Système de Management de la Sécurité de l’Information (SMSI) : quid de la gestion des tiers ?

Basé sur un processus d’amélioration continue, le SMSI est un outil dynamique qui permet de gérer efficacement la sécurité de l’information. Mais qu’en est-il de la gestion des tiers dans ce contexte ? Les fournisseurs, partenaires, sous-traitants et même les clients peuvent avoir accès à des informations sensibles et présenter ainsi un risque pour la sécurité de l’information.

Découvrez dans cet article comment intégrer la gestion des tiers dans le cadre d’un SMSI, pourquoi cette démarche est cruciale et quelles sont les meilleures pratiques à adopter.

Qu’est-ce qu’un SMSI ?

Un Système de Management de la Sécurité de l’Information (SMSI) est un ensemble structuré et cohérent de politiques, de processus, de procédures et de systèmes destiné à gérer les risques liés à l’information et ainsi garantir la confidentialité, l’intégrité et la disponibilité des données.

Le SMSI est basé sur un processus d’amélioration continue et fonctionne selon le principe du « Planifier – Déployer – Vérifier – Agir » (PDVA). Il s’agit donc d’un système dynamique, toujours en évolution, pour s’adapter aux nouveaux risques et menaces de sécurité de l’information dans un contexte où la transformation digitale bat son plein. Il n’est donc pas simplement question de mettre en place des mesures de sécurité, mais de gérer activement la sécurité de l’information à tous les niveaux de l’organisation, dans son écosystème (tiers) et dans le temps, y compris lorsque l’entreprise connaît des changements organisationnels.

La norme ISO 27001 est sans doute le standard le plus connu pour l’implémentation d’un SMSI dans les règles de l’art. Cette norme internationale fournit un cadre pour la mise en place, le déploiement, la maintenance et l’amélioration du système, et couvre un large spectre de la sécurité de l’information, de l’identification et de l’évaluation des risques à la mise en place de mesures de contrôle appropriées.

La gestion des tiers dans le SMSI

La mise en place d’un SMSI efficace ne peut se faire sans une gestion des tiers rigoureuse et systématique. Les fournisseurs, les partenaires et les sous-traitants peuvent en effet avoir accès à des informations sensibles et présentent donc un risque pour la sécurité de l’information, surtout dans un contexte d’intégration informatique via des outils collaboratifs.

Chaque interaction avec ces tiers peut introduire des risques potentiels pour la sécurité de l’information, la confidentialité et la continuité de l’activité. Il est donc essentiel que ces risques soient identifiés, évalués et gérés de manière appropriée dans le cadre du SMSI.

• Les fournisseurs peuvent avoir accès à des informations sensibles ou aux systèmes d’information de l’organisation que ce soit pour fournir du matériel, des logiciels ou des services. Ils doivent donc respecter les mêmes normes de sécurité que l’organisation elle-même ;
• Les sous-traitants peuvent exécuter des tâches au nom et pour le compte de l’organisation. Ils peuvent à ce titre avoir accès à des données sensibles, à des systèmes d’information ou à des locaux physiques, et doivent donc respecter des exigences de sécurité rigoureuses. Rappelons que les cyberattaques par rebond, qui consistent à attaquer une organisation de petite taille (TPE, PME, indépendant…) pour atteindre une grande structure, sont en nette augmentation ;
• Les clients peuvent également poser des risques en termes de sécurité de l’information, notamment s’ils ont accès à des systèmes d’information ou à des Cloud sécurisés. De plus, les clients peuvent fournir des informations personnelles ou sensibles qui doivent être protégées conformément aux lois sur la protection des données et à la politique de l’organisation en matière de confidentialité.

La gestion des tiers dans le cadre du SMSI se concentre sur trois familles de risques :

• Sécurité de l’information : la sécurité des données et des systèmes d’information peut être compromise lors de l’interaction avec les tiers. Par exemple, un sous-traitant pourrait être chargé de la maintenance d’un système d’information crucial. Si ce sous-traitant ne respecte pas les meilleures pratiques de sécurité, par exemple en utilisant des mots de passe faibles ou en négligeant la mise à jour des logiciels, il pourrait rendre le système vulnérable à des attaques et provoquer une violation de données ;
• Confidentialité : la confidentialité des informations peut être menacée lorsque les tiers ont accès à des données sensibles. Prenons l’exemple d’un fournisseur de service Cloud qui stocke des données client pour une entreprise. Si ce fournisseur ne chiffre pas correctement ces données ou si son personnel peut y accéder sans contrôles adéquats, cela pourrait entraîner une divulgation non autorisée d’informations confidentielles, ce qui pourrait avoir des implications juridiques et réputationnelles graves ;
• Continuité d’activité : les tiers, en particulier ceux qui ont un accès direct ou indirect aux systèmes d’information de l’entreprise, peuvent influencer significativement la continuité des opérations. En effet, une faille de sécurité ou une indisponibilité chez un tiers peut avoir des répercussions directes sur l’entreprise. Prenons l’exemple d’une organisation qui confie son infrastructure informatique à un fournisseur de services cloud. Si ce fournisseur est victime d’une cyberattaque qui entraîne une panne de service prolongée, l’entreprise se retrouve paralysée, incapable de fournir ses services à ses clients, ce qui peut impacter négativement son chiffre d’affaires et sa réputation.

