées par les fournisseurs, soit en mode « croisière », soit lors d’un changement dans les prestations en question. Certes, on est quelquefois à cheval sur le RGPD et l’ISO, mais l’ISO représente un catalogue de pratiques à mettre en œuvre sur lequel des milliers de personnes ont phosphoré pendant des décennies pour en arriver à ce niveau de maturité : on peut donc faire confiance au modèle.
Le chapitre A.15.1 (le volet contractuel) n’est pas si compliqué à mettre en œuvre : clauses et annexes aux CCTP/CCAP, charte fournisseur signée avant l’ouverture des accès en télémaintenance, etc. Par contre, pour les deux clauses du A.15.2, c’est une autre paire de manches : comment s’assure-t-on de la prise en compte de la sécurité dans les prestations de tel ou tel fournisseur ? Dans l’esprit de l’ISO, il appartient au client de poser la question et au fournisseur d’y répondre. J’ai testé pour vous l’année dernière et j’ai eu cette discussion absolument stratosphérique avec un opérateur telco (dont les processus métiers datent à peu près de Germinal) :
– Qu’avez-vous mis en place pour prendre en compte la sécurité dans vos prestations ?
– … (aucune réponse).
– Vous avez un relevé des incidents, un taux de disponibilité annuel, un plan de formation SSI de vos agents, une PSSI, etc. ?
En gros, nada, bernique et peau de balle. Évidemment, pour un opérateur telco, c’est assez facile de répondre, autant du reste que pour un SSII effectuant de la maintenance dans un datacenter ou pour un organisme de formation. Mais posez-vous les mêmes questions pour un commissaire aux comptes (eux, je sais qu’ils ont la réponse), pour une SSII qui réalise une opération technique ponctuelle, pour un cabinet d’avocats qui intervient en mode conseil, etc.
Tiens juste pour rire, quelles dispositions a mis en place le cabinet MacQuisait pour la prestation de conseil sur la constitution d’un stock national de papier toilette au Ministère du transit ? Une charte de déontologie ? Je peux voir une estimation de son efficacité ? Des formations pointues sur les types de papiers ? Je peux voir les feuilles de présence (fastoche), les évaluations des agents formés (plus casse-figure) voire l’estimation de la compétence globale des équipes (bon courage) ?
Le monde professionnel est tout de même en train de prendre une bizarre tournure, à tous s’auditer les uns les autres à longueur de temps : les organismes de contrôle auditent les entreprises, qui auditent leurs fournisseurs, qui eux-mêmes auditent leurs fournisseurs de rang 2, etc. Et au beau milieu de ce joyeux manège, la personne du RSSI (et du DPO !) qui va littéralement passer son temps à poser des questions ouvertes (les pires qui soient) à tout le monde : qu’avez-vous mis en place pour vous assurer de… ? Avez-vous des indicateurs pour mesurer le… ? Et aussi bien à son entreprise qu’aux fournisseurs, c’est cela la beauté du geste. La prochaine fois que je tombe sur un fournisseur de prestations intellectuelles, je vais lui poser cette question juste pour voir sa réaction (si je peux, je prends une photo de sa bobine et je l’encadre), ensuite je poserai la même au service qui a fait appel à ce prestataire. C’est moi qui fabrique le boomerang, mais ce sont eux qui se visent mutuellement avec !
Ça me motive de ouf, j’ai une de ces patates en ce début de semaine, moi !
Avez-vous apprécié ce contenu ?
A lire également.

La cyber et les probabilités paresseuses
26 mai 2025 - 21:29,
Tribune
-Récemment, j’ai assisté à la conférence d’un entrepreneur qui propose des prestations de service relatives à des « calculs d’impact ». Oui, dit comme cela, c’est étrange, mais en fait pas autant qu’il y paraît : dans l’idée, si vous disposez d’un budget fixe, entre deux choix de projets cyber (par e...

Cybersécurité, simuler pour protéger : la force des formations immersives
19 mai 2025 - 23:41,
Tribune
-Dans un secteur aussi sensible que celui de la santé, la cybersécurité et la cyber résilience sont prioritaires. Les séquences immersives intégrées dans les formations à la cybersécurité jouent un rôle essentiel pour préparer les professionnels à faire face aux menaces. Ces approches pédagogiques re...

La cyber, les rillettes et les puces en 5 minutes
19 mai 2025 - 23:24,
Tribune
-C’est ce que je trouve bien dans la cyber : la discipline est au carrefour des possibles, et il ne faut pas bien longtemps pour tordre une nouvelle ou un article glanés çà ou là avant de les cyber-retourner, souvent avec la mauvaise foi qui me caractérise, j’en conviens. Exercice en live.

Cybersécurité hospitalière : le GHT Rhône Nord Beaujolais Dombes, premier lauréat du programme CaRE
09 mai 2025 - 16:39,
Actualité
- DSIHLe programme CaRE franchit une étape clé. Moins d’un an après le lancement de son premier appel à financement dédié à la sécurisation des annuaires techniques et de l’exposition sur Internet, la direction du programme annonce la validation du premier dossier ayant atteint l’ensemble des objectifs fi...