Peut-on externaliser sa cybersécurité ?
L’externalisation est une solution permettant à une entreprise de déléguer tout ou en partie les activités liées directement aux traitements de données informatiques. Généralement, les prestataires offshores proposent des services répondant à des besoins spécifiques en fonction des objectifs d’une entreprise. Des prestations techniques qui concernent divers domaines dont les éléments de la sécurité informatique et des réseaux de télécommunication. La complexité de ces domaines amène la plupart des entreprises d’envergure à confier la gestion des risques générés par l’usage des technologies numériques à un tiers. Mais externaliser sa cybersécurité ne comporte-t-il pas des enjeux ?
Est-il sécuritaire d’externaliser sa cybersécurité ?
Une entreprise qui peine à sécuriser son système informatique, l’intégrité de ses ressources et infrastructures informationnelles ainsi que la confidentialité de ses données, peut-elle espérer trouver la solution idéale auprès d’un organisme tiers ? La question mérite d’être posée étant donné que dans un processus d’externalisation de la cybersécurité, il s’agit essentiellement de dévoiler les faiblesses de son entreprise à un tiers prestataire.
Aussi, avec un niveau de sécurité déjà assez faible avant le passage au Cloud, peut-on espérer une plus grande sécurité de ses actifs une fois que ceux-ci seront complètement hors de contrôle ? Peut-on garantir que le fournisseur de cloud sera capable d’apporter une solution concrète à chaque problème de sécurité ? Déjà que la vulnérabilité de ces derniers sont palpables à l’avance, comment s’assurer que l’intrusion d’un organisme tiers ne risque pas de les fragiliser davantage ? Par quel moyen le fournisseur peut-il garantir tous les éléments qui entourent la cybersécurité d’une entreprise : le lieu d’hébergement des données et de transit, les mises à jours de sécurité, l’exploitation des données, etc.
Quid de la solution Cloud sur le long terme
Si la solution Cloud représente une alternative très économique sur le court terme, une vigilance s’impose concernant certaines offres tout-en-un dont il faudrait évaluer en profondeur la nécessité. L’experience du fournisseur et le nombre important de ses clients ne suffisent pas toujours à garantir son expertise. Il convient toujours de baser sa confiance sur des faits et des clauses contractuelles. Par ailleurs, il faut aussi garder en tête que tout ce qui brille n’est pas or. Certains jeunes diplômés s’auto-proclament souvent experts même sans expérience.
Externaliser ne signifie pas fermer les yeux sur les risques
L’erreur serait de penser qu’après avoir confié la gestion de son infrastructure IT à un organisme tiers, le chef d’entreprise peut dormir sur ses deux oreilles. Externaliser ne signifie en effet en aucun cas ne plus avoir à se soucier de la sécurité informatique de son entreprise. Les risques demeurent réels et les données des clients s’exposent toujours à un risque accru de déperdition, confidentialité, intégrité et escroqueries.
Dans tous les cas, il est toujours recommandé de mettre en place une culture de cybersécurité en interne, sensibiliser et former tous les acteurs qui touchent aux systèmes d’informations de l’entreprise même si ceux-ci sont hébergés dans des clouds externes. La phase de migration vers le cloud elle-même n’étant pas à 100% sécuritaire, un minimum de vigilance s’impose.
Bref, la solution d’externalisation est une alternative envisageable pour limiter les erreurs liées au traitement des données informationnelles au sein d’une entreprise d’envergure. Confier la gestion et la sécurisation informatique de toute une structure à un tiers requiert toutefois une bonne vigilance car les risques ne sont pas totalement écartés malgré les mesures prises par les professionnels. La mise en place d’un système de sécurité informatique en interne reste toujours une option à considérer même si les solutions clouds offrent de nombreux avantages.
- Publié dans Conseils