Les achats face aux nouveaux défis de la cybersécurité

Selon le dernier rapport Hiscox sur la gestion des cyber-risques, les entreprises françaises consacrent 11 % de leur budget informatique à la cybersécurité. Contrairement à ce que l’on pourrait penser, le poids de la cybersécurité est plus lourd dans les TPE et PME. Elles y consacrent de l’ordre de 10 à 14% de leur budget informatique, contre 7% au-delà de 1 000 employés. Une bonne pratique évidente veut que le RSSI soit indépendant vis-à-vis du DSI; dans les faits, le budget sécurité fait fréquemment partie du budget DSI. Dans les PME, la question ne se pose pas : une même personne cumule généralement les rôles de DSI et RSSI : « Il est rare d’avoir un budget achat spécifique pour un pôle cyber et les investissements sont réalisés sur le même budget que la DSI » explique Olivier Dahan, ancien responsable des achats IT pour le groupe Onet et aujourd’hui consultant pour la société Procurizy Consulting. « Dans les entreprises de taille plus conséquentes, pour les acheteurs, la frontière entre les familles d’achats DSI et RSSI est parfois floue car elles adressent les mêmes attentes. » Celui-ci souligne que l’une des fonctions du RSSI étant d’auditer les actions de la DSI qui influent sur la sécurité du SI. De fait, la sécurité doit être indépendante.

Faire preuve d’intelligence pour trouver les budgets nécessaires

Pour autant, le budget cyber doit-il être sorti du périmètre de celui de la DSI ? Anthony Di Prima, RSSI industriel chez Orano estime que cette indépendance budgétaire n’est pas cruciale : « Avoir un budget cyber peut être une fin en soi pour certains, mais je considère qu’il s’agit surtout d’être intelligent et dépenser les bons budgets aux bons endroits. Ça ne me gêne pas de ne pas avoir un budget dédié, dès lors que d’autres entités financent les projets importants. » Si le CISO (ou RSSI) disposent d’un budget spécifique pour mener à bien leurs projets, pour réaliser certaines actions et mettre en place certaines solutions, ils doivent faire de toute manière appel au budget de la DSI sur certains projets car les implications liées à la cyber sont étroitement liées au SI. « À titre d’exemple, la mise en place d’un EDR est une attente des RSSI, explique Olivier Dahan, sa mise en place impacte plusieurs périmètres la DSI. Se pose ici une difficulté budgétaire car le CISO se retrouve à la fois prescripteur, demandeur et auditeur… ».

L’achat cyber ne concerne plus les seuls DSI et RSSI. Dans une grande entreprise, l’acheteur a cinq interlocuteurs : les métiers qui souhaitent couvrir leurs besoins opérationnels, la DSI pour les aspects informatiques, le RSSI pour la sécurité, le DPO pour le volet RGPD et enfin le juridique. « Cette multiplicité des acteurs représente une forte charge de travail pour l’acheteur qui doit comprendre les attendus de chacun et coordonner chaque intervenant » ajoute Olivier Dahan. « Il faut prendre en compte l’ensemble des exigences dès la phase de consultation jusqu’à la contractualisation. » Anthony Di Prima ajoute : « Dans les grandes entreprises industrielles comme Orano, la trajectoire financière des sites de production est pilotée par le directeur d’établissement ou par le directeur de business unit. Nous devons travailler en bonne intelligence avec eux pour définir une bonne stratégie de cybersécurité, établir une roadmap, engager un certain nombre de chantiers prioritaires. »

La cyber, un secteur en évolution rapide

Les directions achats maîtrisent aujourd’hui bien l’achat de prestations en SaaS et la plateformisation des offres cyber n’est pas un obstacle pour elles. Néanmoins, à la différence d’autres catégories, la sécurité informatique se caractérise toujours par de très nombreux produits de niche, parfois techniquement très complexes à appréhender par des acheteurs qui n’ont pas une formation initiale en IT ou en cyber. Isabelle Buchy, consultante chez Kanva, société de conseil qui intervient auprès des Directions Opérationnelles, souligne cette complexité : « J’ai commencé à faire de l’achat cyber chez un client qui n’avait pas d’acheteur dédié et qui était confronté à un problème d’intrusion. J’ai dû très rapidement lancer un appel d’offre et monter en compétence sur le sujet en parallèle. Je me suis tournée vers leur prestataire de sécurité, déjà en place, qui m’a formée de manière intensive avec trois sessions de deux heures. C’était passionnant ! Et s’il me faut donner un conseil à un acheteur qui doit gérer l’achat d’un produit ou d’une prestation cyber, c’est de bien maîtriser son sujet, au besoin de se former en s’adressant au RSSI ou, à défaut, à un prestataire cyber de l’entreprise. »

