Publicité en cours de chargement...

Publicité en cours de chargement...

Publicité en cours de chargement...

Sécurité des SI : effet boomerang de la paire de baffes

26 avril 2022 - 09:45,
Communiqué - Cédric Cartau
Tous ceux qui suivent l’actualité des SI et de la réglementation SI voient passer des news sur telle ou telle entreprise qui vient de se prendre une prune par la CNIL. Il y en a eu, il y en a et il y en aura. Ce qui est surprenant est que dans certains cas, il s’agit tantôt d’un responsable de traitement (RT) sanctionné pour les agissements de son sous-traitant (ST), tantôt l’inverse. Ce qui pose, en filigrane, la capacité d’un RT à auditer / contrôler son ST.

Mais la discussion va prendre un tour intéressant si l’on examine de plus près l’annexe A.15 de la norme ISO 27001, consacrée à la gestion des fournisseurs. La disposition A.15.1.2 mentionne explicitement la présence de clauses de sécurité dans les relations contractuelles avec ses fournisseurs (toute la section A.15.1 parle même de charte fournisseur, de PSSI, etc.), et les dispositions A.15.2.1 et A.15.2.2 traitent quant à elles de la surveillance des prestations délivrées par les fournisseurs, soit en mode « croisière », soit lors d’un changement dans les prestations en question. Certes, on est quelquefois à cheval sur le RGPD et l’ISO, mais l’ISO représente un catalogue de pratiques à mettre en œuvre sur lequel des milliers de personnes ont phosphoré pendant des décennies pour en arriver à ce niveau de maturité : on peut donc faire confiance au modèle.

Le chapitre A.15.1 (le volet contractuel) n’est pas si compliqué à mettre en œuvre : clauses et annexes aux CCTP/CCAP, charte fournisseur signée avant l’ouverture des accès en télémaintenance, etc. Par contre, pour les deux clauses du A.15.2, c’est une autre paire de manches : comment s’assure-t-on de la prise en compte de la sécurité dans les prestations de tel ou tel fournisseur ? Dans l’esprit de l’ISO, il appartient au client de poser la question et au fournisseur d’y répondre. J’ai testé pour vous l’année dernière et j’ai eu cette discussion absolument stratosphérique avec un opérateur telco (dont les processus métiers datent à peu près de Germinal) :

– Qu’avez-vous mis en place pour prendre en compte la sécurité dans vos prestations ?
– … (aucune réponse).
– Vous avez un relevé des incidents, un taux de disponibilité annuel, un plan de formation SSI de vos agents, une PSSI, etc. ?

En gros, nada, bernique et peau de balle. Évidemment, pour un opérateur telco, c’est assez facile de répondre, autant du reste que pour un SSII effectuant de la maintenance dans un datacenter ou pour un organisme de formation. Mais posez-vous les mêmes questions pour un commissaire aux comptes (eux, je sais qu’ils ont la réponse), pour une SSII qui réalise une opération technique ponctuelle, pour un cabinet d’avocats qui intervient en mode conseil, etc.

Tiens juste pour rire, quelles dispositions a mis en place le cabinet MacQuisait pour la prestation de conseil sur la constitution d’un stock national de papier toilette au Ministère du transit ? Une charte de déontologie ? Je peux voir une estimation de son efficacité ? Des formations pointues sur les types de papiers ? Je peux voir les feuilles de présence (fastoche), les évaluations des agents formés (plus casse-figure) voire l’estimation de la compétence globale des équipes (bon courage) ?

Le monde professionnel est tout de même en train de prendre une bizarre tournure, à tous s’auditer les uns les autres à longueur de temps : les organismes de contrôle auditent les entreprises, qui auditent leurs fournisseurs, qui eux-mêmes auditent leurs fournisseurs de rang 2, etc. Et au beau milieu de ce joyeux manège, la personne du RSSI (et du DPO !) qui va littéralement passer son temps à poser des questions ouvertes (les pires qui soient) à tout le monde : qu’avez-vous mis en place pour vous assurer de… ? Avez-vous des indicateurs pour mesurer le… ? Et aussi bien à son entreprise qu’aux fournisseurs, c’est cela la beauté du geste. La prochaine fois que je tombe sur un fournisseur de prestations intellectuelles, je vais lui poser cette question juste pour voir sa réaction (si je peux, je prends une photo de sa bobine et je l’encadre), ensuite je poserai la même au service qui a fait appel à ce prestataire. C’est moi qui fabrique le boomerang, mais ce sont eux qui se visent mutuellement avec !

Ça me motive de ouf, j’ai une de ces patates en ce début de semaine, moi !

Avez-vous apprécié ce contenu ?

A lire également.

Illustration La cyber et les probabilités paresseuses

La cyber et les probabilités paresseuses

26 mai 2025 - 21:29,

Tribune

-
Cédric Cartau

Récemment, j’ai assisté à la conférence d’un entrepreneur qui propose des prestations de service relatives à des « calculs d’impact ». Oui, dit comme cela, c’est étrange, mais en fait pas autant qu’il y paraît : dans l’idée, si vous disposez d’un budget fixe, entre deux choix de projets cyber (par e...

Illustration Cybersécurité, simuler pour protéger : la force des formations immersives

Cybersécurité, simuler pour protéger : la force des formations immersives

19 mai 2025 - 23:41,

Tribune

-
Christine HEULIN

Dans un secteur aussi sensible que celui de la santé, la cybersécurité et la cyber résilience sont prioritaires. Les séquences immersives intégrées dans les formations à la cybersécurité jouent un rôle essentiel pour préparer les professionnels à faire face aux menaces. Ces approches pédagogiques re...

Illustration La cyber, les rillettes et les puces en 5 minutes

La cyber, les rillettes et les puces en 5 minutes

19 mai 2025 - 23:24,

Tribune

-
Cédric Cartau

C’est ce que je trouve bien dans la cyber : la discipline est au carrefour des possibles, et il ne faut pas bien longtemps pour tordre une nouvelle ou un article glanés çà ou là avant de les cyber-retourner, souvent avec la mauvaise foi qui me caractérise, j’en conviens. Exercice en live.

Illustration Cybersécurité hospitalière : le GHT Rhône Nord Beaujolais Dombes, premier lauréat du programme CaRE

Cybersécurité hospitalière : le GHT Rhône Nord Beaujolais Dombes, premier lauréat du programme CaRE

09 mai 2025 - 16:39,

Actualité

- DSIH

Le programme CaRE franchit une étape clé. Moins d’un an après le lancement de son premier appel à financement dédié à la sécurisation des annuaires techniques et de l’exposition sur Internet, la direction du programme annonce la validation du premier dossier ayant atteint l’ensemble des objectifs fi...

Lettre d'information.

Ne manquez rien de la e-santé et des systèmes d’informations hospitaliers !

Inscrivez-vous à notre lettre d’information hebdomadaire.