« Toto, nous ne sommes plus au Kansas… »

Même avant l’arrivée de la COVID-19, des bouleversements sismiques en matière de sécurité des données avaient déjà provoqué une accélération rapide des protocoles de cybersécurité. Lorsque la pandémie a frappé, elle a déclenché une révolution de télétravail mondiale. La plupart des entreprises disposent aujourd’hui d’une main-d’œuvre en télétravail au moins partiel, que l’on parle du moment présent ou de l’avenir proche. Bien que les bureaux commencent à rouvrir, les guerriers de la sécurité des données sont toujours fermement tenus par le protocole en place depuis plus d’un an.

Garantir la sécurité des données et la productivité des employés qui télétravaillent doit être une priorité absolue pour toutes les entreprises. Celles qui n’ont pas su adapter leurs priorités à la « nouvelle normalité » en matière de sécurité des données se sont enferrées dans les difficultés.

Un rapport récent du cabinet d’étude et de conseil Gartner a identifié les défaillances du contrôle de la cybersécurité comme la principale préoccupation des responsables du risque et des audits cette année. Cette préoccupation a été citée par 67 % des personnes interrogées, dans un large éventail de régions et de secteurs industriels. Les conclusions ne sont pas surprenantes. Alors que les équipes informatiques étendaient l’accès aux VPN (réseaux privés virtuels), les équipes chargées de la sécurité sont passées en mode de crise pour moderniser rapidement les politiques d’accès du travail à distance, malgré une expérience limitée de la protection d’un personnel entièrement en télétravail.

Esprit d’équipe et durabilité

Les besoins en matière de sécurité des données ont radicalement changé, notamment les budgets, les cycles de vente et les considérations de sécurité. Aujourd’hui, les appels d’offres relatifs à la sécurité des données visent à protéger une main-d’œuvre essentiellement distante.

Mais malgré l’évolution des besoins de la sécurité des données, les entreprises doivent aborder un appel d’offres comme elles le faisaient avant la pandémie. Cela signifie qu’avant de choisir un fournisseur, il leur faut discuter de tous les détails du projet en interne. Identifiez clairement le problème que vous essayez de résoudre et les signes qui vous indiqueront quand vous l’aurez résolu. Créez une équipe spécialisée pour piloter le processus. Veillez à ce que votre équipe de projet définisse les principales étapes correspondantes, car ces dernières vous aideront à mesurer votre progression et votre réussite, que ce soit en interne ou à l’extérieur. Quel que soit l’objectif spécifique, votre objectif global consiste à créer un environnement agile permettant de réagir rapidement à l’évolution des menaces.

Il est également crucial de réfléchir à la durabilité d’une solution. Demandez ce dont vous avez besoin maintenant, plutôt que ce dont les employés pensent avoir besoin. Dans la problématique qui vous intéresse, un élément peut-il manquer aux employés sans qu’ils le sachent ? Et de quoi pourraient-ils avoir besoin à l’avenir ? Discutez-en avec votre équipe de sécurité, mais aussi avec d’autres équipes afin d’élargir votre vision des choses. Votre appel d’offre doit refléter précisément l’ambition de votre organisation. Pensez aux itérations rapides et aux contrats flexibles qui permettent de réagir à l’évolution rapide de votre environnement. Sur le plan contractuel et commercial, vous voulez un fournisseur qui vous donne une longueur d’avance sur les futures cyberpirates.

Armée d’un descriptif fiable de vos besoins, votre équipe de projet doit rassembler autant d’informations externes que possible. À partir de votre sélection de fournisseurs potentiels, demandez des informations à vos homologues et aux analystes du secteur ; en fait, à toute personne dotée d’une connaissance approfondie du secteur de la sécurité des données. Essayez d’obtenir plus d’informations sur les fournisseurs que vous avez sélectionnés, et notez les avantages et les inconvénients des solutions disponibles. Dans la mesure du possible, demandez le retour d’expérience d’entreprises ayant fait appel à l’un des fournisseurs de votre liste.

Évaluation des propositions et sélection des fournisseurs

Une fois que vous avez déterminé le problème à résoudre et les personnes susceptibles de vous aider, passez aux critères d’évaluation : ce que vous recherchez dans une solution et votre processus de notation des diverses solutions. Créez les questions correspondant à chaque exigence et présentez les scénarios spécifiques à votre secteur. Ensuite, déterminez l’importance de chacune de ces exigences.

Il est parfois possible d’éliminer les zones d’ombre par des questions binaires avec une réponse de type oui/non, ou par des questions auxquelles un fournisseur peut répondre par « exigence non prise en charge », « partiellement prise en charge » ou « entièrement prise en charge », avec des explications détaillées. En cas d’incertitude, posez des questions complémentaires.

Le télétravail exige une solution capable d’empêcher les employés de stocker les données de l’entreprise dans le cloud, mais aussi de détecter et d’alerter si un utilisateur tente de déplacer des fichiers en dehors des directives prédéfinies par l’entreprise. De même, il est extrêmement intéressant de disposer d’une solution capable de prévenir un administrateur si des données sensibles sont déplacées vers un stockage partagé, par exemple un dossier ou un fichier personnel, ou encore un périphérique amovible. Un système de notation qui permet aux entreprises d’ajuster leurs pondérations vous permettra de visualiser dans quelle mesure une solution satisfait à chaque exigence.

La mise en place d’un système de notation fiable vous aidera à évaluer de manière cohérente chaque fournisseur, en toute indépendance, sur la base de ses réponses aux critères techniques. Vous pouvez choisir de ne pas publier le système de notation, mais l’idéal consiste à le tester pour vous assurer qu’il ne puisse pas être « dupé ».

Avant de procéder à la sélection finale, passez en revue les évaluations de chaque fournisseur et présentez des arguments pour et contre chacun d’eux. Et avant de signer avec le fournisseur que vous avez choisi, envoyez un compte-rendu aux fournisseurs qui n’ont pas été retenus.

Il n’y a pas de méthode universelle pour rédiger un appel d’offres, mais si vous respectez la règle d’or consistant à mesurer les points importants et à vous aligner sur la stratégie informatique et l’ambition de votre entreprise, vous obtiendrez le meilleur résultat possible.
___________________

Par Tim Bandos, RSSI et vice-président des services de sécurité gérés chez Digital Guardian