Les entreprises de toutes tailles font appel à des fournisseurs de services informatiques gérés pour sécuriser leurs plates-formes. Ils le font pour s'assurer que leurs infrastructures technologiques fonctionnent de manière optimale pour soutenir la croissance et la rentabilité.

Mais tous les fournisseurs de services gérés (MSP) n'ont pas les connaissances et la formation nécessaires pour suivre le rythme de la vague croissante de cybercriminalité d'aujourd'hui. Si vous en choisissez un sans une expertise adéquate en matière de sécurité, vous risquez une violation de données paralysante ou une attaque de ransomware dévastatrice.

Aujourd'hui, de plus en plus d'entreprises externalisent certains de leurs besoins en matière de gestion, de maintenance et d'assistance technologiques.

A l'échelle mondiale, la Marché des services informatiques gérés croît à un rythme rapide, passant d'environ 156 milliards de dollars en 2017 à 296 milliards de dollars prévus en 2023, pour un taux de croissance annuel composé (TCAC) prévu de 11,3 %.

C'est compréhensible : choisir d'embaucher un MSP donne accès à un expert externe possédant une expertise technique, une formation spécialisée et des compétences difficiles à trouver. Cela peut soulager votre équipe interne de lourdes tâches et réduire les coûts de main-d'œuvre de l'entreprise.

Malheureusement, cependant, l'externalisation peut comporter des risques cachés. Tout fournisseur tiers chargé d'administrer vos systèmes informatiques aura naturellement accès à vos données, y compris des informations que vous n'auriez peut-être pas considérées comme précieuses ou vulnérables, comme la propriété intellectuelle ou les numéros de sécurité sociale des employés.

La façon dont votre MSP sécurise sa propre infrastructure a naturellement un impact sur la sécurité de la vôtre si vous utilisez n'importe quel type de services de gestion ou de surveillance à distance.

Le soin et l'intelligence avec lesquels votre fournisseur vous conseille sur les mises à jour technologiques, les correctifs logiciels et les politiques et procédures de cybersécurité peut avoir un impact énorme sur la sécurité de votre entreprise.

Comment les services informatiques externalisés peuvent avoir un impact sur le profil de risque de cybersécurité de votre entreprise

  1. Atténuer le danger des technologies obsolètes et d'un état d'esprit dépassé
  2. S'adapte aux exigences modernes en matière de cybersécurité
  3. Répond à 5 questions principales sur les fournisseurs de cybersécurité

Atténuer le danger des technologies obsolètes et d'un état d'esprit dépassé

Les cybercriminels d'aujourd'hui sont plus professionnels et sophistiqués que jamais. Acteurs de la menace au niveau de l'État-nation utilisent des technologies telles que l'apprentissage automatique pour trouver des vulnérabilités dans les systèmes, et des tactiques toujours plus efficaces pour compromettre les systèmes et exfiltrer les données sans se faire remarquer.

Logiciels de rançon est de plus en plus répandu, les experts estimant que les attaques se produisent désormais, en moyenne, toutes les 14 secondes.

attaques de cybersécurité toutes les 14 secondes

Selon le FBI, le collectif l'impact de la cybercriminalité coûte aux entreprises environ 3 milliards de dollars par an.

Les développeurs de logiciels et les fabricants de matériel ont depuis longtemps adopté une approche réactive pour sécuriser les infrastructures informatiques. L'exemple probablement le plus connu de cette approche peut être vu dans la prémisse du logiciel antivirus, une approche réactive qui est compromise si la sécurité d'un seul utilisateur ne dispose pas de la toute dernière version du logiciel antivirus.

Le logiciel antivirus est l'un des outils les plus anciens de la boîte à outils du professionnel de la cybersécurité, et les criminels ont trouvé des moyens de le contourner il y a quelque temps. Les criminels ont trouvé des moyens de contourner les logiciels antivirus. Par exemple, la création de logiciels malveillants polymorphes ou à changement de forme qui modifient les parties de son code que les algorithmes basés sur les signatures recherchent à chaque fois qu'ils s'exécutent).

Mais le principe sous-jacent, à savoir que les technologies doivent être mises à jour pour contrer ou se protéger contre toute nouvelle menace dès qu'elle est détectée, reste fondamental dans le secteur de la cybersécurité aujourd'hui.

Cela signifie que la dernière version d'une application logicielle, contenant les mises à jour les plus récentes, sera presque toujours la plus sécurisée. Cela signifie que les périphériques matériels les plus récents, allant des serveurs et des pare-feu aux nouveaux capteurs « intelligents » avec des protections intégrées sur puce, auront des protections supérieures. Cela semble prohibitif, non ?

En réalité, bien sûr, le budget de chaque organisation est limité. Vous aider à décider quels investissements technologiques sont les plus judicieux et où vous obtiendrez le meilleur rapport qualité-prix en matière de sécurité est un domaine dans lequel un fournisseur de services informatiques expérimenté peut apporter une valeur ajoutée considérable.

