Pendant des années, la mesure standard d'un fournisseur de services gérés (MSP) était la légendaire disponibilité de 99,999 %. Bien que la disponibilité soit un pilier de la triade CIA (Confidentialité, Intégrité, Disponibilité), elle n'est plus la seule mesure qui compte à l'ère des cybermenaces sophistiquées. Chez iExperts, nous conseillons à nos clients d'aller plus loin. Un serveur peut être parfaitement accessible et pleinement opérationnel tout en se faisant exfiltrer ses données sensibles. Si vos accords de niveau de service (SLA) ne couvrent que la rapidité et la disponibilité, vous avancez à l'aveugle concernant votre posture de sécurité réelle.

Le passage aux indicateurs centrés sur la sécurité

Les cadres modernes tels que le NIST CSF 2.0 et l'ISO/CEI 27001:2022 soulignent la nécessité d'une surveillance continue et d'une réponse rapide. Pour s'aligner sur ces normes, vos contrats doivent évoluer afin d'inclure des indicateurs de performance de sécurité spécifiques. Nous nous éloignons de la performance générale pour nous diriger vers une responsabilité accrue en matière de protection des actifs numériques.

• Temps moyen de détection (MTTD) : Combien de temps faut-il à votre fournisseur pour identifier une violation potentielle ?
• Temps moyen de réponse (MTTR) : Une fois qu'une menace est identifiée, avec quelle rapidité le processus de confinement est-il lancé ?
• Cadence de gestion des correctifs : Les vulnérabilités critiques sont-elles traitées dans un délai de 24 à 48 heures ?
• Fréquence des analyses de vulnérabilité : S'assurer que des mesures proactives sont prises de manière cohérente, et non pas seulement une fois par an.

"Un SLA de sécurité n'est pas une garantie qu'une violation ne se produira jamais ; c'est un engagement contraignant sur la manière professionnelle et rapide dont cette violation sera gérée lorsqu'elle surviendra."

Définir les livrables

Lorsque iExperts évalue les contrats de fournisseurs, nous recherchons des preuves tangibles de maturité en matière de sécurité. Il ne suffit pas qu'un fournisseur prétende être sécurisé ; il doit le démontrer par des rapports réguliers et le respect de délais stricts.

• Rapports mensuels sur la posture de sécurité
• Exercices de réponse aux incidents documentés
• Preuve de l'adoption de l'authentification multifacteur
• Transparence des audits tiers

Conseil de pro

Incluez toujours une clause de Droit à l'audit dans vos SLA de sécurité. Cela vous permet, ou à un tiers comme iExperts, de vérifier que les contrôles de sécurité promis dans le contrat sont réellement mis en œuvre et maintenus efficacement.

En conclusion, vos fournisseurs informatiques doivent être des partenaires dans votre parcours de sécurité, et non de simples prestataires de services. En déplaçant l'attention de vos SLA d'une simple disponibilité vers des indicateurs de protection complets, vous vous assurez que votre entreprise est résiliente, conforme et prête à relever les défis du paysage des menaces moderne.