Il reste difficile pour un acheteur de juger de la qualité technique des réponses, mais aussi de la pérennité des produits ou des services dans le temps. Les acquisitions sont fréquentes, les produits évoluent rapidement, et certains peuvent être abandonnés ou ne plus être maintenus.. L’acheteur doit avoir un minimum de notion sur la cybersécurité, s’appuyer sur des expertises externes reste indispensable. Un consensus se dégage sur le fait qu’une relation tripartite doit se mettre en place le plus en amont possible entre le RSSI, l’acheteur et la direction à l’origine du projet, qu’il s’agisse d’une direction métier ou de la DSI. « Lors des appels d’offres liés aux périmètres Infra et Sécurité, nous travaillions en trinômes : les achats, la DSI sur les aspects techniques et opérationnels et le RSSI sur les aspects sécurité. Ce dernier donnait ses recommandations et devait valider les choix impactant la sécurité » explique Olivier Dahan. « Concernant les besoins provenant des métiers, la règle était que la DSI centralise les projets dans la mesure du possible, sachant qu’aucun grand groupe n’est à l’abri du Shadow IT. » Pour le responsable des achats IT, le facteur clé de succès reste d’impliquer le RSSI le plus en amont possible dans les projets, et non pas à la fin, comme c’est encore souvent le cas. « Impliquer très tôt le RSSI permet d’éviter les points de blocage, des délais d’attente supplémentaires, voire, dans le pire des scénarios, l’annulation du projet si la solution choisie par les métiers n’est pas en adéquation avec la politique de sécurité de l’entreprise. »

Le risque sur la supply chain accroît l’importance de la cyber pour l’acheteur

La cybersécurité est un critère de plus en plus prépondérant, et plus uniquement pour procéder à l’acquisition de licences EDR ou de boîtiers coupe-feu. Le risque pesant sur toute la chaîne logistique pousse les entreprises à hausser leur niveau d’exigence vis-à-vis de tous les fournisseurs impliqués dans leurs processus critiques. Ce risque a poussé les entreprises à intégrer des clauses cyber aux contrats, à mener des audits chez leurs fournisseurs clés ou à opter pour la notation cyber pour les autres. Sur ce plan, NIS 2 a parfaitement défini ce risque sur la supply chain.

Olivier Dahan insiste sur un point : « La direction des achats doit être de plus en plus responsabilisée pour porter le critère sécurité vis-à-vis des fournisseurs. Ainsi, la direction cyber accompagne de plus en plus les directions achat dans la mise en place de démarches de gestion du risque cyber des fournisseurs, avec de nombreuses initiatives, notamment dans le domaine du scoring de maturité ou de notation cyber. » Pour l’expert, la composante cyber doit être pleinement intégrée dans le référencement des fournisseurs, au même titre que la santé économique, l’éthique ou les critères RSE. Les achats doivent clairement jouer le rôle de partie prenante, mais le RSSI doit lui aussi être totalement impliqué auprès des acheteurs. Isabelle Buchy prévient : « Le rôle du RSSI ne se limite pas à fournir des clauses cyber standards à intégrer aux appels d’offres et aux contrats. Il doit vraiment y avoir une collaboration sur les clauses contractuelles, tout comme il y a une collaboration autour du PAS (Plan d’Assurance Sécurité) tripartite entre le RSSI, le duo achats-opérationnels et le fournisseur. Pour moi, cette formule à trois est celle qui permet au mieux de garantir le respect des exigences cyber dans les appels d’offres IT. »

De même, une direction métier qui opte pour une application SaaS n’est pas exempte de suivre les démarches d’intégration de la cyber dans le projet. Là encore, il faut s’assurer que l’application répond aux exigences de sécurité et de protection des données personnelles. La direction cyber doit venir en soutien aux chefs de projet et aux directions achat en fournissant les annexes de sécurité, un clausier pour les contrats et des questionnaires pour les fournisseurs.