Pour les prestataires SI, il est recommandé d'imposer la certification ISO 27001 (management de la sécurité de l'information). Celle-ci permet de créer une chaîne de qualité et d'amélioration continue, imposée aux fournisseurs. " C'est un process qui fonctionne bien sur un périmètre unique et bien défini, mais qui peut perdre de sa vertu quand elle est appliquée à toute l'entreprise, car son bienfait est alors dilué ", prévient Freddy Milesi, CEO de Sekoia, start-up spécialisée dans la prévention des cyber-risques.
Dans cette boîte à outils, les acheteurs peuvent aussi utiliser les attestations SOC2 (en cas de sous-traitance d'activités, elles permettent de vérifier qu'un contrôle interne IT a lieu), la clause d'audit (efficace quand elle porte sur le périmètre d'une prestation mais chère et contraignante dans la pratique car elle impose des déplacements), le reporting PSEE, la déclaration d'incidents de sécurité, une assurance cybersécurité, ou encore la mise au rebut et la destruction des médias (informations échangées avec les fournisseurs détruites au terme du contrat). Il peut être pertinent de mixer ces différentes approches.
En interne, les acheteurs doivent se rapprocher du RSSI ou des équipes sécurité, notamment pour définir conjointement les processus de sourcing et inclure les conditions dès les RFP, vérifier et valider les autoévaluations des fournisseurs.
La nouvelle responsabilité des fournisseurs imposée par le RGPD
Le RGPD impose de nouvelles exigences aux sous-traitants dans les relations à leurs clients. Auparavant, le responsable de la collecte des données était celui qui l'avait commanditée et le sous-traitant avait peu de responsabilité. Dorénavant, ce dernier est bien coresponsable en cas d'atteinte à la protection des données personnelles. La responsabilité des deux sera recherchée. Le sous-traitant devient seul responsable s'il outrepasse les instructions de l'entreprise commanditaire. S'il a respecté des instructions qui n'étaient pas conformes au RGPD, il a l'obligation d'alerter le responsable du traitement sur ce point. Un partage de responsabilités aura lieu en fonction du cas.
Les acheteurs vont désormais devoir vérifier contractuellement que le sous-traitant fournit des garanties techniques et organisationnelles suffisantes. Les contrats doivent comporter les clauses spécifiques suivantes :
- -le sous-traitant ne doit traiter les données que selon les instructions du responsable du traitement (e-mails, lettres, comptes rendus) et ne peut sous-traiter lui-même sans autorisation écrite ;
- -le sous-traitant doit s'assurer que son personnel est soumis à une obligation de confidentialité ;
- -il doit garantir une sécurité des données proportionnée, c'est-à-dire qu'il doit être conscient de la sensibilité des données qu'il traite et garantir une sécurité adaptée ;
...