Pourquoi est-il intéressant d’externaliser l’aspect cybersécurité?
La question n’est pas tant de savoir s’il est nécessaire d’externaliser, mais plutôt de savoir ce qu’il est important d’externaliser afin d’obtenir un rapport coût/couverture de risques intéressant pour l’entreprise. En effet, toutes les organisations ne font pas face aux mêmes risques et n’ont pas les mêmes moyens en matière de cybersécurité. L’expertise nécessaire pour couvrir un panel de risques suffisamment large se trouve rarement au sein d’une seule et même organisation – à quelques rares exceptions près – notamment si elle repose sur un métier critique. C’est pourquoi il est intéressant de recourir à une externalisation complète ou partielle pour bénéficier d’un haut niveau d’expertise.
Toutes les organisations ne font pas face aux mêmes risques et n’ont pas les mêmes moyens en matière de cybersécurité.
Vincent Laurens, Cybersecurity practice executive, vice-président et membre du comité exécutif (Sogeti Luxembourg)
Aujourd’hui, on demande de plus en plus aux responsables informatiques de définir des feuilles de route en matière d’IT et de cybersécurité. Pour arriver à une roadmap stable, il faudra soit tout internaliser – ce qui comme on vient de le voir, est difficile – soit sélectionner un partenaire de confiance avec qui établir une relation sur le long terme.
Comment bien choisir son prestataire de services?
Choisir le bon prestataire est d’une importance capitale, mais ce n’est pas toujours facile. En effet, il n’existe pour le moment pas de cadre réglementaire européen qui permette de donner au client une garantie sur la capacité d’une organisation de l’accompagner ou pas. Certes, des certifications ISO existent et apportent quelques éléments de confiance, mais il n’y a pas encore de certification qui porte à 100% sur les principes d’externalisation. La France a pris une avance fondamentale sur ce point. Il faudrait que tous les pays s’en inspirent, à l’instar de la Belgique et du Luxembourg qui suivent de très près cette démarche.
Quelles sont les alternatives possibles en matière d’externalisation?
Lorsqu’on choisit d’externaliser, on peut soit avoir recours à un outsourcing partagé, soit à un outsourcing dédié. Chaque option a ses avantages. Mutualisation des compétences et des ressources, optimisation des coûts et offre flexible sont les principales caractéristiques de l’outsourcing partagé. L’outsourcing dédié offre davantage de proximité, puisque les équipes sont dédiées et pourront s’imprégner des processes et systèmes d’information protégés. L’exemple typique d’externalisation en matière de cybersécurité est le centre de supervision de sécurité (Security Operations Center, SOC) en charge du monitoring de la sécurité du système d’information des clients. Implanté sur le territoire du Grand-Duché, notre SOC permet à nos clients de détecter, analyser et réagir aux cyberattaques 24 heures sur 24, 7 jours sur 7.