Aujourd’hui, il est de plus en plus courant qu’une entreprise envisage d’avoir recours à un fournisseur de services managés (MSP) ou à un fournisseur de services managés de sécurité (MSSP). Alors, comment bien choisir et embaucher le bon fournisseur de services managés de sécurité (MSSP) ? La réponse avec Adrien Gendre, directeur associé et architecte Solutions chez Vade
Parmi les PME, 86 % déclarent que la cybersécurité fait partie des cinq priorités de leur entreprise, et 50 % affirment que l’ensemble ou la majorité de leurs services de cybersécurité seront sous-traités dans les cinq prochaines années*. Pour les PME, les services managés de sécurité sont l’assurance de protections dont ils ne disposent pas en interne.
La pandémie de COVID-19 a démontré l’utilité de travailler avec un MSSP
Alors que leurs collaborateurs passaient au travail à distance, les PME ont dû être en mesure d’assurer sans préavis la sécurité des connexions, des réseaux et des données. Un processus difficile, même pour les grandes entreprises disposant de systèmes de sécurité élaborés et d’équipes expérimentées.
Actuellement, les PME se posent la question de poursuivre le télétravail avec des équipes entièrement à distance ou bien d’adopter une solution hybride. Dans ce contexte, des mesures sont nécessaires pour se protéger des menaces de façon plus continue.
Le télétravail s’est greffé au nombre des menaces, déjà coûteuses, à prendre en compte. Le problème ? De nombreuses PME n’ont pas les capacités pour les gérer. La cybersécurité devrait être une priorité pour toutes les entreprises, quelle que soit leur taille, c’est pourquoi travailler avec un MSSP est la meilleure solution pour protéger les ressources de son entreprise. Ce ne sont pourtant pas les MSSP qui manquent dans le monde, mais tout comme les solutions de cybersécurité, leurs services doivent être personnalisés. Pour trouver le MSSP qui leur convient le mieux, les PME doivent savoir quels éléments protéger afin de clarifier leur stratégie de cybersécurité.
Poser les bonnes questions
À l’instar de la liste des questions qui sont posées lors d’un entretien d’embauche, les PME doivent également élaborer une liste de questions à destination des MSSP. Celles-ci doivent correspondre aux besoins spécifiques de l’entreprise, tout en incluant les éléments suivants :
- Que comprennent les services managés de sécurité de l’entreprise ? Une protection est-elle fournie à chaque terminal, sur l’ensemble du réseau, y compris le cloud ? L’offre inclut-elle le contrôle des journaux et accès ?
- Quelle est l’approche en matière de réponse aux menaces ? Habituellement, en combien de temps la menace est-elle détectée et neutralisée ?
- Les équipes ont-elles de l’expérience dans la gestion des systèmes d’exploitation, en matériel et logiciel ? (Les entreprises qui gèrent des infrastructures critiques ont besoin d’un MSSP fort d’une expérience dans le support aux technologies opérationnelles, ainsi que dans d’autres systèmes informatiques plus traditionnels, par exemple.)
- De quels types de certification et de formations le personnel de sécurité dispose-t-il ?
- L’entreprise dispose-t-elle d’une personne dédiée en mesure de répondre rapidement aux besoins ?
- Que se passe-t-il en cas d’erreur de la part du personnel ? Comment sont protégés les données et réseaux pendant les temps d’arrêt ? Comment sont empêchés les temps d’arrêt ?
- Quels sont les services les plus populaires ? Que comprend un accord standard et quels sont les services supplémentaires ? Comment sont gérés les besoins lorsqu’ils surviennent hors contrat ?
- L’entreprise dispose-t-elle d’un centre d’assistance disponible 24h/24, 7j/7 ? Où se situe ce centre d’assistance ?
- L’entreprise a-t-elle recours aux services de fournisseurs tiers qui pourraient poser des risques de sécurité supplémentaires ?
- Comment est gérée l’infrastructure informatique, et à quelle rapidité est-on alerté d’un incident ?
- Quelles sont les responsabilités de l’entreprise pour assurer les plus hauts niveaux de sécurité ?
- Une assistance sur site ainsi qu’une gestion à distance sont-elles proposées ?
Conseils pour embaucher le bon MSSP
Les questions à poser sont maintenant établies, et l’entreprise à l’embarras du choix parmi les fournisseurs. À présent, il faut donc évaluer chacun d’entre eux pour choisir celui qui répondra le mieux aux besoins de l’entreprise. Quelques conseils peuvent guider les décideurs dans leur choix final :
- Lister l’existant : répertorier les outils de sécurité dont l’entreprise dispose déjà et évaluer la capacité du MSSP à composer avec ces outils tout en enrichissant le système actuel.
- Savoir quoi protéger : une entreprise qui s’appuie majoritairement sur les appareils IoT présente des besoins différents d’une entreprise qui utilise une architecture de réseau plus traditionnelle.
- Examiner attentivement le contrat de niveau de service (SLA) : les conditions doivent porter sur des objectifs, services et niveaux d’assistance clairement définis. S’agit-il un contrat classique ou d’un contrat élaboré spécifiquement à l’intention de l’entreprise ?
- Demander des références : il peut être utile de demander des références d’autres entreprises appartenant au même secteur et présentant des besoins similaires, puis de vérifier ces références. Les éléments à confirmer avec les clients actuels concernent le SLA, la facilité de déploiement, le contact avec le centre d’assistance et tout autre incident sérieux qui serait survenu pendant la collaboration avec le MSSP.
Avec la multiplication des ransomwares, qui défraient régulièrement la chronique, les utilisateurs sont de plus en plus sensibilisés aux cybermenaces. Ainsi, un contrat avec un MSSP garantit la sérénité des PME qui, dans d’autres conditions, ne disposeraient pas d’un système de sécurité efficace. L’objectif pour les PME est de s’assurer de bien choisir leur MSSP, ce qui implique de connaître leurs besoins avec précision et de savoir exactement quoi chercher.