Votre fournisseur aura passé de nombreuses années à travailler avec des technologies de différents fournisseurs, de sorte qu'il saura quelles offres sont à la hauteur des promesses de leurs vendeurs, lesquelles peuvent être difficiles à intégrer dans votre environnement et lesquelles ne valent pas leur coût.

Ils seront également en mesure de vous conseiller sur l'adoption de processus d'affaires et d'encourager les habitudes des employés qui peuvent grandement améliorer votre sécurité, même s'ils ne coûtent rien ou peu à mettre en place. De plus, ils seront en mesure d'expliquer pourquoi les logiciels antivirus n'offrent plus une protection adéquate, même pour les environnements informatiques d'entreprise les plus simples.

Acheteurs avertis : tous les MSP ne suivent pas les exigences modernes en matière de cybersécurité

La plupart des contrats des fournisseurs de services stipulent combien de temps leur service d'assistance prendra pour répondre aux questions, à quelle vitesse le personnel technique répondra aux problèmes et quels autres services ils fournissent. Beaucoup offrent des garanties de disponibilité ou de performances du système, mais peu, voire aucun, ne sont prêts à garantir que vos données resteront en sécurité pendant qu'ils sont sous leur garde.

Même si un nombre croissant de MSP souscrivent une assurance responsabilité civile, c'est vous, et non le fournisseur, qui serez responsable des sanctions financières que vous encourrez si vous êtes victime d'une violation.

Si, par exemple, il s'avère que vous n'avez pas respecté des réglementations telles que la loi HIPPAA (Health Insurance Portability and Accountability Act), vous encourez des amendes. Si vous êtes poursuivi par des clients ou d'anciens employés en colère, vous devrez payer des frais d'avocat, des frais de justice et tous les frais de règlement accordés. Et votre fournisseur ne couvrira pas les coûts des pertes de revenus (ou des clients qui se tournent vers vos concurrents) si votre entreprise ferme temporairement à la suite d'une attaque.

De plus, malgré la croissance rapide qu'il a connue récemment, le marché des services gérés reste très concurrentiel. Certains MSP tentent de détourner les clients des entreprises concurrentes en réduisant leurs prix.

Parce qu'il est peu probable qu'ils soient tenus responsables de la sécurité de vos données en cas de violation catastrophique, et parce que leurs politiques et technologies de sécurité internes peuvent vous être invisibles, la cybersécurité est souvent un domaine dans lequel les fournisseurs sont souvent tentés de faire des économies.

Les attitudes dominantes parmi les décideurs des entreprises aggravent le problème. Même si des recherches récentes montrent que 43 % des cyberattaques ciblent délibérément les petites entreprisesde nombreux dirigeants de petites entreprises estiment que les risques de leur organisation sont inférieurs à ceux des grandes entreprises.

43 % des cyberattaques ciblent délibérément les petites entreprises

En fait, les petites entreprises ne sont peut-être pas aussi susceptibles d'avoir budgétisé les technologies les plus récentes et les plus sécurisées, d'avoir développé et testé un plan de reprise après sinistre ou d'avoir mis en place des capacités de surveillance du réseau 24/7/365. Les cybercriminels le savent. Assurez-vous que votre MSP le fait aussi.

5 questions à poser lors de la recherche d'un fournisseur de services informatiques

La qualité des services de cybersécurité offerts par un MSP devrait être un facteur de différenciation essentiel lorsque vous évaluez des fournisseurs. Bien sûr, la « qualité » est un terme subjectif, et il est notoirement difficile de développer des mesures précises et concrètes pour la réduction des risques.

Néanmoins, la résilience de votre entreprise et sa survie future pourraient bien dépendre de votre capacité à évaluer la qualité d'une offre de services de cybersécurité.

Voici cinq questions essentielles que vous devez poser à tout MSP potentiel :

  1. Savez-vous ce qui est connecté à nos systèmes ?
  2. Savez-vous ce qui tourne sur notre réseau ?
  3. Êtes-vous certain que nous avons mis en place les bons contrôles ?
  4. Sommes-nous protégés par des processus continus ?
  5. Tu peux le prouver?

En posant ces questions, vous aurez plus confiance dans votre choix de MSP, ce qui conduira à plus de sécurité pour votre entreprise.

Transparence, authenticité et fiabilité : les trois principales qualités d'un MSP

En fin de compte, vous recherchez un MSP qui s'appuiera sur les dernières technologies pour avoir une visibilité sur ce qui se passe dans votre environnement informatique et qui surveillera cet environnement à tout moment.

Ce qui distingue les fournisseurs vraiment exceptionnels, c'est leur engagement envers la transparence opérationnelle, qui vous permet de voir exactement ce qu'ils font en votre nom et d'être suffisamment patient pour expliquer pourquoi ils le font.

Lorsque vous évaluez des fournisseurs de services gérés, la sécurité ne doit jamais être une réflexion après coup.