Vulnérabilités des prestataires : entre contrôle et confiance


Comment gérer les vulnérabilités informatiques liées aux prestataires ? Comment trouver le bon équilibre entre le contrôle et la confiance ? C’est ce qu’expliquent Guillaume Laudière et Loup Gronier, consultants sécurité chez Orange Cyberdefense au sein de leur livre blanc.

L’externalisation touche tout le monde : il est fréquent pour une petite comme une grande structure d’être accompagnée dans la réalisation de tâches au quotidien. Mais sans le vouloir, votre prestataire peut être à l’origine de votre pire cauchemar. On se souvient encore, par exemple, de la fuite de 110 millions de données bancaires et privées de la société américaine Target à cause de son prestataire de climatisation.

Même si l’externalisation s’intègre aujourd’hui complètement aux processus des sociétés, les problèmes de sécurité s’avèrent de plus en plus nombreux et leur font prendre conscience qu’elles doivent contrôler toute la chaîne de la prestation. La mise en œuvre d’une externalisation, pour être sécuritaire, doit donc s’accompagner d’un suivi et d’actions de contrôle.

Car oui, comme le dit l’adage : « La confiance n’exclut pas le contrôle ». Et si cette étape demeure nécessaire dans le cycle de vie d’un projet ou d’une application, elle ne peut être réduite uniquement à cette phrase. En effet, pour une entreprise devant maîtriser ses externalisations, la mise en œuvre d’un processus global de gestion des audits est une quasi-obligation. La réflexion se pose donc de structurer son approche mais surtout d’intégrer un certain nombre de bonnes pratiques.

Peut-on réduire la gestion de la prestation externalisée à l’étape de contrôle ? Clairement, non. En faisant référence à la roue de Deming, mis en œuvre dans le système de management de la sécurité de l’information notamment, le contrôle n’est qu’une des quatre étapes du cycle de gestion.

Pour une plus grande maitrise de l’externalisation, il est donc préconisé d’instaurer un processus d’externalisation reposant sur ces quatre étapes du PCDA (Plan, Do, Action, Check) :

  1. la définition des objectifs de sécurité et la contractualisation,
  2. la mise en œuvre de la gouvernance et pilotage du niveau de sécurité,
  3. la réalisation des contrôles,
  4. le suivi des plans d’action et l’amélioration continue.


Avec plusieurs années d’expérience dans la réalisation des audits de prestataires, les auditeurs et les consultants d’Orange Cyberdefense proposent au travers d’un livre blanc, une réflexion, des axes d’optimisation et des approches afin de structurer et mettre en œuvre vos propres processus. Vous y trouverez également un retour d’expérience sur :

  • la construction du référentiel d’exigence PAS ;
  • les audits de prestataires.

A propos des blogueurs

Guillaume Laudière

Consultant sécurité et auditeur
13 ans d’expérience
En 2005, Guillaume Laudière intègre le monde de la sécurité. Il travaille pendant 3 ans et demi sur les problématiques de continuité d’activité avant de se pencher sur la gouvernance (classification d’informations,
analyse de réseaux sociaux).
En parallèle, Guillaume travaille depuis 2007 en tant qu’auditeur et mène régulièrement des audits de conformité de prestataires. Il se spécialise ainsi sur ce type d’audit et complète son périmètre d’intervention avec l’audit de datacenters.
Il a ainsi réalisé plus de 450 audits de prestataires et plus de 50 audits de datacenters.

Loup Gronier

Consultant sécurité
30 ans d’expérience
Après avoir débuté sa carrière comme développeur puis chef de projet, Loup Gronier s’est orienté vers la sécurité des systèmes d’information dans les années 1990.
A l’origine concepteur de méthodes d’analyse de risques (MELISA, méthodes propriétaires), il s’est orienté en 1994 vers les audits techniques (UNIX, réseau puis Windows) puis vers la réalisation de
tests d’intrusion.
Il a monté l’une des premières équipes structurées atour de ce sujet en France en 1997. Il pilote des missions de conseil, ainsi que des audits de sécurité.