L’importance prise par la sécurité de l’information ces dernières années pousse les entreprises à rechercher des moyens efficaces de protéger leurs données. Pour un nombre croissant d’entre elles, incluant les PME, l’impartition fait partie de ces moyens.
Il y a quelques années encore, lorsqu’une entreprise confiait la gestion de son réseau à un impartiteur, elle ne souciait pas outre mesure de la sécurité qui devait l’accompagner. Toutefois, la mauvaise presse faite aux organisations négligeant de se protéger contre les menaces pesant sur leurs données a changé la donne – au même titre que les scandales qui ont secoué le monde de la finance et des affaires en général.
Aujourd’hui, les clients exigent que leurs fournisseurs et leurs partenaires se conforment à une sécurité efficace, adaptée aux besoins d’affaires et protégeant les actifs informationnels. Dans ce contexte, impartir sa sécurité peut conférer un avantage concurrentiel; une entreprise démontre ainsi à ses clients qu’elle ne se borne pas à faire de son mieux, mais qu’elle a aussi recours à une expertise afin de protéger les informations qu’on lui confie. .
La sécurité de l’information (SI) est donc devenue un enjeu important. Pour cette raison, de plus en plus d’entreprises cherchent à impartir cet aspect de leurs affaires. Comme la gestion des réseaux et divers autres secteurs des TI, la SI peut faire l’objet en soi d’un contrat d’impartition. De plus en plus, elle est confiée à des spécialistes du sujet, qui travaillent de concert avec les impartiteurs chargés d’autres opérations TI. Dans ces circonstances, les spécialistes de la SI sont souvent appelés à jouer un rôle d’intermédiaire entre l’organisation et l’impartiteur principal.
Cette pratique, cependant, demeure l’apanage de la grande entreprise. Au sein d’une PME, on n’a tout simplement pas les moyens de faire appel à plusieurs impartiteurs. Pourtant, les besoins en matière de sécurité de l’information sont les mêmes. À l’instar de la grande entreprise, la PME n’a d’autre choix que d’entourer les informations qu’elle traite d’une sécurité étanche. Il en va du succès de ses affaires, voire de sa survie.
Par conséquent, les dirigeants de PME aimeraient bien confier la sécurité de leurs données à un impartiteur chevronné, qui connaît les techniques de pointe en matière de protection de l’information. La solution pour ces dirigeants consiste à se tourner vers un partenariat. Celui-ci sera formé d’un fournisseur prenant en charge les aspects plus traditionnels de l’impartition des TI, ainsi que de spécialistes de la SI, capables de mettre en œuvre les mesures de sécurité les plus fiables.
Une PME obtient ainsi le meilleur des deux mondes; elle confie en impartition les opérations TI dont elle ne peut ou ne veut pas s’occuper, tout en s’assurant de bien couvrir le domaine stratégique qu’est devenue la SI. Cette combinaison de services lui permet de s’adjoindre, au moyen d’une entente unique, un impartiteur possédant des connaissances approfondies de la SI, acquises auprès de la grande entreprise. Grâce aux économies d’échelle inhérentes à l’impartition, une PME est en mesure de le faire dans les limites de son budget.
L’impartition peut donc être rentable. Avant de l’appliquer à la sécurité de l’information, toutefois, une entreprise, grande ou petite, doit prendre certaines précautions. La toute première consiste à procéder à l’évaluation des menaces et des risques pesant sur ses affaires. Cet exercice permet de connaître son environnement à fond afin de mieux se préparer à négocier le contrat d’impartition.
L’importance d’un contrat bien ficelé
Il sera alors plus facile d’intégrer à ce dernier des exigences à propos des vulnérabilités, de l’application de rustines et de l’assurance que le niveau de disponibilité des systèmes est conforme aux besoins d’affaires, par exemple. Il est primordial que les mesures à prendre à cet égard soient clairement exposées dans le contrat, et que soit stipulée l’obligation faite à l’impartiteur de régler toute question qui s’y rattache dans un délai précis. À ce sujet, il importe de définir le temps que l’impartiteur mettra à répondre à une demande, et celui dont il aura besoin pour remédier au problème soulevé.
Le client avisé exigera par écrit un droit de regard sur le travail du fournisseur. En d’autres mots, celui-ci sera tenu de déclarer périodiquement s’il a respecté ses obligations dans le cadre de l’entente d’impartition, et d’expliquer exactement les mesures qu’il a prises à cet effet. Des sanctions pénales sont à prévoir au contrat dans les cas où le fournisseur manquerait à ses obligations. Malheureusement, ces sanctions sont souvent oubliées. Pourtant, elles constituent une façon efficace de garantir le niveau de service convenu.
Les contrats doivent aussi tenir compte de l’évolution du marché. Par exemple, les normes de chiffrement appliquées aux réseaux sans fil il y a trois ans à peine n’ont plus cours aujourd’hui. Un impartiteur a le devoir de mettre à niveau les mesures de protection en place lorsqu’elles deviennent désuètes. Si des clauses ne sont pas spécifiquement prévues à cet égard, il est facile pour le fournisseur de ne rien faire ou d’exiger des frais qui ne sont pas toujours raisonnables. De ce point de vue, les deux parties ont intérêt à s’entendre à l’avance sur les frais supplémentaires qui seront exigibles dans toutes les situations possibles. Et d’inclure au contrat ce sur quoi elles se sont entendues.
Autre aspect de l’impartition à ne pas négliger : la résiliation du contrat, qui entraîner des sérieux différends. En effet, un client insatisfait qui veut reprendre le contrôle de sa SI aura un épineux problème sur les bras si le fournisseur refuse de coopérer. Ayant délaissé la gestion quotidienne de la sécurité depuis un certain temps, il aura du mal à assurer une transition harmonieuse entre l’impartiteur et lui. Il serait donc sage de mettre au contrat des clauses assurant la collaboration du fournisseur relativement au transfert de toutes les connaissances pertinentes (mots de passe, particularités de l’architecture en place, routines établies, versions des applications utilisées, etc.). Pour l’impartiteur, ces obligations constituent une source de motivation; s’il ne fait pas adéquatement son travail, non seulement perdra-t-il son client, mais il devra aussi l’aider à reprendre ses affaires en main.
Voilà certains des facteurs essentiels dont on devra tenir compte lors de la négociation d’un contrat d’impartition de la SI. Bien sûr, chaque contrat reflète les besoins propres de l’entreprise. L’idée fondamentale est de porter une attention rigoureuse aux obligations du fournisseur. Ce faisant, les entreprises de toute taille peuvent tirer un avantage stratégique de l’impartition de la sécurité de l’information.
François Daigle est directeur, services professionnels et formation, chez OKIOK