Quel contrôle opérationnel pour ses contrats de sous-traitance ?

icon menu smartphone

L’externalisation est une tendance de fond des systèmes d’information, et la sécurité doit suivre ; le volet humain de l’externalisation, le recours massif à la prestation intellectuelle, pose ses difficultés propres pour s’assurer de l’application des politiques de sécurités aux externes qui agissent sur le SI de l’entreprise, souvent dans ses locaux.

C’est dans ce contexte que s’est tenue la conférence « Cloud, Sous-traitants, Etc … maîtriser son SI au-delà des frontières organisationnelles », organisée par le CLUSIF, CLUb de la Sécurité de l‘Information Français. J’ai eu le privilège d’intervenir au cours de cette conférence, pour donner un retour d’expérience sur notre activité de contrôle des clauses sécurité pour les contrats de sous-traitance. L’objet de cet article est de synthétiser cette intervention, afin d’en faire profiter le plus grand nombre !

 

01// Un peu de contexte

emagine est une société de conseil en informatique, dont la particularité est de s’appuyer largement sur des consultants freelances plutôt qu’internes. En conséquence, nous avons eu besoin d’une méthode qui permettait de concilier les exigences de sécurité de certains de nos clients grands comptes, et des consultants freelances ou TPE, avec parfois une maturité en sécurité assez faible.

Le volume d’évaluations à réaliser s’est rapidement avéré être une contrainte ; en trois ans, nous avons dû réaliser 400 évaluations,  pour environ 300 fournisseurs différents. L’industrialisation de notre méthode et de nos outils nous a permis de réaliser nos évaluations à distance, avec une moyenne d’une demi-journée de charge par évaluation.

Sans plus tarder, examinons les enseignements que nous pouvons tirer de notre pratique. Posons tout d’abord une base : l’objectif premier de la démarche est de contrôler, de manière systématique et avant le démarrage d’une prestation, la conformité aux engagements contractuels en sécurité. Nous y ajoutons un enjeu d’informer, de sensibiliser et d’accompagner nos partenaires sur des thématiques sécurité qui ne font généralement pas partie de leur cœur de métier. 

Nous pourrions découper la démarche en trois étapes : la construction (création des référentiels, des barèmes), la conduite opérationnelle de l’évaluation et le suivi (reporting, communication avec les acteurs, inscription de la démarche dans le temps). Je vais ici me concentrer sur les étapes de construction de la démarche et de suivi, où nous introduisons les éléments les plus intéressants pour qui souhaiterait reproduire une démarche similaire.

02// Construction de la démarche

Commençons par la construction d’une méthode adaptée. Dans notre contexte, nous disposions déjà d’exigences contractuelles en sécurité, je ne vais pas revenir sur comment les choisir ou les intégrer dans le contrat. Notre objectif est de transformer ces clauses en leur restant fidèle sur le fond, mais en les rendant à la fois plus accessibles et utilisables dans le cadre d’un contrôle. Nous avons créé un questionnaire, et un barème associé.

Mettre en place un questionnaire permet de découper les exigences dans la forme la plus compréhensible possible, et de préciser une exigence qui serait générique dans le contrat :

La mise en place d’un barème associé au questionnaire permet, quant à elle, de pondérer les différentes thématiques et questions entre elles pour faire ressortir les priorités de l’évaluation. Si nous continuons de suivre notre exemple :

Nous avons constaté que le découpage en questionnaire et la mise en place du barème avaient une large influence sur les résultats obtenus ; à ce titre, ils doivent refléter aussi fidèlement que possible les enjeux métier, idéalement l’analyse de risque associée à l’activité concernée par la prestation. Il convient également d’établir des priorités entre les différentes thématiques abordées lors de l’évaluation, sans tomber dans le travers qui consiste à considérer que tout est critique et qu’un manque est éliminatoire.

Nous considérons également que cette évaluation peut prendre deux objectifs différents, qui sont liés à la forme du barème et du questionnaire : l’objectif d’une évaluation globale de maturité en sécurité, avec un barème relativement équilibré, ou l’objectif d’une conformité « stricte » à un référentiel, avec une notation plus stricte et plus éliminatoire. Notre propre pratique se place nettement dans le premier cas de figure.

03// Exemple d'évaluation

Je vais passer assez rapidement sur l’évaluation en elle-même, qui est assez similaire à étudier un plan d’assurance sécurité, par exemple. Voici à quoi ressemblerait notre exemple avec des réponses et une évaluation :

04// Suivi et reporting de la démarche

Abordons enfin le suivi et la communication que nous avons mise en place ; nous considérons qu’un bénéfice important du découpage en questions et de l’usage d’un barème et d’une notation chiffrée est la clarté du système, qui permet ensuite de communiquer efficacement avec les parties prenantes d’une prestation : le fournisseur, le département achats, le prescripteur métier…

Cette transparence renforce la légitimité de la démarche, en démontrant que la notation est faite sur des critères clairs et perçus comme objectifs. Ce faisant, on déplace les éventuelles remises en question du bien-fondé du système entier, à tel ou tel point de notation.

Notre méthodologie inclut également l’émission d’un plan d’action envers le fournisseur : chaque point jugé non-conforme va donner lieu à des recommandations, ou à minima des pistes pour que le fournisseur puisse travailler sur ses faiblesses

La mise en place de ce plan d’action permet de tirer son écosystème de fournisseurs vers le haut, soutenant leur amélioration continue. Ce plan sert également de support dans notre démarche de maintien de la conformité, vu que l’évaluation est répétée chaque année : les non-conformités d’une année sont réexaminées l’année suivante, de manière similaire à un cycle d’audit ISO 27001.

05// En conclusion

Revenons sur les bénéfices d’une démarche comme la nôtre, et ses limites. L’utilisation d’un questionnaire et d’un barème permet des résultats reproductibles et comparables, plutôt que des résultats binaires. En outre, cette méthode offre une finesse de personnalisation assez avancée pour se placer au plus près des enjeux de sécurité des clients

Cependant, il convient de noter que cette méthode nécessiteune forte implication dans la sécurisation des fournisseurs, ce qui est à la fois couteux et peut être inadapté dans certaines situations (réponse à appel d’offres par exemple). En outre, nous considérons qu’elle est moins pertinente dans le cadre d’un référentiel qui nécessite une conformité très forte.

Pour autant, appliquée telle que nous la pratiquons, c’est un support net d’amélioration des pratiques de sécurité dans notre écosystème. A titre d’exemple, lors de leur première évaluation, 23.7% de nos fournisseurs étaient en dessous du seuil d’acceptation, taux qui est tombé à 4% après un cycle d’évaluation. Ces résultats sont pour nous très encourageants et nous continuons à ce jour à améliorer nos outils et à les pratiquer au jour le jour avec de nombreux partenaires.

En savoir plus sur notre service Conformité.

ACCEPTOur website uses cookies so that we can provide you with the best possible user experience.
More information