Externalisation de sa cybersécurité : quelle gestion des risques observer ?

Une simple recherche sur internet nous permet de constater qu’il existe un grand nombre de prestataires proposant d’externaliser tout ou partie de l’aspect opérationnel lié à la cybersécurité des entreprises. 

Entre la souscription à des Saas (Software as a service), le recours à des prestataires de services ou encore l’externalisation du SOC (Centre Opérationnel de Sécurité), la confusion peut vite se créer, tout particulièrement pour les TPE/PME qui cherchent des solutions peu coûteuses et complètes.

En effet, selon une récente étude menée par Kaspersky, 26% des organisations sollicitées prévoient d’externaliser leur cybersécurité au profit de prestataires professionnels tiers.

L’externalisation comme solution simple et moins coûteuse

L’externalisation est plus accessible car elle aborde des problématiques concrètes,  techniques. Elle permet donc d’agir immédiatement pour résoudre ou renforcer un aspect de cybersécurité et donc de réduire le risque de cyberattaque. Par exemple, il est possible d’externaliser un SOC et de confier la surveillance et la gestion des incidents “cyber” à un prestataire qui aura de meilleures compétences et qui sera disponible en continu pour résoudre ces problèmes.

L’externalisation est généralement moins coûteuse et constitue un choix privilégié pour les entreprises puisqu’elles n’ont pas besoin de recruter des talents et peuvent rester flexibles sur leur nombre de salariés tout en atteignant un objectif de cybersécurité.

L’externalisation est donc une solution simple et accessible. Elle permet une gestion efficace et immédiate du risque opérationnel. Pour autant, est-ce toujours la solution la plus adaptée ?

L’externalisation n’offre pas toujours une solution complète de protection

L’externalisation peut être totale ou partielle, et cela affecte potentiellement le risque de cyberattaque. Lorsqu’on externalise une partie de sa cybersécurité, on pense généralement externaliser l’entièreté du risque et de la responsabilité en cas de réussite d’une intrusion malveillante. Cependant, ce n’est pas toujours le cas. En réalité, il y a certaines responsabilités qui incombent à la société et à son gérant dans tous les cas. En réalité, seules les activités qui “ne présentant pas d’impact stratégique pour la société” peuvent être externalisées.

Penser que l’externalisation seule est suffisante est une erreur au vue des chiffres récemment avancés sur l’impact néfaste des cyberattaques sur les entreprises. La décision d’externaliser ou non, est une décision stratégique. Le fait d’externaliser la gestion de certains risques liés à la cybersécurité n’exempte pas, par exemple, les entreprises de mettre en place un management et de former leurs collaborateurs aux bonnes pratiques de cybersécurité afin de promouvoir un environnement informatique de travail sécurisé.

L’externalisation doit donc être maîtrisée. L’externalisation n’est pas per se un mauvais choix, mais elle demeure un choix stratégique. Il faut analyser le risque même de cette externalisation et connaître le contexte de cybersécurité dans lequel elle s’intègre. Il faudra opérer un choix entre internalisation, externalisation ou les deux !

Internaliser ou externaliser : un arbitrage à faire au cas par cas

L’externalisation doit être arbitrée au cas par cas. Elle dépend de la situation dans laquelle se trouve chaque société et de la gestion des cyber-risques implémentée au sein de l’entité. Parfois, l’externalisation sera suffisante pour minimiser de manière acceptable les risques de cyberattaques tandis que d’autres fois, elle sera insuffisante car elle ne couvrira que partiellement les efforts à mettre en oeuvre pour assurer un bon niveau de cybersécurité au sein de sa société et il faudra opter pour une externalisation partielle.

L’externalisation peut être une solution efficace en matière de cybersécurité. L’externalisation présente des avantages pour les sociétés (coûts, accessibilité, flexibilité…) et peut tout à fait être une solution de cybersécurité viable sous réserve d’en maîtriser les risques.

Mais l’externalisation doit être intégrée à une stratégie de gestion de la cybersécurité qui est propre à l’entreprise et qui ne peut pas être elle, externalisée. Il s’agira notamment de la gestion et du management général de la cybersécurité à l’échelle de l’entité, comme par exemple, la mise en place d’une PSSI, de la formation continue du personnel, de la rédaction de notes internes et de chartes informatiques.