Bonnes pratiques de cybersécurité envers un fournisseur de prestation informatique

Illustration partenaire commercial

La cybersécurité est un enjeu majeur pour les entreprises de toutes tailles. En confiant la gestion de votre système informatique à un prestataire externe, il est essentiel de s'assurer qu'il met en œuvre les meilleures pratiques pour protéger vos données et vos systèmes contre les cyberattaques.

Voici quelques bonnes pratiques à adopter envers un fournisseur de prestation informatique :

Mesures de prévention

En matière de cyberattaque, personne n’est intouchable et le risque zéro n’existe pas. Toutefois, attendez de vos partenaires que soient mises en place au minimum les cinq mesures de prévention suivantes contre les cyberattaques :

  1. Sécurisation des accès à distance : les accès à distance, comme le VPN, le RDP ou autres, ainsi que tous les autres accès aux ressources internes (par ex. messagerie électronique, Sharepoint, etc.) doivent obligatoirement être sécurisés par une authentification basée sur deux facteurs. Concrètement, les personnes souhaitant accéder à ces ressources à distance doivent renseigner non seulement leurs identifiants (premier facteur), mais aussi un code à usage unique supplémentaire (second facteur) – par exemple au moyen d’un SMS. L’authentification forte doit aujourd’hui être un standard obligatoire pour les accès à distance.
  2. Sauvegardes hors ligne : il est nécessaire de créer régulièrement des copies de secours des données en votre possession, dans le respect de la législation applicable sur la protection des données personnelles. Pour cela, un principe des générations (quotidien, hebdomadaire, mensuel - au moins deux générations) doit être utilisé. Il s’agit aussi de garantir à chaque fois que le canal sur lequel sont effectuées les copies de secours est physiquement séparé de l’ordinateur et du réseau, et protégé après l’opération de sauvegarde.
  3. Gestion des correctifs et des cycles de vie des actifs informatiques : en matière de sécurité, tous les systèmes doivent être systématiquement et régulièrement mis à jour pour éviter l’exploitation des vulnérabilités par des cybercriminels et le vol de données, notamment des informations de connexion. Les logiciels ou les systèmes qui ne sont plus actualisés par le fabricant (fin de vie) doivent être désactivés ou transférés dans une zone séparée et isolée du réseau.
  4. Blocage des pièces jointes et des liens à risque dans les courriels : la messagerie électronique reste un canal privilégié d’attaque pour les cybercriminels. Pour cette raison, il est impératif de bloquer la réception de pièces jointes dangereuses sur votre messagerie, y compris les documents Office avec macros. La sensibilisation et la formation de vos collaboratrices et collaborateurs à reconnaître les courriels suspicieux, par exemple avec des exercices de prévention du phishing, est essentielle.
  5. Surveillance des fichiers journaux (logs) : une surveillance continue de l’environnement IT et des changements au sein de celui-ci est une nécessité pour réagir rapidement et ainsi réduire les impacts d’une cyberattaque. En particulier, surveiller les accès à distance, les accès à Internet et les droits définis dans l'Active Directory (le service d'annuaire de Microsoft, qui centralise l'identification et l'authentification d'un réseau) est essentiel.

Attentes contractuels

  • Si les systèmes informatiques de vos fournisseurs (ou ceux d’un de leurs sous-traitants) hébergent ou traitent vos données sans fondement contractuel, ces données doivent vous être remises ou détruites, après validation avec vous même. Si un contrat en vigueur règle l’hébergement ou le traitement de telles données, vous souhaitez en être informés. 
  • Si vos fournisseurs (ou l’un de vos sous-traitants) sont victime d’une cyberattaque ou d’un incident de sécurité susceptible d’avoir un impact sur les données traitées, une annonce doit être immédiatement vous être faite.
  • Vos fournisseurs doivent s’assurer que toutes les mesures techniques et organisationnelles appropriées ont été prises et documentées afin d’assurer la protection des données et la sécurité de l’information, notamment pour éviter tout traitement non-autorisé, la perte, dommage ou destruction des données, ainsi que pour assurer le respect du secret de fonction ancré à l’art. 320 CP.
  • Si votre fournisseurs traite des données personnelles dont vous êtes le responsable du traitement, les dispositions de la loi vaudoise sur la protection des données personnelles du 11 septembre 2007 (LPrD-VD ; BLV 172.54) doivent être respectées, ainsi que les principes qui en découlent.

Partager la page

Partager sur :