Gestion des tiers et SMSI : le point sur le cadre juridique

Le cadre juridique de la gestion des tiers dans le contexte de la sécurité de l’information est particulièrement riche :

1. Le Règlement Général sur la Protection des Données (RGPD) : les organisations sont dans l’obligation de veiller à ce que tout tiers qui traite des données personnelles pour leur compte respecte les exigences du RGPD. L’incorporation de ces exigences dans les contrats avec les tiers et l’établissement de contrôles adéquats pour surveiller leur conformité sont des aspects essentiels d’un SMSI. Lisez notre article dédié à cette thématique pour aller plus loin ;
2. Le devoir de vigilance impose aux grandes entreprises d’établir et de publier un plan de vigilance afin d’identifier et de prévenir les risques graves envers les droits humains et l’environnement dans le cadre de leurs activités et de celles de leurs filiales et fournisseurs. Bien que la loi ne se concentre pas explicitement sur la sécurité de l’information, elle offre une perspective pertinente dans ce contexte. En effet, la notion d’atteintes graves peut être extrapolée pour englober les violations de données, surtout si elles peuvent entraîner des conséquences significatives pour les individus concernés. Par ailleurs, la loi met en avant l’importance d’une surveillance et d’une gestion rigoureuse des tiers, qui sont également des principes fondamentaux d’un SMSI efficace ;
3. La Directive NIS 2 est une mise à jour de la Directive NIS de l’Union Européenne (Directive sur la sécurité des réseaux et de l’information). Elle vise à renforcer la sécurité des réseaux et des systèmes d’information dans l’UE. Cette deuxième mouture accorde une importance majeure à la gestion des risques de sécurité de l’information, y compris auprès des tiers. Nous en parlons en détail ici ;
4. L’Agence nationale de la sécurité des systèmes d’information (ANSSI) a émis plusieurs réglementations, directives et recommandations en la matière : la réglementation applicable aux Opérateurs de Services Essentiels (OSE), le référentiel général de sécurité (RGS), la certification de sécurité de premier niveau (CSPN), la directive sur la sécurité numérique des entreprises (DSPN), etc.

Gestion des tiers dans le cadre du SMSI : quels avantages pour les entreprises ?

Une gestion rigoureuse des tiers dans le cadre d’un SMSI permet à l’entreprise (et à ses partenaires) de débloquer plusieurs avantages :

1. Réduction des risques financiers : la gestion efficace des tiers dans le cadre du SMSI peut minimiser les risques des violations de la sécurité de l’information, qui peuvent entraîner des pertes financières directes, des amendes réglementaires (comme les pénalités du RGPD) et des coûts indirects liés à l’image de marque ;
2. Amélioration de la conformité, en s’assurant que les exigences réglementaires sont respectées non seulement à l’interne, mais aussi chez les partenaires tiers, ce qui réduit le risque de sanctions pour non-conformité ;
3. Continuité des activités : une évaluation et une gestion efficaces des risques liés aux tiers peuvent également contribuer à la continuité des opérations en évitant les interruptions de service qui pourraient perturber les activités commerciales ;
4. Renforcement de la confiance : une gestion rigoureuse des tiers démontre l’engagement de l’entreprise en matière de sécurité de l’information, ce qui peut renforcer la confiance des clients, des partenaires et des autres parties prenantes… à condition qu’elle déploie une communication pertinente à ce niveau ;
5. Différenciation par la sécurité : dans un macroenvironnement technologique turbulent, une gestion des tiers dans les règles de l’art peut constituer un véritable avantage concurrentiel pour l’entreprise, qui peut miser sur sa maturité en matière de sécurité de l’information pour saisir des opportunités commerciales importantes.

Les meilleures pratiques pour la gestion des tiers dans le SMSI

La gestion des tiers dans le cadre d’un SMSI requiert une approche systématique et structurée :

1. Évaluation des tiers : avant de nouer une relation avec un tiers, il est important de réaliser une évaluation rigoureuse pour examiner les aspects de la sécurité de l’information comme les pratiques de gestion des données, les normes de sécurité suivies par les tiers, leurs certifications, leur politique en matière de cyber-risques et leurs plans de reprise après incident. Cette évaluation doit être renouvelée régulièrement tout au long de la relation ;
2. Intégration des exigences du SMSI dans les contrats avec les tiers : les contrats avec les tiers doivent clairement définir les attentes et les obligations en matière de sécurité de l’information. Cela comprend des clauses spécifiques sur la protection des données, la notification en cas de violation de la sécurité et les exigences de conformité avec les normes et réglementations pertinentes ;
3. Formation et sensibilisation des tiers à la sécurité de l’information : les tiers qui ont accès aux systèmes d’information de l’entreprise doivent être formés aux politiques et procédures de sécurité de l’entreprise, que ce soit au niveau de la manipulation sécurisée des données sensibles, de la détection et de la prévention des cyberattaques ou encore de la réaction en cas d’incident de sécurité ;
4. Plan de gestion de crise pour les incidents impliquant des tiers : l’entreprise doit avoir un plan en place pour gérer les incidents de sécurité impliquant des tiers, couvrant la notification des incidents, l’investigation, la résolution des incidents et le retour à la normale. Le plan doit également prévoir des exercices réguliers pour tester et améliorer la préparation aux incidents.

Provigis, votre partenaire expert de la gestion des tiers

En tant que Tiers de Confiance Probatoire (TCP), Provigis accompagne les entreprises et les outille dans la mise en place de leur SMSI sur le volet de la gestion des risques liés aux tiers. Notre mission : gérer l’écosystème externe de votre entreprise pour vous permettre de vous concentrer sur la croissance de votre activité, en toute sérénité.