Sécurité de la messagerie

Choisir un fournisseur de services managés de sécurité

Adrien Gendre

01 juillet 2021

3 min

Votre entreprise envisage d’avoir recours à un fournisseur de services managés (MSP) ou à un fournisseur de services managés de sécurité (MSSP) ? Sachez-le : vous n’êtes pas seuls. Parmi les PME, 86 % déclarent que la cybersécurité fait partie des cinq priorités de leur entreprise, et 50 % affirment que l’ensemble ou la majorité de leurs services de cybersécurité seront sous-traités dans les cinq prochaines années. Pour les PME, les services managés de sécurité sont l’assurance de protections dont ils ne disposent pas en interne.

La pandémie de COVID-19 a démontré l’utilité de travailler avec un MSSP. Alors que leur personnel passait au travail à distance, les PME ont dû être en mesure d’assurer sans préavis la sécurité des connexions, des réseaux et des données. Un processus difficile, même pour les grandes entreprises disposant de systèmes de sécurité élaborés et d’équipes expérimentées.

Aujourd’hui, les PME se posent la question de poursuivre le télétravail avec un personnel entièrement à distance ou bien d’adopter une solution hybride. Dans ce contexte, des mesures sont nécessaires pour se protéger des menaces de façon plus continue.

Le télétravail s’est greffé au nombre des menaces, déjà coûteuses, à prendre en compte. Problème : de nombreuses PME n’ont pas les capacités pour les gérer. La cybersécurité devrait être une priorité pour toutes les entreprises, de toutes les tailles, c’est pourquoi travailler avec un MSSP est la meilleure solution pour protéger les ressources de son entreprise. Ce ne sont pourtant pas les MSSP qui manquent dans le monde, mais à l’instar des solutions de cybersécurité, leurs services doivent être personnalisés. Pour trouver le MSSP qui leur convient le mieux, les PME doivent savoir quels éléments protéger afin de clarifier leur stratégie de cybersécurité.

Poser les bonnes questions

À l’exemple de la liste des questions qui sont posées lors d’un entretien d’embauche, les PME doivent également élaborer une liste de questions à destination des MSSP. Ces questions doivent correspondre aux besoins spécifiques de votre entreprise, tout en incluant les éléments suivants :

  • Que comprennent vos services managés de sécurité ? Fournissez-vous une protection à chaque terminal, sur l’ensemble du réseau, y compris le cloud ? Votre offre inclut-elle le contrôle des journaux et accès ?
  • Quelle est votre approche en matière de réponse aux menaces ? En combien de temps êtes-vous habituellement en mesure de détecter et de neutraliser une menace ?
  • Avez-vous de l’expérience dans la gestion de mes systèmes d’exploitation, en matériel et logiciel ? (Les entreprises qui gèrent des infrastructures critiques ont besoin d’un MSSP fort d’une expérience dans le support aux technologies opérationnelles, ainsi que dans d’autres systèmes informatiques plus traditionnels, par exemple.)
  • De quels types de certification et de formations votre personnel de sécurité dispose-t-il ?
  • Fournissez-vous un personnel dédié pour mon entreprise en mesure de répondre rapidement à mes besoins ?
  • Que se passe-t-il en cas d’erreur de votre part ? Comment protégez-vous les données et réseaux pendant les temps d’arrêt ? Comment empêchez-vous les temps d’arrêt ?
  • Quels sont vos services les plus populaires ? Que comprend un accord standard et quels sont vos services supplémentaires ? Comment gérez-vous les besoins lorsqu’ils surviennent hors contrat ?
  • Disposez-vous d’un centre d’assistance disponible 24h/24, 7j/7 ? Où se situe votre centre d’assistance ?
  • Avez-vous recours aux services de fournisseurs tiers qui pourraient poser des risques de sécurité supplémentaires ?
  • Comment gérez-vous votre infrastructure informatique, et à quelle rapidité êtes-vous alertés d’un incident ?
  • Quelles sont les responsabilités de votre entreprise pour assurer les plus hauts niveaux de sécurité ?
  • Proposez-vous une assistance sur site ainsi qu’une gestion à distance ?

Conseils pour embaucher le bon MSSP

Vous savez quelles questions poser, et vous avez l’embarras du choix parmi les fournisseurs. À présent, vous devez évaluer chacun d’entre eux et choisir le bon fournisseur pour votre entreprise. Voici quelques conseils qui vont guideront dans votre choix final.

  • Listez l’existant : répertoriez les outils de sécurité dont vous disposez déjà et évaluez la capacité du MSSP à composer avec ces outils tout en enrichissant votre système actuel.
  • Sachez quoi protéger : une entreprise qui s’appuie majoritairement sur les appareils IoT présente des besoins différents d’une entreprise qui utilise une architecture de réseau plus traditionnelle.
  • Examinez attentivement le contrat de niveau de service (SLA) : les conditions doivent porter sur des objectifs, services et niveaux d’assistance clairement définis. S’agit-il un contrat classique ou d’un contrat élaboré spécifiquement à l’intention de votre entreprise ?
  • Demandez des références : demandez des références d’autres entreprises appartenant à votre secteur et présentant des besoins similaires, puis vérifiez ces références. Les éléments à confirmer avec les clients actuels concernent le SLA, la facilité de déploiement, le contact avec le centre d’assistance et tout autre incident sérieux qui serait survenu pendant la collaboration avec le MSSP.

Avec la multiplication des ransomwares, qui défraient régulièrement la chronique, les utilisateurs sont de plus en plus sensibilisés aux cybermenaces. Ainsi, un contrat avec un MSSP garantit la sérénité aux PME qui, dans d’autres conditions, ne disposeraient pas d’un système de sécurité efficace. L’objectif pour les PME est de s’assurer de bien choisir leur MSSP, ce qui implique de connaître leurs besoins avec précision et de savoir exactement quoi chercher.